L'autorité de régulation des données personnelles a découvert « plusieurs insuffisances de sécurité » dans un fichier contenant des données sur les assurés sociaux de l'Assurance-maladie.

La Commission nationale de l’informatique et des libertés (Cnil) a annoncé dans un communiqué, mardi 27 février, avoir mis en demeure l’Assurance-maladie, pour des « manquements à la sécurité des données » du Système national d’information interrégimes de l’assurance maladie (Sniiram).

Le Sniiram est une base de données de la Caisse nationale d’assurance maladie, créée en 1999, et qui sert à gérer en temps réel le système de santé, et notamment le suivi des dépenses. Cette base contient des milliards de données sur les patients (âge, sexe, code postal, médecin traitant…) et sur les soins qui leur sont remboursés (feuilles de soins, actes médicaux, séjours à l’hôpital…). De nombreux organismes y ont accès, mais seulement sur autorisation, et l’identification des assurés sociaux est normalement empêchée par une technique de « pseudonymisation ».

« Insuffisances de sécurité »

Si la Cnil n’a pas « constaté de faille majeure dans l’architecture de la base centrale », elle affirme avoir noté «  plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ». Ces insuffisances concernent la pseudonymisation des données, mais aussi « les procédures de sauvegarde des données » et «  l’accès aux données par les utilisateurs du Sniiram (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires ».

Ces « manquements » ont été constatés lors d’une série de contrôles auprès de l’Assurance-maladie, réalisée à la suite d’un rapport de la Cour des comptes, qui notait en 2016 une sécurité insuffisante des données du Sniiram.

Plaquettes de médicaments génériques. Image d'illustration.

La mise en demeure a été décidée le 8 février par la Cnil, qui l’a rendue publique « au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ».

La Caisse d’assurance maladie doit se mettre en conformité avec la loi Informatique et Libertés dans un délai de trois mois. Dans un communiqué, elle assure que des « mesures de renforcement supplémentaires » seront engagées prochainement, et évoque notamment « l’utilisation de nouveaux algorithmes » pour renforcer la pseudonymisation des données des assurés.

Partager sur les réseaux sociaux