Sécurisation des données La Cnil met en demeure l’assurance maladie

Sécurisation des données

La Cnil met en demeure l’assurance maladie

Publié le : 02/03/2018 

En France, la Cnam (Caisse nationale d’assurance maladie) consigne nos données de santé, comme les actes médicaux, les feuilles de soins ou les séjours hospitaliers, dans une gigantesque base de données baptisée Sniiram (Système national d’information inter-régimes de l’assurance maladie). À la suite de contrôles, la Cnil (Commission nationale de l’informatique et des libertés) a constaté des insuffisances en matière de sécurité. Elle accorde 3 mois à l’assurance maladie pour se conformer.

 

Pas de faille majeure dans l’architecture centrale de la base de données, mais des insuffisances de sécurité susceptibles de fragiliser le dispositif : voici le constat dressé par la Cnil (Commission nationale de l’informatique et des libertés) suite à des contrôles sur le Sniiram (Système national d’information inter-régimes de l’assurance maladie). Cette base de données, qui consigne des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.), est consultée par de nombreux acteurs de santé publics ou privés. Objectif : optimiser les politiques de santé et améliorer la qualité des soins. Agences régionales de santé, ministères ou encore instituts de recherche peuvent ainsi y puiser des informations tant, toutefois, que le respect de la vie privée est garanti. Ceci sous-entend que la base ne contient ni le nom, ni le prénom, ni le numéro de sécurité sociale, ni l’adresse des patients.

 

Des patients identifiables

C’est précisément sur ce point que tique la Cnil. « Les données traitées par la Cnam […] révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations : âge, code postal, date de soins, médecin traitant, etc. », explique-t-elle dans sa délibération. Dans un rapport publié en mai 2016, et qui a déclenché les contrôles de la Cnil, la Cour des comptes s’alarmait déjà du fait que chaque acte médical (on en compte près de 500 millions par an), chaque feuille de soins (plus de 1,2 milliard par an) et chaque séjour hospitalier (plus de 11 millions hors psychiatrie et gériatrie) soit listé avec les remboursements des assurés sociaux. Outre la faiblesse de la procédure de pseudonymisation des données (qui complique l’identification des personnes), la Cnil pointe des défaillances concernant leur sauvegarde, la sécurisation de l’accès à ces données et des postes de travail des utilisateurs du Sniiram.

 

Des algorithmes obsolètes

La Cnam a 3 mois pour rectifier le tir et pourrait être sanctionnée si elle ne s’exécute pas, l’amende pouvant atteindre 3 millions d’euros, théoriquement (1). Dans tous les cas, la Cnil restera vigilante. Cette mise en demeure intervient en effet alors que la Cnam a déjà lancé un plan d’action dans un contexte plus large. Engagé dans une politique d’ouverture des données de santé (2), le gouvernement a donné naissance au SNDS (Système national des données de santé), qui fusionne plusieurs bases de données existantes autour du Sniiram. En avril 2017, lors de la publication des décrets d’application, la Cnil se montrait déjà critique sur la pseudonymisation des données de cette nouvelle base géante, du fait de l’obsolescence de l’algorithme de chiffrement employé. « Le développement des usages et des innovations technologiques accroissent sans cesse le niveau d’exigence en termes de sécurisation des données. […] L’assurance maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années. Elle poursuivra ces investissements afin de tenir compte de l’évolution régulière des risques et des technologies », assure la Cnam dans un communiqué. Nous voilà rassurés.

 

(1) Art. 45 et 47 de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
(2) Loi no 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.

 

Camille Gruhier