https://www.nehs-digital.com

Politique

Pilotage, sécurité, modÚle économique: trois écueils du Sniiram selon la Cour des comptes

0 607

PARIS, 9 mai 2016 (TICsanté) - La Cour des comptes a alerté les pouvoirs publics sur la nécessité de "renforcer la sécurité", de "clarifier la gouvernance" et "définir un modÚle économique" au SystÚme national inter-régimes de l'assurance maladie (Sniiram) dans un rapport sur les données personnelles de santé gérées par l'assurance maladie, rendu public le 3 mai.

CommandĂ© par la mission d'Ă©valuation et de contrĂŽle de la sĂ©curitĂ© sociale (Mecss) et par la commission des affaires sociales de l'AssemblĂ©e nationale, ce rapport de 167 pages dĂ©taille la montĂ©e en puissance du Sniiram, sonde son utilisation, qualifiĂ©e par la Cour de "prĂ©cautionneuse", et dĂ©taille les dĂ©fis Ă  relever dans le cadre de la crĂ©ation du SystĂšme national des donnĂ©es de santĂ© (SNDS), prĂ©vue par loi "de modernisation de notre systĂšme de santĂ©" promulguĂ©e en janvier (voir dĂ©pĂȘche du 3 dĂ©cembre 2015).

Auditionné le 3 mai par la Mecss sur ce rapport, le président de la sixiÚme chambre de la Cour, Antoine Durrleman, a estimé que le Sniiram était "une base de données réussie d'une richesse et d'une finesse considérable", élaborée de façon "trÚs pragmatique".

Il a toutefois souligné le caractÚre "baroque" de la base de données, construite en 10 ans "à la façon d'une cathédrale gothique" et "sans qu'il y ait nécessairement un plan préétabli, une vision prédéterminée".

Ce "pilotage stratĂ©gique confus" dĂšs la crĂ©ation du dispositif prĂ©vu par la loi de financement de la sĂ©curitĂ© sociale (LFSS) pour 1999 et mis en oeuvre en 2004, s'est poursuivi selon les magistrats de la rue Cambon tout au long de sa construction, et ce alors qu'il devait ĂȘtre assumĂ© par le ComitĂ© d'orientation et de pilotage de l'information interrĂ©gimes (Copiir), crĂ©Ă© en 2001.

Les magistrats de la rue Cambon écrivent dans leur rapport que "l'analyse des relevés de décisions montre que le Copiir a délaissé ses missions, en particulier le pilotage du Sniiram et de ses évolutions, au bénéfice de la Caisse nationale d'assurance maladie des travailleurs salariés (Cnamts)", faisant de la Cnamts "le seul vrai pilote du systÚme".

Pour l'avenir, ils appellent l'exécutif à "clarifier les responsabilités des acteurs", notamment celles de la Cnamts, de la direction de la recherche, des études, de l'évaluation et des statistiques (Drees), de l'Institut national des données de santé (INDS), de la Cnil, ainsi que "les circuits d'instruction des demandes d'accÚs".

"Il est essentiel que les pouvoirs publics s'impliquent pleinement dans la définition des orientations stratégiques et exercent complÚtement leurs responsabilités, notamment dans leur fonction de garant en dernier ressort de la sécurité des données de santé, qu'il s'agisse de la fiabilité des dispositifs de cryptage, de la solidité des systÚmes informatiques en cas de risque d'effraction, ou du contrÎle a posteriori des usages autorisés", souligne la Cour.

CRAINTES SUR L'OBSOLESCENCE DU SYSTÈME

Si "aucune fuite de données n'a été constatée à ce jour", la pérennité de la sécurité informatique du Sniiram est interrogée à maintes reprises dans le rapport de la Cour, en lien avec "l'ancienneté de certains composants ou applications, datant d'un ou plusieurs décennies".

Le texte pointe "deux risques majeurs" portant sur l'algorithme d'occultation permettant d'anonymiser les informations du Sniiram et sur "l'absence de procédure de remplacement des clés de cryptage".

Concernant l'algorithme d'occultation, la Cour note qu'il repose au sein du Sniiram sur un standard fédéral américain appelé SHA-1 et considéré comme "obsolescent".

Un bulletin d'information de l'Agence nationale de sécurité des systÚmes d'information (Anssi) publié en octobre 2015 a recommandé "de ne pas attendre le retrait officiel de SHA-1 fin 2016 pour migrer vers SHA-2 ou SHA-3".

La Cour note toutefois que "fin 2015, le ministÚre n'avait pas encore demandé, ni la Cnamts engagé, l'élaboration d'un plan, de calendrier et d'estimations financiÚres en vue d'un changement d'algorithme, inéluctable à moyen terme".

Interrogée par la Cour, la Cnamts a annoncé son intention de remédier à ces lacunes lors de la prochaine convention d'objectifs et de gestion (COG) pour la période 2018-21.

Le ministĂšre de la santĂ© a pour sa part soulignĂ© auprĂšs de la Cour que "ses moyens et son expertise limitĂ©s l'empĂȘchent de mieux s'assurer du respect des rĂ©fĂ©rentiels et standards".

SUIVI DES COUTS ET MODÈLE ÉCONOMIQUE

L'autre faiblesse du Sniiram selon la Cour reposerait sur le suivi des dépenses liées à son enrichissement et à sa maintenance et sur le manque de vision à long terme sur les besoins en investissement.

