La CNIL a découvert de nombreux manquements à la sécurité dans un fichier informatique de l’assurance-maladie recueillant les données personnelles de tous les Français.
Coïncidence. Le décret du 26 février relatif à l’hébergement de données de santé à caractère personnel et à l’obligation à laquelle sont soumis les professionnels de santé recueillant ces données de recourir à un hébergeur certifié lorsqu’il externalise la conservation de ces données, vient de paraître au « Journal officiel ». Dans le même temps, la Commission nationale de l'informatique et des libertés (CNIL) rend publique une mise en demeure qu’elle a prononcée à l’encontre de l’assurance-maladie, suite à la détection de « nombreux manquements à la sécurité », dans un fichier informatique utilisant les données personnelles de tous les Français.
Si elle n’a pas constaté « de faille majeure » dans l’architecture de la base centrale, la CNIL a toutefois relevé des « insuffisances susceptibles de fragiliser » le Système national d'information interrégimes de l'assurance-maladie (Sniiram) et a souligné le caractère particulièrement « sensible des données ».
Le Sniiram, base de données suivant en temps réel les dépenses de santé, est indispensable au pilotage du système de santé et aux études dans le cadre de missions de service public ou de recherche en santé. Il agrège donc les données sur les patients, leur âge, leur code postal, le nom de leur médecin traitant, ainsi que tous les soins remboursés sur la base des actes médicaux, des feuilles de soins et des séjours hospitaliers.
Certes, une procédure de « pseudonymisation » ainsi qu’une autorisation d’accès au fichier assurent la sécurité du dispositif. Cependant, dans le cadre d’une série de contrôles effectués entre septembre 2016 et mars 2017, suite à un rapport de la Cour des comptes, la CNIL a détecté de « multiples insuffisances », notamment dans les procédures de sauvegardes, les extractions de données individuelles ou encore la sécurité des postes de travail des utilisateurs du Sniiram.
L’assurance-maladie, sommée par la CNIL d’apporter des améliorations d’ici à trois mois, a réagi à cette mise en demeure en annonçant notamment qu’elle renforcerait la « pseudonymisation » des données des assurés sociaux par l’utilisation de nouveaux algorithmes. Elle affirme qu’elle poursuivra ses investissements, comme par le passé, dans le renforcement des systèmes de sécurité « afin de tenir compte de l’évolution régulière des risques et des technologies ».
Néanmoins, l’assurance-maladie rappelle que le Sniiram est une base de données qui ne contient « ni les noms/prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés ».
A la Une
72 % des communes n’ont ni pharmacie, ni médecin
Rappel de lots
Une erreur de taille sur des chaussettes de compression pour homme
Campagne de vaccination Covid
Comirnaty JN.1 : les commandes sont ouvertes !
Maladies neurocognitives
Alzheimer, Parkinson… : le médicament passe en seconde intention