L’Assurance maladie sommée par la CNIL de sécuriser davantage sa base de données

Par

Publié le 27/02/2018

données santé
Crédit photo : SPL/PHANIE

En mai 2016, la Cour des comptes pointait du doigt dans un rapport une sécurité insuffisante des données traitées par l’Assurance maladie. Le « SNIIRAM », système national d’information inter-régimes de l’Assurance maladie, agrège notamment des données sur les patients (âge, code postal, nom du médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers).

« Manquement à la sécurité »

À la suite de cette alerte de la Cour des comptes, la Commission nationale de l'informatique et des libertés (CNIL) a conduit une série de contrôles entre septembre 2016 et mars 2017 et confirme, dans une décision parue le 8 février, « de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM ». Les insuffisances soulignées par l’instance concernent notamment : « la pseudonymisation des données des assurés sociaux, les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du SNIIRAM (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires », explique la CNIL dans un communiqué. Elle précise cependant qu’il n’existe pas de « faille majeure dans l’architecture de la base centrale ». La CNIL a donc mis en demeure la Cnam de se mettre en conformité dans les trois mois, faute de quoi la présidente pourra désigner un rapporteur susceptible de prononcer une sanction.

Une décision publique

Les mises en demeure ne sont habituellement pas communiquées publiquement par la CNIL. L’instance a décidé de faire exception compte tenu de « la particulière sensibilité des données traitées par la CNAMTS (…) », explique-t-elle dans la délibération datée du 15 février. « Le bureau estime que le risque pour la sécurité des données est particulièrement élevé compte tenu du volume de données enregistrées dans le SNIIRAM et du nombre important de destinataires des données », indique aussi la délibération.

De nouveaux algorithmes

Face à cette mauvaise publicité, la Cnam a réagi, elle aussi publiquement. Dans un communiqué, elle indique ce mardi que « des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d’actions en cours de déploiement ». L’Assurance maladie explique travailler notamment sur une meilleure pseudonymisation des données, grâce à des nouveaux algorithmes. « Pleinement consciente de ses responsabilités, l’Assurance maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années. Elle poursuivra ces investissements afin de tenir compte de l’évolution régulière des risques et des technologies », ajoute-t-elle.