La CNIL met en demeure la CNAM d'améliorer la sécurité du SNIIRAM

Paris, le jeudi 1^er mars 2018 – Constitué à partir de 1999, le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) est une base de données qui regroupe des milliards d’informations concernant les remboursements de dépenses de santé, ainsi que les soins délivrés et prescrits en ville et à l’hôpital. Informations capitales et particulièrement sensibles, elles sont des outils essentiels pour améliorer la « gestion de l’Assurance malade et des politiques de santé (…), la qualité des soins » et « transmettre aux professionnels de santé des données pertinentes sur leur activité » précise l’Assurance maladie. Récemment, dans le cadre de la loi de santé, l’ouverture partielle et très encadrée de l’accès au SNIIRAM à certains acteurs a encore contribué à accroître l’importance de ce dispositif.

Failles multiples et significatives

La description du SNIIRAM suffit à comprendre la nécessité d’une sécurité absolue, d’autant plus depuis que l’ouverture de son accès a été élargie. Pourtant, certaines failles sont redoutées, notamment à la suite d'un  rapport de la Cour des Comptes en 2016. C’est en s’appuyant sur les conclusions de ce dernier que la Commission nationale informatique et liberté (CNIL) a conduit une analyse précise de la structuration complète du SNIIRAM. Ces conclusions globales sont rassurantes : aucune « faille majeure » n’a été constatée dans « l’architecture de la base centrale » indique la CNIL dans un communiqué publié en ce début de semaine. Cependant, « plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif » ont été identifiées. Ces dernières concernent notamment la "pseudonymisation" des données des assurés sociaux, les procédures de sauvegarde et l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, en raison principalement de défauts de sécurité des postes de travail. Ces différents éléments qui ne sont nullement anodins compte tenu de la sensibilité des informations ont conduit la CNIL à mettre en demeure l’Assurance maladie de réaliser au plus vite les corrections qui s’imposent. Cette mise en demeure vient d’être rendue publique, une médiatisation qui n’a guère été appréciée par la CNAMTS mais qui est justifiée par la CNIL par la « particulière sensibilité des données traitées, le volume des données enregistrées et le nombre important d’organismes habilitées à y accéder ». Elle signale en outre que cette mise en demeure ne constitue en rien une sanction, même si en cas d’absence de réactions de la part de l’Assurance maladie dans les délais impartis, une procédure plus contraignante pourrait être engagée.

La CNAM tente de rassurer

Discrète sur le sujet tant qu’aucune publicité n’avait été faite, l’Assurance maladie a immédiatement tenu à rassurer dès qu’a été publié le communiqué de la CNIL. Elle a tenu à rassurer en indiquant que « ni les noms et prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés » ne figuraient dans les données traitées par le SNIIRAM. Elle a encore souligné que l’accès à ce système était strictement réservé à des « utilisateurs individuellement habilités ». Enfin, elle a promis que des renforcements supplémentaires, destinés à répondre aux observations de la CNIL, étaient en cours de mise en place. La CNIL devrait prochainement contrôler à nouveau le dispositif  afin de vérifier la fiabilité amélioration installées.

Aurélie Haroche