L’Assurance maladie a été mise en demeure par la Cnil (Commission nationale de l'informatique et des libertés) : elle dispose d’un délai de 3 mois pour remédier aux manquements constatés dans la sécurisation d’un fichier informatique où sont collectées les données personnelles de tous les Français.

Dans une décision rendue publique le 27 février, elle explique ne pas avoir identifié de « faille majeure » mais des « insuffisances » qui fragilisent en plusieurs points la sécurité du Système national d'information inter-régimes de l'Assurance maladie (Sniiram). Cette base de données, mise en place en 1999 avec le développement de la Carte Vitale, agrège des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, dispositifs médicaux, séjours hospitaliers...).

sniiram.png

Suite à la publication de la mise en demeure de la Cnil, l’Assurance maladie précise que « le Sniiram est une base de données pseudonymisées (les noms des patients sont modifiés, NDLR) de consommations de soins qui ne contient ni les nom/prénom, ni les adresses, ni les numéros de Sécurité sociale des assurés. Son accès est réservé à des utilisateurs individuellement habilités, pour des finalités d’études dans le cadre de missions de service public ou de recherche en santé ».

Si le détail des points soulevés par la Cnil n’a pas vocation à être rendu public, il s’agirait toutefois d’une insuffisance au niveau de l’anonymisation des données ainsi que des difficultés à contrôler l’accès par les seuls utilisateurs habilités.

« Des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d’action en cours de déploiement. Elles concernent, par exemple, la pseudonymisation des données des assurés sociaux, qui, si elle est déjà assurée de manière sécurisée, peut encore être renforcée par l’utilisation de nouveaux algorithmes », précise l’Assurance maladie.