La Commission nationale de l’informatique et des libertés (Cnil) a adressé une mise en demeure à l’Assurance maladie. Cette dernière prend acte.
En 2016, la Cour des Comptes publiait un rapport pointant la sécurité insuffisanté du Systène national d’information inter-régime de l’assurance maladie (Sniiram). Cette gigantesque base de données contient des milliards d’information sur la santé des assurés sociaux.
Après la publication du rapport, la Cnil s’est donc penchée sur le sujet et a lancé une série de contrôles auprès de la Caisse nationale d’assurance maladie. « Si la Cnil n’a pas constaté de faille majeure dans l’architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux », indique l’organisme dans sa mise en demeure.
Trois mois pour se mettre en conformité
Concrètement, les manquements concernent donc le pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs du Sniiram et par des prestataires, la sécurité des postes de travail des utilisateurs du Sniiram, les extractions de données individuelles du Sniiram ainsi que la mise à disposition d’extractions de données agrégées du Sniiram aux partenaires.
La CnamTS dispose d’un délai de trois mois pour se mettre en conformité, sans quoi une sanction pourrait être prononcée.
Dans un communiqué, l’Assurance maladie affirme avoir pris acte de la décision de la Cnil, rappelant que les « observations [de la Cnil] ne mettent pas en cause les éléments fondamentaux de la sécurité du Sniiram ». Elle assure ainsi que « des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d’actions en cours de déploiement, notamment dans le cadre de l’ouverture accrue des données de santé décidée par la loi du 26 janvier 2016 ».
