Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sécurité des données : la CNIL met en demeure l’Assurance maladie

Des malades
Droit 3 min
Sécurité des données : la CNIL met en demeure l’Assurance maladie
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Décision rare de la Commission informatique et libertés : une mise en demeure adressée à l’Assurance maladie dans le traitement SNIIRAM. La délibération de l’autorité est cependant peu bavarde sur les défaillances dont souffre ce système introduit par une loi de 1998.

En 2016, la Cour des comptes s’était penchée sur la question des données personnelles gérées par l’Assurance maladie. Au fil de ce document d’une bonne centaine de pages, elle relevait qu’à ses yeux, le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) méritait « un renforcement en continu des mises à jour en conformité de sécurité ».

Un traitement crucial puisqu’utile notamment aux politiques de santé publique, mais également pour gérer la partie administrative des prestations de soin, outre le régime d’assurance maladie. Les quelques éléments égrainés ont suscité la curiosité de la CNIL.

Elle a décidé de lancer plusieurs contrôles dans ce système avalant et stockant des centaines de millions de données sensibles (actes médicaux, feuilles de soins, date des soins, des séjours hospitaliers, remboursements, etc.), au surplus accessibles à « de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche, etc. » rappelle l’autorité. 

De nombreux manquements

Après deux années d’enquêtes au sein de la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS) responsable de la gestion technique de ce traitement, et de centres de maintenance, la CNIL a dénoncé tout bonnement « de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM ».

Elle épingle des insuffisances en termes de pseudonymisation, des procédures de sauvegarde, dans « l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires », dans « la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles (…) ainsi que la mise à disposition d’extractions de données agrégées ».

Des annexes restées secrètes

La délibération reste toutefois très superficielle dans le niveau de détail. Elle fait référence à des annexes qu ont été volontairement gardées secrètes, sans doute parce que des brèches restent encore lourdement problématiques. Questionnée la CNIL nous explique que l’annexe n’est pas communicable en vertu de l’article L.311-5 du code des relations entre le public et l’administration selon lequel «… ne sont pas communicables les documents administratifs dont la consultation ou la communication porterait atteinte « à la sécurité des systèmes d'information des administrations ».

Pour l’autorité, ces défaillances traduisent en tout cas un manquement direct à l’article 34 de la loi de 1978. Un texte qui oblige tout responsable de traitement à sécuriser les données, et prévenir les risques afin notamment d' « empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNAMTS a désormais trois mois « pour garantir la sécurité et la confidentialité des données à caractère personnel traitées ». À l’issue de cette période, ou bien le dossier sera classé ou bien un rapporteur sera désigné pour préparer une future sanction (selon la période considérée par les brèches, jusqu’à 3 millions d’euros d’amende, sans oublier d’éventuelles sanctions pénales).

Données de santé et RGPD

Les données de santé sont celles faisant l’objet d’une attention particulière au sein du règlement général sur les protections de données personnelles (notre dossier) : analyse d’impact (article 35), registres des activités de traitement (article 30), etc. D’éventuelles fuites ou de défauts dès la conception même du système, peuvent ensuite engendrer des sanctions nettement plus lourdes (jusqu’à 10 millions d’euros pour les seuls articles précités).

16 commentaires
Avatar de Groupetto Abonné
Avatar de GroupettoGroupetto- 27/02/18 à 16:36:45

L'horreur totale, on peut difficilement faire plus sensible, comme données...
 
C'est très décevant et j'espère que ça ira à des sanctions pénales en cas de manquement grave.
 
Je vois mal comment les amendes pourraient changer grand-chose, sachant qu'elles seront de toute façon réglées par les contribuables (et victimes...)
 

Édité par Groupetto le 27/02/2018 à 16:37
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 27/02/18 à 16:50:05

Groupetto a écrit :

L'horreur totale, on peut difficilement faire plus sensible, comme données...
 
C'est très décevant et j'espère que ça ira à des sanctions pénales en cas de manquement grave.
 
Je vois mal comment les amendes pourraient changer grand-chose, sachant qu'elles seront de toute façon réglées par les contribuables (et victimes...)
 

