Sécurité des données de santé : l'Assurance maladie mise en demeure

Des "insuffisances de sécurité" ont été constatées par la Commission nationale de l'informatique et des libertés (Cnil), qui a décidé de mettre en demeure la CNAMTS. Les défaillances doivent être réglées sous trois mois.

C'est la base de données du "Sniiram" (pour "système national d'information inter-régimes de l'assurance maladie"), contenant des milliards de données relatives à la santé des assurés sociaux, qui pose problème. Elle agrège des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers). Alertée par la Cour des comptes, la Cnil a mené une série de contrôles et conclu à des manquements à la loi en matière de sécurité des données. Trois manquements ont notamment été identifiés : la pseudonymisation des données des assurés sociaux, les procédures de sauvegarde des données et l’accès aux données par les utilisateurs du Sniiram, en particulier l’insuffisante sécurité de leurs postes de travail, et par des prestataires. Aucune "faille majeure dans l'architecture de la base centrale" n'est cependant à déplorer. La CNAMTS dispose maintenant de trois mois pour trouver une solution aux problèmes constatés. Mais la Cnil rappelle qu'une mise en demeure n'est pas une sanction, et qu'aucune suite ne pourra être donnée si la CNAMTS ne se conforme pas à la loi. La Cnil indique toutefois avoir décidé de rendre publique cette mise en demeure "au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder". Dans un communiqué, l'Assurance maladie indique ce mardi qu'elle "prend acte des points soulevés par la Cnil", et que "des mesures de renforcement supplémentaire seront engagées pour y répondre".