La Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure l’Assurance maladie en raison de plusieurs insuffisances de sécurité sur le fichier informatique utilisé depuis 1999 pour les données personnelles de tous les Français. La Caisse nationale de l’assurance maladie (Cnam) gère 61,5 millions d’assurés et recense chaque année environ 11 millions de séjours hospitaliers, 500 millions d’actes médicaux et 1,2 milliard de feuilles de soins. Selon la Cnil, ce système informatique n’est pas assez sécurisé. Même s’il n’y a pas de faille majeure, l’insuffisance de sécurité est susceptible de fragiliser les quantités l’Assurance maladie. La sécurisation des données est indispensable compte tenu du nombre de Français disposant d’une assurance maladie avec ou sans assurance complémentaire santé, y compris les seniors.

Pas de faille majeure, mais plusieurs insuffisances de sécurité

Le régulateur a analysé l’une des plus grandes bases de données en Europe, à savoir le Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM). Créée en 1998, cette base de données regroupe les informations liées aux remboursements des caisses d’assurance maladie en France, et pilote le système de santé grâce au suivi en temps réel des dépenses. Elle recense les données des patients (nom, adresse, numéros de sécurité sociale, médecin traitant…) et les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers…). Lors de cette analyse, la Cnil a relevé plusieurs insuffisances de sécurité pouvant à terme fragiliser la Sniiram malgré l’absence de faille majeure. Le régulateur a constaté une faille sur la technique de « pseudonymisation » qui est censée garantir la sécurité des informations, dont l’accès au fichier necessite une autorisation.

La Cnil constate également des failles au niveau de la procédure de sauvegarde, d’extraction de données individuelles et de la sécurité des postes de travail des utilisateurs du Sniiram. L’Assurance maladie a été ainsi mise en demeure de se conformer aux règles en matière de sécurité pendant les trois prochains mois. Cette procédure de mise en demeure a été prise par la Cnil suite à une série de contrôles réalisés de septembre 2016 à mars 2017. Rappelons qu’on 2016, la Cour des comptes avait déjà donnée alerte sur la façon dont les informations sensibles étaient gérées par l’Assurance maladie. Dans son rapport, la Cour des comptes dénonçait des problèmes de sécurité liés à un pilotage défaillant ainsi que des lacunes et des défaillances à corriger sans attendre.

Un rôle de gendarme

Les fichiers contenant des données sensibles sont tenus à des obligations légales selon la loi informatique et Liberté de 1978 de sort que la Sécurité sociale ne puisse pas porter atteinte à la vie privée des Français. La Commission nationale informatique et liberté a été créée dans cette optique pour jouer un rôle de gendarme contre l’exploitation abusive de ces fichiers et les dérives potentielles de l’État. Toutefois, la Cnil n’est pas habilitée à prendre des sanctions pécuniaires contre un organisme public comme la Caisse nationale de l’assurance maladie telle précisée par l’article 47 de la loi du 6 janvier 1978. La mise en demeure n’est donc pas une sanction, mais un rappel à l’ordre.

Des mesures de renforcement en vue

Dans un communiqué, l’Assurance maladie annonce la mise en place de mesures de renforcement supplémentaires concernant notamment la pseudonymisation des données des assurés sociaux par l’utilisation de nouveaux algorithmes. Et ce, malgré les efforts déjà investis dans les politiques de sécurité informatique au cours de ces dernières années.