Surtout que s'il est mis en avant la RPGP, les textes qui imposent des obligations précises et sanctionnées (notamment pénalement) existent depuis des lustres et plus encore avec la Loi sur les données de santé de 2016...

Néanmoins et si certains manquements semblent grossiers, je note aussi (pour connaître des prestataires dans ce milieu) que des décrets d'application manquent sur certaines obligations techniques (plus exactement ce qui est attendue comme degré de sécurisation).

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 27/02/18 à 17:03:07

Pourquoi, je ne suis pas surpris?

On garde en circulation des cartes vitale 1 de 1997 qui servent à identifier les patients et les dépenses qui en découle. Lorsque cela été remonté le patch a été de créer une liste noir de carte vitale dans toutes les pharmaciens. En effet dans les médias, les chercheurs avait prouvé leur dire en allant dans des pharmacies.Et depuis la sécu ne pressent toujours pas pour retirer ces cartes vitale 1.
Heureusement que la sécurité des flux de données est faite par les CPS qui sont renouvelées très fréquement par l'ASIP Santé.

Avatar de anonyme_7c080d0b57a30a99451672cfc228f71f INpactien

Système National d’Information Inter-Régimes de l’Assurance Maladie (SNIIRAM) is the new name of Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (SAFARI). :troll:

Édité par Radithor le 27/02/2018 à 17:22
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 27/02/18 à 17:22:39

Radithor a écrit :

Système National d’Information Inter-régimes de l’Assurance Maladie (SNIIRAM) is the new name of Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (SAFARI). :troll:

:yes:

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 27/02/18 à 17:29:38

Soyons fou, le prochain a saisir du dossier: l'ANSSI

Avatar de eureux Abonné
Avatar de eureuxeureux- 27/02/18 à 17:32:11

Les cartes Vitale 1 représentent encore 50% du parc, le coût est important pour le remplacement.  Ou disons un remplacement massif autre que naturel (les cartes sont fabriqués en V2 avec photo, et des V1 sont détruites pour raisons de décès, vol, perte...)
Donc si on compense ce coût par de la réduction de fraude, c'est bien... et sinon c'est du gaspillage. Est-ce vraiment  intéressant?
 
Imaginez un truc: Votre grand mère est malade, vous allez à la pharmacie avec l'ordonnance et sa carte vitale avec photo: A votre avis, la pharmacienne donne t'elle les médicaments ou les refuse t'elle?. 9 fois sur 10 elle les onne, et donc la photo sur la carte V2 ne sert à rien. Le projet de généralisation accéléré vers la V2 est donc tombé.

Ce n'est pas là qu'il y a de la fraude à aller chercher au niveau Assurance Maladie, mais il y en a ailleurs.

Concernant le SNIIRAM, tout le monde à intérêt à avoir des dépositaire de données public garant de nos donnée, car sinon ce seront des acteurs du privé qui s'en chargeront, et les enjeux sont énorme (en très positif et très négatif). 
Au delà de la fraude  imaginez un cas comme le Médiator: L'anomalie de mortalité lié aux prescriptions aurait pu être détecté bien plus tôt avec un gisement Big Data et les algo adaptés. On pourrait détecter les associations de logement/traitement et cancers par exemple. etc...

Avatar de ungars INpactien
Avatar de ungarsungars- 27/02/18 à 20:04:02

Sérieusement, c'est combien le coût d'une carte Vitale V2 ???

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 27/02/18 à 20:20:34

Mon pharmacien me donne les médocs de ma mère même si je n’ai pas la carte vitale.:transpi:

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 27/02/18 à 20:24:35

Selon l'assurance maladie, le coût serait de 2,20 € + 0,50 € pour la photo, soit un total de 2,70 € par carte Vitale 2. Mais dans ce coût ne sont pas intégrés les frais de gestion dans les accueils des caisses pour aider certains assurés à remplir les dossiers de demande de cette carte. Le coût de la carte Vitale 1 était lui de 3,66 € à son lancement en 1998.
https://fr.wikipedia.org/wiki/Carte_Vitale_2

Édité par Ami-Kuns le 27/02/2018 à 20:27
Il n'est plus possible de commenter cette actualité.
Page 1 / 2