La Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir mis en demeure l’Assurance maladie en raison de « nombreux manquements à la sécurité » d’un fichier informatique utilisant les données personnelles de tous les Français.
La Cnil « n’a pas constaté de faille majeure » mais « a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser » le Système national d’information inter-régimes de l’Assurance maladie (Sniiram), a indiqué l’autorité indépendante dans un communiqué. Cette gigantesque base de données sert depuis 1999 à piloter le système de santé, grâce au suivi en temps réel des dépenses. Il agrège pour cela des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers).
De multiples insuffisances de protection des données
Une technique de pseudonymisation est censée garantir la sécurité de ces informations et une autorisation est requise pour accéder au fichier. Or ces deux protections figurent parmi « les multiples insuffisances » listées par la Cnil, au même titre que « les procédures de sauvegarde« , « les extractions de données individuelles » ou encore « la sécurité des postes de travail des utilisateurs du Sniiram« .
Ce bilan sévère a été dressé après une série de contrôles réalisés de septembre 2016 à mars 2017, dans le prolongement d’un rapport publié en mai 2016 par la Cour des comptes, qui estimait que la sécurité de ce fichier devait « encore être renforcée » même si « aucune fuite publique de données » n’était à déplorer.
La mise en demeure, décidée le 8 février, a été rendue publique en raison de la « particulière sensibilité des données » et du risque « particulièrement élevé » pour leur sécurité, selon la Cnil. Sommée d’apporter des améliorations d’ici trois mois, l’Assurance maladie a affirmé dans un communiqué que « des mesures de renforcement supplémentaires seront engagées » pour la protection du Sniiram, notamment « l’utilisation de nouveaux algorithmes » pour la « pseudonymisation » des données. Et son intérêt est évident, alors que le règlement sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain…
Auteur : La Rédaction avec AFP
