Article
La Commission nationale de l’informatique et des libertés (Cnil) a demandé à la Caisse nationale de l’Assurance Maladie (Cnam) de renforcer la sécurité informatique. Elle a trois mois pour rectifier le tir, sinon…
À la demande de la Cour des comptes, la Cnil a mis son nez dans les affaires du Système national inter-régimes de l’Assurance Maladie (Sniiram). Et il y a du boulot, visiblement. Elle a mis en demeure la Cnam, afin qu’elle renforce la sécurité de ses systèmes informatiques.
« Si la Cnil n’a pas constaté de faille majeure dans l’architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes), les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du Sniiram (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires », explique-t-elle dans un communiqué.
Billions and billions and billions
Pas de faille majeure, mais des problèmes suffisants pour que la Cnil hausse le ton, visiblement. Rappelons que la Sniiram rassemble des données de l’ensemble des organismes gérant un régime de base d’assurance maladie, et les informations relatives à l’activité hospitalière. Feuilles de soins, détails des prestations, factures, données médicales, données des assurés… Tout y est.
Au doigt mouillé, ça doit faire quelques milliards de données de santé qui sont utilisées pour le suivi des dépenses, l’activité de l’offre de soins ou encore des études épidémiologiques. Des données qui pourraient aussi bien intéresser quelques personnes malintentionnées. Ces petites faillent prennent tout de suite un peu d’ampleur, et sont peu rassurantes à quelques mois du lancement à grande échelle du Dossier Médical Partagé (DMP).
Fais gaffe à toi, Cnam !
La Cnil a donné trois mois pour rectifier le tir. Pas de mesures de discipline pour l’instant, mais « si la Cnamts ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera, le cas échéant, à la formation restreinte de la Cnil, chargée de réprimer les manquements à la loi, de prononcer une sanction ».
Dans un communiqué, l’Assurance Maladie a répondu, en soulignant que les évolutions technologiques rendent indispensables ces mises à jour régulières. Elle « prend acte des points soulevés par la Cnil, dont le détail n’a pas vocation à être rendu public ». Un plan d’action serait actuellement en cours de déploiement, notamment par la mise en place de nouveaux algorithmes pour la pseudonymisation des données des assurés. Rendez-vous dans trois mois.
Source:
Jonathan Herchkovitch