L’autorité de régulation des données personnelles a découvert « plusieurs insuffisances de sécurité » dans un fichier contenant des données sur les assurés sociaux de l’Assurance-maladie.

La Commission nationale de l’informatique et des libertés (Cnil) a annoncé dans un communiqué, mardi 27 février, avoir mis en demeure l’Assurance-maladie, pour des « manquements à la sécurité des données » du Système national d’information interrégimes de l’assurance maladie (Sniiram).

Le Sniiram est une base de données de la Caisse nationale d’assurance maladie, créée en 1999, et qui sert à gérer en temps réel le système de santé, et notamment le suivi des dépenses. Cette base contient des milliards de données sur les patients (âge, sexe, code postal, médecin traitant…) et sur les soins qui leur sont remboursés (feuilles de soins, actes médicaux, séjours à l’hôpital…). De nombreux organismes y ont accès, mais seulement sur autorisation, et l’identification des assurés sociaux est normalement empêchée par une technique de « pseudonymisation ».

« Insuffisances de sécurité »

Si la Cnil n’a pas « constaté de faille majeure dans l’architecture de la base centrale », elle affirme avoir noté « plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ». Ces insuffisances concernent la pseudonymisation des données, mais aussi « les procédures de sauvegarde des données » et « l’accès aux données par les utilisateurs du Sniiram (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires ».

Ces « manquements » ont été constatés lors d’une série de contrôles auprès de l’Assurance-maladie, réalisée à la suite d’un rapport de la Cour des comptes, qui notait en 2016 une sécurité insuffisante des données du Sniiram.

Plaquettes de médicaments génériques. Image d'illustration.

La mise en demeure a été décidée le 8 février par la Cnil, qui l’a rendue publique « au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ».

La Caisse d’assurance maladie doit se mettre en conformité avec la loi Informatique et Libertés dans un délai de trois mois. Dans un communiqué, elle assure que des « mesures de renforcement supplémentaires » seront engagées prochainement, et évoque notamment « l’utilisation de nouveaux algorithmes » pour renforcer la pseudonymisation des données des assurés.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !