Décision rare de la Commission informatique et libertés : une mise en demeure adressée à l’Assurance maladie dans le traitement SNIIRAM. La délibération de l’autorité est cependant peu bavarde sur les défaillances dont souffre ce système introduit par une loi de 1998.
En 2016, la Cour des comptes s’était penchée sur la question des données personnelles gérées par l’Assurance maladie. Au fil de ce document d’une bonne centaine de pages, elle relevait qu’à ses yeux, le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) méritait « un renforcement en continu des mises à jour en conformité de sécurité ».
Un traitement crucial puisqu’utile notamment aux politiques de santé publique, mais également pour gérer la partie administrative des prestations de soin, outre le régime d’assurance maladie. Les quelques éléments égrainés ont suscité la curiosité de la CNIL.
Elle a décidé de lancer plusieurs contrôles dans ce système avalant et stockant des centaines de millions de données sensibles (actes médicaux, feuilles de soins, date des soins, des séjours hospitaliers, remboursements, etc.), au surplus accessibles à « de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche, etc. » rappelle l’autorité.
De nombreux manquements
Après deux années d’enquêtes au sein de la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS) responsable de la gestion technique de ce traitement, et de centres de maintenance, la CNIL a dénoncé tout bonnement « de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM ».
Elle épingle des insuffisances en termes de pseudonymisation, des procédures de sauvegarde, dans « l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires », dans « la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles (…) ainsi que la mise à disposition d’extractions de données agrégées ».
Des annexes restées secrètes
La délibération reste toutefois très superficielle dans le niveau de détail. Elle fait référence à des annexes qu ont été volontairement gardées secrètes, sans doute parce que des brèches restent encore lourdement problématiques. Questionnée la CNIL nous explique que l’annexe n’est pas communicable en vertu de l’article L.311-5 du code des relations entre le public et l’administration selon lequel «… ne sont pas communicables les documents administratifs dont la consultation ou la communication porterait atteinte « à la sécurité des systèmes d'information des administrations ».
Pour l’autorité, ces défaillances traduisent en tout cas un manquement direct à l’article 34 de la loi de 1978. Un texte qui oblige tout responsable de traitement à sécuriser les données, et prévenir les risques afin notamment d' « empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
La CNAMTS a désormais trois mois « pour garantir la sécurité et la confidentialité des données à caractère personnel traitées ». À l’issue de cette période, ou bien le dossier sera classé ou bien un rapporteur sera désigné pour préparer une future sanction (selon la période considérée par les brèches, jusqu’à 3 millions d’euros d’amende, sans oublier d’éventuelles sanctions pénales).
Données de santé et RGPD
Les données de santé sont celles faisant l’objet d’une attention particulière au sein du règlement général sur les protections de données personnelles (notre dossier) : analyse d’impact (article 35), registres des activités de traitement (article 30), etc. D’éventuelles fuites ou de défauts dès la conception même du système, peuvent ensuite engendrer des sanctions nettement plus lourdes (jusqu’à 10 millions d’euros pour les seuls articles précités).
