Imprimer

Fichier des assurés sociaux : mise en demeure de la CNIL

le 7 mars 2018

Le 27 février 2018, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS) de prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées dans le système national d’information inter-régimes de l’assurance maladie (SNIIRAM).

Qu’est-ce que le SNIIRAM ?

Le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) a été créé par la loi de financement de la sécurité sociale pour 1999 et mis en œuvre par la CNAMTS.

Il a pour objectif de contribuer à une meilleure gestion des politiques de santé. Cette base de données contient de nombreuses données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.).

De nombreux organismes y ont accès : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’Institut national des données de santé, des organismes de recherche pour des finalités d’études dans le cadre de missions de service publicService publicActivité d’intérêt général prise en charge par une personne publique ou par une personne privée mais sous le contrôle d’une personne publique. On distingue les services publics d’ordre et de régulation (défense, justice...), ceux ayant pour but la protection sociale et sanitaire, ceux à vocation éducative et culturelle et ceux à caractère économique. Le régime juridique du service public est défini autour de trois principes : continuité du service public, égalité devant le service public et mutabilité (adaptabilité). ou de recherche en santé.

Mise en demeure de la CNIL

La CNIL n’a décelé aucune faille majeure dans le système et la base de données centrale. Elle pointe cependant de multiples insuffisances en termes de sécurité qui concernent, notamment, la pseudonymisation des données des assurés, les procédures de sauvegarde, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires.

Les noms, prénoms, adresses et numéros de sécurité sociale des assurés sociaux ne figurent pas dans le fichier mais, selon la CNIL, il est possible d’identifier des patients en croisant les nombreuses variables.

En conséquence, la CNIL donne trois mois à la CNAMTS pour mettre en conformité le SNIIRAM avec la réglementation en vigueur.

Dans un communiqué du 28 février, la CNAMTS s’engage à prendre des mesures supplémentaires de sécurisation.

Rechercher