La CNIL a découvert de nombreux manquements à la sécurité dans un fichier informatique de l’assurance-maladie recueillant les données personnelles de tous les Français.
Coïncidence. Le décret du 26 février relatif à l’hébergement de données de santé à caractère personnel et à l’obligation à laquelle sont soumis les professionnels de santé recueillant ces données de recourir à un hébergeur certifié lorsqu’il externalise la conservation de ces données, vient de paraître au « Journal officiel ». Dans le même temps, la Commission nationale de l'informatique et des libertés (CNIL) rend publique une mise en demeure qu’elle a prononcée à l’encontre de l’assurance-maladie, suite à la détection de « nombreux manquements à la sécurité », dans un fichier informatique utilisant les données personnelles de tous les Français.
Si elle n’a pas constaté « de faille majeure » dans l’architecture de la base centrale, la CNIL a toutefois relevé des « insuffisances susceptibles de fragiliser » le Système national d'information interrégimes de l'assurance-maladie (Sniiram) et a souligné le caractère particulièrement « sensible des données ».
Le Sniiram, base de données suivant en temps réel les dépenses de santé, est indispensable au pilotage du système de santé et aux études dans le cadre de missions de service public ou de recherche en santé. Il agrège donc les données sur les patients, leur âge, leur code postal, le nom de leur médecin traitant, ainsi que tous les soins remboursés sur la base des actes médicaux, des feuilles de soins et des séjours hospitaliers.
Certes, une procédure de « pseudonymisation » ainsi qu’une autorisation d’accès au fichier assurent la sécurité du dispositif. Cependant, dans le cadre d’une série de contrôles effectués entre septembre 2016 et mars 2017, suite à un rapport de la Cour des comptes, la CNIL a détecté de « multiples insuffisances », notamment dans les procédures de sauvegardes, les extractions de données individuelles ou encore la sécurité des postes de travail des utilisateurs du Sniiram.
L’assurance-maladie, sommée par la CNIL d’apporter des améliorations d’ici à trois mois, a réagi à cette mise en demeure en annonçant notamment qu’elle renforcerait la « pseudonymisation » des données des assurés sociaux par l’utilisation de nouveaux algorithmes. Elle affirme qu’elle poursuivra ses investissements, comme par le passé, dans le renforcement des systèmes de sécurité « afin de tenir compte de l’évolution régulière des risques et des technologies ».
Néanmoins, l’assurance-maladie rappelle que le Sniiram est une base de données qui ne contient « ni les noms/prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés ».
Dispensation du médicament
Tramadol et codéine sur ordonnance sécurisée : mesure reportée !
Formation continue
Transmission automatique des actions de DPC : les démarches à faire avant le 30 novembre
Relocalisation industrielle
Gel des prix sur le paracétamol pendant 2 ans : pourquoi, pour qui ?
Salon des maires
Trois axes d’action pour lutter contre les violences à l’officine