Le rapport pointe qu'"aucun récapitulatif des coûts du Sniiram depuis sa création n'a été dressé par la Cnamts".

La caisse a bien fourni un tableau de ses dépenses au titre du Sniiram depuis 2010 qui fait état de prÚs de 30 millions d'euros investis sur la période récente, mais "l'absence d'évaluation des temps de travail" consacrés au systÚme "ne permet pas de retracer la réalité de son coût, en tout état de cause sensiblement supérieur", ont jugé les magistrats de Cour des comptes.

Ils appellent les pouvoirs publics à "ne pas répéter cette erreur" et à "penser, dÚs la création du nouveau SNDS, un modÚle économique qui lui permette de trouver les ressources nécessaires à son développement".

Alors que l'article 193 de la loi "de modernisation de notre systÚme de santé" prévoit la mise à disposition gratuite des données agrégées et individuelles lorsqu'elles ne sont pas potentiellement réidentifiables, la Cour déplore "des possibilités de tarification limitées pour les données à caractÚre personnel".

"Un dispositif de tarification sous une forme appropriée permettrait pourtant de faire contribuer les utilisateurs du SNDS à sa maintenance, et, surtout, aux investissements continus liés à sa sécurisation et à son développement", estime le rapport.

Il ajoute que "les modÚles pratiqués à l'étranger et l'appétence d'un secteur privé disposé à payer des montants élevés pour accéder aux données démontrent un potentiel de recettes considérables pour l'assurance maladie".

Rapport de la Cour des comptes sur les données personnelles de santé gérées par l'assurance maladie

Les 13 recommandations de la Cour
  • poursuivre l'amĂ©lioration de la complĂ©tude et de la qualitĂ© des donnĂ©es
  • mettre en place rapidement un suivi analytique des coĂ»ts d'alimentation, de sĂ©curisation, de gestion et d'utilisation du Sniiram
  • reconnaĂźtre Ă  la Cnamts le statut d'opĂ©rateur d'importance vitale
  • anticiper la programmation financiĂšre et le calendrier des travaux de renforcement de la sĂ©curitĂ© du Sniiram
  • exploiter les potentialitĂ©s du Sniiram Ă  des fins de gestion du risque (lutte contre la fraude et les abus)
  • dĂ©velopper l'exploitation du Sniiram par les pouvoirs publics (directions d'administration centrale) et en mutualisant les compĂ©tences au sein de la Drees
  • intensifier l'utilisation des bases mĂ©dico-administratives en fixant des objectifs et indicateurs de performances dans les conventions passĂ©es entre le ministĂšre et les opĂ©rateurs
  • amĂ©liorer la qualitĂ© des informations mĂ©dicales du Sniiram (codage mĂ©dical des soins de ville, rapprochement avec les donnĂ©es socio-Ă©conomiques ou d'habitude de vie)
  • hiĂ©rarchiser les finalitĂ©s poursuivies par le SNDS, afin de dĂ©finir les investissements et les accĂšs permanents et ponctuels Ă  autoriser
  • simplifier les procĂ©dures relevant de la Cnil pour l'accĂšs ponctuel aux donnĂ©es du SNDS
  • articuler prĂ©cisĂ©ment et explicitement le rĂŽle des diffĂ©rents acteurs dans la gestion du pilotage et des accĂšs au SNDS
  • mettre en oeuvre une politique systĂ©matique et rigoureuse de contrĂŽle a posteriori des rĂšgles relatives Ă  l'utilisation du Sniiram et du SNDS
  • assurer la soutenabilitĂ© financiĂšre du SNDS, en articulant gratuitĂ© d'une offre de base et tarification adaptĂ©e de services spĂ©cifiques.

rm/vg/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Politique

Les infirmiers seront enregistrés au répertoire RPPS par l'ordre à partir de la fin septembre

PARIS (TICsanté) - Les infirmiers seront enregistrés au répertoire partagé des professionnels de santé (RPPS) par l'Ordre national des infirmiers (ONI) à partir de la fin septembre, ont annoncé ce dernier et l'Agence du numérique en santé (ANS) dans un communiqué commun diffusé le 18 mai.

0 668

En bref

DonnĂ©es de santĂ©: l'ATIH lance un appel Ă  manifestation d'intĂ©rĂȘt

L'Agence technique de l'information sur l'hospitalisation (ATIH) a lancĂ© le 1er avril un appel Ă  manifestation d’intĂ©rĂȘt (AMI) destinĂ© aux "Ă©quipes acadĂ©miques" (universitĂ©s et centres de recherche) pour "des projets sur la dĂ©finition et la mise en Ɠuvre d’indicateurs de qualitĂ© et de sĂ©curitĂ© des soins, la tĂ©lĂ©santĂ© et le financement au parcours".

0 445

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 2 =
http://www.canyon.fr/
https://groupepsih.com/business-intelligence-en-sante-hospivision/
http://www.phast.fr/live-snomedct-medicament/

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • SIDO 2021

    Du 22/09/2021 au 23/09/2021

  • L'UniversitĂ© d'Ă©tĂ© de la e-santĂ© 2021

    Du 23/09/2021 au 24/09/2021

ï»ż