Vincent Ledoux
Question N° 8867 au Ministère des solidarités
Question soumise le 5 juin 2018
M. Vincent Ledoux appelle l'attention de Mme la ministre des solidarités et de la santé sur la mise en demeure de la Caisse nationale d'assurance maladie (Cnam) par la Commission nationale de l'informatique et des libertés (CNIL). La Cnam consigne les données de santé, comme les actes médicaux, les feuilles de soins ou les séjours hospitaliers, dans une gigantesque base de données baptisée Sniiram (Système national d'information inter-régimes de l'assurance maladie). À la suite de contrôles, la Cnil y a constaté des insuffisances en matière de sécurité et accordé trois mois à l'assurance maladie pour se conformer à ses demandes. Cette base de données est consultée par de nombreux acteurs de santé publics ou privés dans le but d'optimiser les politiques de santé et améliorer la qualité des soins. Agences régionales de santé, ministères ou encore instituts de recherche peuvent ainsi y puiser des informations dans le respect toutefois de la vie privée. La base ne doit donc contenir ni le nom, ni le prénom, ni le numéro de sécurité sociale, ni l'adresse des patients. La Cnil a pourtant observé que « Les données traitées par la Cnam (...) révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations : âge, code postal, date de soins, médecin traitant, etc. ». Déjà dans son rapport de mai 2016, la Cour des comptes s'alarmait du fait que chaque acte médical (près de 500 millions par an), chaque feuille de soins (plus de 1,2 milliard par an) et chaque séjour hospitalier (plus de 11 millions hors psychiatrie et gériatrie) soit listé avec les remboursements des assurés sociaux. Par ailleurs, la Cnil pointe la faiblesse de la procédure de pseudonymisation des données ainsi que des défaillances concernant leur sauvegarde, la sécurisation de l'accès à ces données et des postes de travail des utilisateurs du Sniiram. Il souhaite donc savoir si la Cnam s'est bien conformée à la mise en demeure de la Cnil.
Réponse émise le 2 avril 2019
A la suite de la mission de contrôle menée entre septembre 2016 et mars 2017, la Caisse nationale de l'assurance maladie (CNAM) a fait l'objet d'une mise en demeure publique (Décision n° MED-2018-006 du 8 février 2018) pour des manquements à la sécurité des données traitées dans le cadre du Système national d'information inter-régimes de l'assurance maladie (SNIIRAM). En réponse à la mise en demeure, la CNAM a présenté un plan de mise en conformité dont une première partie est déjà opérationnelle : entre autres, le chiffrement des sauvegardes des données du SNIIRAM (depuis août 2018) et l'imposition d'un chiffrement des disques durs des ordinateurs portables des utilisateurs du SNIIRAM -personnels Cnam ou prestataires- (depuis septembre 2018). S'agissant de la procédure de pseudonymisation qui reste à mettre en œuvre, la CNAM a prévu un plan en 4 paliers compte tenu de la complexité des opérations à mener : Le palier 1 prévu pour avril 2019 consiste à augmenter la protection des fichiers transmis avec le premier niveau de pseudonymisation. Le palier 2 prévu pour octobre 2019 consiste à protéger l'accès au second niveau de pseudonymisation par les utilisateurs. Le palier 3 prévu pour octobre 2020 consiste à appliquer le nouveau second niveau de pseudonymisation sur l'entrepôt du SNIIRAM (inaccessible aux utilisateurs). La quatrième est la mise en place de la cible pour fin 2020. La CNAM prévoit la mise en place d'un point semestriel avec les services de la Commission nationale de l'informatique et des libertés afin d'assurer le suivi de l'avancée des travaux.
Aucun commentaire n'a encore été formulé sur cette question.