https://global.agfahealthcare.com/france/
http://www.computer-engineering.fr
28/02/2018   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

La Cnil met en demeure la Cnam pour une sécurisation insuffisante du Sniiram

PARIS, 28 février 2018 (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé par communiqué mardi 27 février avoir mis en demeure la Caisse nationale de l'assurance maladie (Cnam) de renforcer la sécurisation du Système national inter-régimes de l'assurance maladie (Sniiram).

Dans un communiqué paru quelques heures plus tard la Cnam s'est engagée à corriger les failles de sécurité.

"Si la Cnil n'a pas constaté de faille majeure dans l'architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux [...], les procédures de sauvegarde des données, l'accès aux données par les utilisateurs [...] et par des prestataires", explique l'autorité administrative indépendante dans un communiqué.

Le Sniiram, créé par la loi du 23 décembre 1998, "contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) auxquelles accèdent de très nombreux organismes", dont les caisses d'assurance maladie, les agences régionales de santé (ARS), des ministères, l'Institut national des données de santé ou encore des organismes de recherche, rappelle la Cnil.

Considéré comme l'une des bases de données de santé les plus importantes au monde par sa taille, le Sniiram constitue l'un des traitements clés du Système national des données de santé (SNDS), créé depuis le 1er avril 2017 (voir dépêche du 3 janvier 2017).

La Cnil indique avoir diligenté une série de contrôles à la suite d'un projet de rapport de la Cour des comptes, finalement publié en mai 2016, faisant état d'une sécurisation insuffisante du dispositif (voir dépêche du 9 mai 2016).

Dans une décision adoptée le 8 février, la Cnil précise que ses équipes se sont déplacées à l'automne 2016 puis au premier trimestre 2017 au sein des locaux de la Cnam, du centre d'hébergement de données d'Évreux, de la société Sopra Steria (prestataire chargé d'assurer la maintenance évolutive et corrective du Sniiram) et de la caisse primaire d'assurance maladie (CPAM) de Loire-Atlantique.

Elle note que la Cnam est "considérée comme responsable de traitement" du Sniiram puisqu'elle assure la gestion technique de la base comme le prévoit l'arrêté du 19 juillet 2013, tout en étant "responsable du respect des règles de protection des données" ainsi que du fonctionnement opérationnel de la base.

Les visites opérées et les réponses fournies dans un questionnaire Cnil "ont mis en lumière de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du Sniiram".

"Les multiples insuffisances en termes de sécurité concernent, notamment, la pseudonymisation des données, les procédures de sauvegarde, l'accès aux données par les utilisateurs du Sniiram et par des prestataires, la sécurité des postes de travail des utilisateurs du Sniiram, les extractions de données individuelles du Sniiram ainsi que la mise à disposition d'extractions de données agrégées du Sniiram aux partenaires", observe la Cnil.

La Cnam a jusqu'à mi-mai pour corriger le tir

Elle met en demeure la Cnam, sous un délai de 3 mois à compter de la notification de la décision, de "prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées". La Cnil détaille les données concernées dans une annexe, qui n'est pas rendue publique.

Dans une délibération adoptée le 15 février, le bureau de la Cnil a décidé de rendre publique cette mise en demeure, compte tenu de la "particulière gravité" des manquements constatés.

La publicité est ainsi justifiée "par la particulière sensibilité des données traitées par la Cnam, à savoir les actes médicaux, feuilles de soins et séjours hospitaliers qui révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations: âge, code postal, date de soins, médecin traitant, etc.".

"En outre, le bureau [de la Cnil] estime que le risque pour la sécurité des données est particulièrement élevé compte tenu du volume de données enregistrées dans le Sniiram et du nombre important de destinataires des données".

Dans son communiqué, la Cnil rappelle que cette mise en demeure ne constitue pas une sanction et qu'"aucune suite ne sera donnée à cette procédure si la Cnam se conforme à la loi dans le délai imparti".

Cette mise en demeure intervient alors que la Cnam, chargée depuis 2015 du pilotage du dossier médical partagé (DMP) (voir dépêche du 13 avril 2015) dont les données sont particulièrement sensibles, prévoit sa généralisation dans le courant de l'année (voir dépêche du 9 février 2018) et table sur 3,5 millions de dossiers ouverts d'ici fin décembre.

La Cnam répond

Pour la Cnam, ces observations "ne mettent pas en cause les éléments fondamentaux de la sécurité du Sniiram, la Cnil indiquant qu'elle n'a pas constaté de faille majeure dans l'architecture de la base centrale", a répondu l'organisme public dans un communiqué le 27 février.

Elle indique prendre "acte des points soulevés par la Cnil, dont le détail n'a pas vocation à être rendu public".

"Des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d'actions en cours de déploiement, notamment dans le cadre de l'ouverture accrue des données de santé décidée par la loi du 26 janvier 2016", poursuit la caisse.

"Ces mesures concernent, par exemple, la pseudonymisation des données des assurés sociaux, qui, si elle est déjà assurée de manière sécurisée, peut encore être renforcée par l'utilisation de nouveaux algorithmes", développe-t-elle.

"Le développement des usages et des innovations technologiques accroissent en effet sans cesse le niveau d'exigence en termes de sécurisation des données. Pleinement consciente de ses responsabilités, l'assurance maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années [et] poursuivra ces investissements afin de tenir compte de l'évolution régulière des risques et des technologies", conclut-elle.

vg/eh/ab

Partagez cet article

Les dépêches liées à cette information
http://www.faireavancerlasantenumerique.com/programme-des-36-heures-chrono-parcours-de-vie/
https://www.groupepsih.com/
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription