Sécurité des données : la Cnil met en demeure la CNAMTS

C’était en mai 2016. La Cour des comptes s’inquiétait du niveau de sécurité dont bénéficiaient les données personnelles de santé gérées par l’assurance maladie. Elle soulignait l’ampleur du sujet : « le système national d’information interrégimes de l’assurance maladie (SNIIRAM) constitue une base de données médico-administratives sans équivalent en Europe ». Mise en place en 2004, cette base de données devait être intégrée au système national des données de santé institué en janvier 2016 et demeurer « pour longtemps le cœur du système des données de santé ».

Dans son rapport, la Cour des comptes évoquait alors « une architecture complexe et inégalement documentée », bien que « bien maîtrisée dans le fonctionnement quotidien ». Pour la Cour, « la sécurité du SNIIRAM est un enjeu crucial au regard de la sensibilité extrême des données médicales personnelles qu’il entreprise ». Surtout, selon elle, « jusqu’en 2013, les équipes concernées n’ont pas constamment attaché à la sécurité la priorité appropriée ». Et cela malgré quatre rapports ayant souligné « des lacunes et défaillances à corriger sans attendre » entre 2009 et 2011.

La situation s’est améliorée entre 2013 et 2015. Mais en 2016, la Cour des comptes faisait état d’une « conformité au référentiel général de sécurité à parfaire » et d’une exigence de sécurité « inférieure à celle d’un hébergeur de données de santé » !

Dans un communiqué, la Commission nationale informatique et libertés (Cnil) explique avoir procédé à des contrôles auprès de la CNAMTS, de prestataires techniques et de caisses primaires d’assurance maladie, à l’issue de la publication de ce rapport de la Cour des comptes.

Selon la Cnil, ces contrôles n’ont pas permis d’identifier de « faille majeure dans l’architecture de la base centrale », mais ont fait ressortir « plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ». Et de décider de « mettre en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux », dans un délai de 3 mois.

Le rapport de la Cour des comptes sur les exercice 2016 de la CNAMTS, publié en mai 2017, apporte un éclairage sur les améliorations attendues. Il déplore ainsi « le retard pris dans le déploiement du projet national de refonte des habilitations » faisant « courir un risque accru sur la gestion de la sécurité compte tenu du défaut de maintenance des serveurs de l’outil actuel de gestion des habilitations ». Des « faiblesses » étaient également pointées dans « la gestion des incidents et des changements ».

Dans un communiqué, la CNAMTS indique prendre acte « des points soulevés par la Cnil, dont le détail n’a pas vocation à être rendu public ». Elle explique que « des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d’actions en cours de déploiement ». Cela concerne notamment la pseudonymisation des données des assurés sociaux ; des risques de ré-identification avaient été soulevés. La CNAMTS les évoquait elle-même en novembre 2016.