Fichier des assurés sociaux : mise en demeure de la CNIL

3 minutes
Concept du dossier médical
Concept du dossier médical - © wladimir1804 - stock.adobe.com

Le 27 février 2018, la Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) de prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées dans le système national d'information inter-régimes de l'assurance maladie (SNIIRAM).

Qu'est-ce que le SNIIRAM ?

Le Système national d'information inter-régimes de l'assurance maladie (SNIIRAM) a été créé par la loi de financement de la sécurité sociale pour 1999 et mis en oeuvre par la CNAMTS.

Il a pour objectif de contribuer à une meilleure gestion des politiques de santé. Cette base de données contient de nombreuses données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.).

De nombreux organismes y ont accès : les caisses gestionnaires des régimes d'assurance maladie, les agences régionales de santé, des ministères, l'Institut national des données de santé, des organismes de recherche pour des finalités d'études dans le cadre de missions de service public ou de recherche en santé.

Mise en demeure de la CNIL

La CNIL n'a décelé aucune faille majeure dans le système et la base de données centrale. Elle pointe cependant de multiples insuffisances en termes de sécurité qui concernent, notamment, la pseudonymisation des données des assurés, les procédures de sauvegarde, l'accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d'extractions de données agrégées du SNIIRAM aux partenaires.

Les noms, prénoms, adresses et numéros de sécurité sociale des assurés sociaux ne figurent pas dans le fichier mais, selon la CNIL, il est possible d'identifier des patients en croisant les nombreuses variables.

En conséquence, la CNIL donne trois mois à la CNAMTS pour mettre en conformité le SNIIRAM avec la réglementation en vigueur.

Dans un communiqué du 28 février, la CNAMTS s'engage à prendre des mesures supplémentaires de sécurisation.