L’Assurance-maladie mise en demeure par la Cnil de protéger les données de santé
"La minoration des déficits" de l'Assurance maladie est aussi obtenue grâce à des transferts "opaques" d'autres branches, relève la Cour des comptes© ARCHIVES/AFP/Archives FRED DUFOUR
De "nombreux manquements à la sécurité" sont pointés par le gendarme des données personnelles.
Après plusieurs audits, la Cnil met en demeure l’Assurance-maladie de sécuriser les données de santé d’une gigantesque base de données appelée Sniiram (pour Système national d’information inter-régimes de l’Assurance maladie).
Depuis près de 20 ans, ce fichier agrège les données des patients (âge, code postal, médecin traitant) et des soins qui leur sont remboursés (actes médicaux, feuilles de soins, etc.). Pour des raisons évidentes de protection du secret médical et de la vie privée, certaines informations comme le nom, l’adresse ou le numéro de sécurité sociale des assurés sont rayées, anonymisées.
De “multiples insuffisances” relevées
Et alors qu’une autorisation est obligatoire pour y accéder (ce dont sont capables ministères et autres organismes de recherche médicale entre autres), la Commission “a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser” ce Sniiram. Même si elle “n’a pas constaté de faille majeure”.
SNIIRAM : la CNAMTS mise en demeure pour des manquements à la sécurité des données https://t.co/OL0HGtY2Pl
— CNIL (@CNIL) February 27, 2018
Parmi ces insuffisances, “les procédures de sauvegarde”, “les extractions de données individuelles” et “la sécurité des postes de travail des utilisateurs” de ce fichier sont pointées du doigt.
Une mise en demeure publique
Si cette mise en demeure revêt un caractère public, c’est à cause de la “particulière sensibilité des données” et du risque “particulièrement élevé” pour leur sécurité.
Une nouvelle évaluation sera effectuée à l’issue des trois mois prochains, au terme desquels des améliorations devront être appliquées. L’organisme visé a, via communiqué, affirmé que “des mesures de renforcement supplémentaires ser[aie]nt engagées” pour la protection du Sniiram. Et plus précisément par “l’utilisation de nouveaux algorithmes” dédiés à la “pseudonymisation” des données.