SNIIRAM : la CNAMTS mise en demeure pour des manquements à la sécurité des données
A la suite de contrôles réalisés sur le SNIIRAM, la Présidente de la CNIL met en demeure la CNAMTS de renforcer la sécurisation de cette base de données comportant de très nombreuses données sur la santé des assurés sociaux.
Le traitement « SNIIRAM » (Système national d'information inter-régimes de l'assurance maladie), créé par la loi du 23 décembre 1998 et mis en oeuvre par la CNAMTS (Caisse nationale de l'assurance maladie des travailleurs salariés) a pour objectif de contribuer à une meilleure gestion des politiques de santé. Cette base contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) auxquelles accèdent de très nombreux organismes : les caisses gestionnaires des régimes d'assurance maladie, les agences régionales de santé, des ministères, l'institut national des données de santé, des organismes de recherche, etc.
À la suite d'un rapport de la Cour des comptes paru en 2016 faisant état d'une sécurité insuffisante des données du SNIIRAM, la CNIL a conduit une série de contrôles auprès de la CNAMTS, de prestataires techniques et de caisses primaires d'assurance maladie.
Les vérifications réalisées ont confirmé des manquements à la loi Informatique et Libertés en matière de sécurité des données.
Des mesures de sécurité insuffisantes
Si la CNIL n'a pas constaté de faille majeure dans l'architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes), les procédures de sauvegarde des données, l'accès aux données par les utilisateurs du SNIIRAM (en particulier l'insuffisante sécurité de leurs postes de travail) et par des prestataires.
Compte tenu de ce constat, la Présidente de la CNIL a décidé de mettre en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux conformément aux exigences de l'article 34 de la loi Informatique et Libertés.
La CNAMTS dispose d'un délai de 3 mois pour s'y conformer.
Au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d'organismes habilités à y accéder, il a été décidé de rendre publique cette mise en demeure.
La CNIL rappelle que cette mise en demeure n'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la CNAMTS se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.
Si la CNAMTS ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera, le cas échéant, à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.
27 février 2018