27.02.2018

La commission nationale de l’informatique et des libertés (CNIL) a annoncé ce mardi avoir mis en demeure l’assurance-maladie « de renforcer la sécurisation » du système national d’information inter-régimes de l’assurance-maladie (SNIIRAM), pépite d’informations qui regroupe plusieurs milliards de données – dont un milliard de feuilles de soins annuelles – des quelque 65 millions d’assurés français.

La CNIL « n’a pas constaté de faille majeure » mais « a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser » cette gigantesque base de données.

Cet outil sert depuis 1999 à piloter le système de santé, grâce au suivi en temps réel des dépenses. Il agrège pour cela les donnés de santé relatives aux assurés sociaux (sexe, âge, département et commune de résidence, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers). En revanche, elle ne contient ni les noms, ni les prénoms ou adresse et numéro de Sécurité sociale. Elle n’est accessible qu’à des personnes habilitées (ministères, tutelles et autorités sanitaires, CNRS, etc.).

La technique dite de pseudonymisation est un filet de sécurité qui consiste à rendre plus difficile la ré-identification des personnes. Or, elle figure parmi « les multiples insuffisances » listées par la CNIL, au même titre que « les procédures de sauvegarde », « les extractions de données individuelles » ou encore « la sécurité des postes de travail des utilisateurs du Sniiram ».

Trois mois pour renforcer la sécurité

Ce bilan a été dressé après une série de contrôles réalisés de septembre 2016 à mars 2017, dans le prolongement d’un rapport publié en mai 2016 par la Cour des comptes, qui estimait que la sécurité du SNIIRAM devait « encore être renforcée » même si « aucune fuite publique de données » n’était à déplorer.

La mise en demeure, décidée le 8 février, a été rendue publique en raison de la « particulière sensibilité des données » et du risque « particulièrement élevé » pour leur sécurité, selon la CNIL.

L’assurance-maladie dispose d’un délai de trois mois pour se conformer à la législation. « Des mesures de renforcement supplémentaires seront engagées, dont une partie a déjà été identifiée et incluse dans un plan d’actions en cours de déploiement », souligne la caisse dans un communiqué après voir « pris acte » des points soulevés par la CNIL. Et d’ajouter : « Ces mesures concernent la pseudonymisation des données des assurés sociaux qui [...] peut encore être renforcée par l’utilisation de nouveaux algorithmes ».

Si l’assurance-maladie ne se conforme pas à cette mise en demeure dans le délai imparti, la CNIL se réserve le droit de prononcer une sanction.

S.M. (avec AFP)