La Cnil met en demeure l'Assurance-maladie pour mauvaise protection des données
La Commission nationale de l'informatique et des libertés (Cnil) a annoncé dans un communiqué, mardi 27 février, avoir mis en demeure l'Assurance-maladie, pour des « manquements à la sécurité des données » du Système national d’information interrégimes de l’assurance maladie (Sniiram). Le Sniiram est une base de données de la Caisse nationale d'assurance maladie, créée en 1999, et qui sert à gérer en temps réel le système de santé, et notamment le suivi des dépenses.
« Insuffisances de sécurité »
Si la Cnil n'a pas « constaté de faille majeure dans l’architecture de la base centrale », elle affirme avoir noté « plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ». Ces insuffisances concernent la pseudonymisation des données, mais aussi « les procédures de sauvegarde des données » et « l’accès aux données par les utilisateurs du Sniiram (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires ».
Ces « manquements » ont été constatés lors d'une série de contrôles auprès de l'Assurance-maladie, réalisée à la suite d'un rapport de la Cour des comptes, qui notait en 2016 une sécurité insuffisante des données du Sniiram.
Image d'illustration." width="1024" height="683" />
La mise en demeure a été décidée le 8 février par la Cnil, qui l'a rendue publique « au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ».
La Caisse d'assurance maladie doit se mettre en conformité avec la loi Informatique et Libertés dans un délai de trois mois. Dans un communiqué, elle assure que des « mesures de renforcement supplémentaires » seront engagées prochainement, et évoque notamment « l'utilisation de nouveaux algorithmes » pour renforcer la pseudonymisation des données des assurés.