gdpr-article

Mise en demeure de l’Assurance Maladie par la CNIL: le difficile équilibre entre sécurité et ouverture des données de santé

De « multiples insuffisances de sécurité » dans un fichier contenant des données sur les assurés sociaux de l’Assurance-maladie ont été découvertes à l’occasion de contrôles diligentés par le gendarme des données personnelles, compromettant la vie privée de millions de Français.

Ce sévère constat a été dressé à la suite d’une série de contrôles, de septembre 2016 à mars 2017, dans le prolongement d’un rapport publié en mai 2016 par la Cour des comptes, qui estimait que la sécurité de la base de données était à renforcer bien « qu’aucune fuite publique de données » ne soit encore à déplorer. Ce rapport pointait également un « pilotage défaillant » et « des lacunes et des défaillances à corriger sans attendre » dans la gouvernance du système informatique à laquelle la base est adossée.

L’ouverture des données de santé : un enjeu particulièrement complexe

Le traitement « SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie) a été créé par la loi du 23 décembre 1998 et mis en œuvre par la CNAMTS (Caisse Nationale de l’Assurance Maladie des Travailleurs Salariés). Il a pour objectif de contribuer à une meilleure gestion des politiques de santé. Cette base contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjour hospitaliers) auxquelles accèdent de très nombreux organismes sur autorisation : les caisses gestionnaires de régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche (CNRS, INRES). Depuis la loi de modernisation de la santé publique de janvier 2016, les entreprises privées ont également accès au SNIIRAM si leurs recherches sont considérées comme étant d’« utilité publique ». Toutefois, les informations comme l’adresse, le nom ou le numéro de sécurité sociale des assurés sont supprimées pour répondre à des objectifs de protection de la vie privée et de protection du secret médical. En tout, ce sont quelques 61,5 millions d’assurés, 11 millions de séjours hospitaliers, 500 millions d’actes médicaux et 1,2 milliards de feuilles de soins qui sont gérés chaque année.

Des mesures de sécurité insuffisantes

Bien que n’ayant pas relevé de failles majeures dans l’architecture de la base centrale, la Commission pointe cependant plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes, ce qui n’est pas le cas ici car il existe un risque de ré-identifier des patients en croisant les 204 variables d’informations), les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du SNIIRAM (en particulier l’insuffisante sécurité de leurs postes de travail), et par des prestataires.

Compte tenu de ces constatations, la Présidente de la CNIL a décidé de mettre en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité des données des assurés sociaux conformément aux exigences de l’article 34 de la loi « Informatique et Libertés ». Cette mise en demeure est d’ailleurs publique en raison de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder.

L’Assurance-maladie dispose désormais d’un délai de 3 mois pour se mettre en conformité. Dans un communiqué publié suite à la mise en demeure de la CNIL, celle-ci prend acte des critiques adressées par le régulateur et annonce des mesures d’identification des faiblesses dans la protection de la base de données, le renforcement du niveau d’exigence en termes de sécurisation des données avec « l’utilisation de nouveaux algorithmes » et des investissements soutenus. La CNIL ne peut toutefois pas prononcer de sanction pécuniaire contre un organisme public selon l’article 45 de la loi « Informatique et Libertés » du 6 janvier 1978 modifiée.

Cette procédure de mise en demeure n’est d’ailleurs pas une sanction mais un simple rappel à l’ordre. Ainsi, si l’Assurance-maladie se conforme à la loi dans le délai imparti, aucune suite ne sera donnée à cette procédure et sa clôture fera l’objet d’une publicité. A contrario, si aucune évolution n’est notée, la Présidente pourra désigner un rapporteur qui proposera à la formation restreinte de la CNIL de prononcer une sanction.

Des administrations également concernées par le RGPD

Toujours est-il qu’il a urgence. En effet, l’Assurance-maladie doit mettre en place cette année le DMP (Dossier Médical Personnel) qui est un dossier numérique sécurisé et accessible en ligne mis à la disposition des patients et des professionnels de santé. Annoncé par la ministre Agnès Buzyn, le déploiement de ce dispositif se fera en parallèle avec l’entrée en application du Règlement Général sur la Protection des Données le 25 mai 2018. Si les grands principes étaient déjà présents dans la loi « Informatique et Libertés », un véritable changement de culture s’opère. On passe en effet d’une logique de contrôle a priori à une logique de responsabilisation des acteurs privés et publics basée sur une mise en conformité permanente et dynamique.

Les administrations devront ainsi adopter et actualiser des mesures techniques et organisationnelles leur permettant de s’assurer et de démontrer à tout instant qu’elles offrent un niveau optimal de protection aux données traitées. A cet égard, ne doutons pas que la CNIL scrutera avec une attention particulière la mise en place de ce dossier médical personnel.

 

Autres Articles

L’or pour Data Legal Drive aux Trophées du droit

L'or pour Data Legal Drive aux Trophées du Droit Moins d’un an après sa création, la LegalTech DATA LEGAL DRIVE voit sa plateforme digitale de pilotage de la conformité RGPD récompensée par le Trophée d’or des Trophées du Droit. Remis à l’occasion du Legal Tech Show...

lire plus

Prêt pour votre mise en conformité RGPD ?