https://global.agfahealthcare.com/france/systemes-informations/srd_restauration/
http://vieviewer.com/

Politique

Pilotage, sécurité, modèle économique: trois écueils du Sniiram selon la Cour des comptes

0 132

PARIS, 9 mai 2016 (TICsanté) - La Cour des comptes a alerté les pouvoirs publics sur la nécessité de "renforcer la sécurité", de "clarifier la gouvernance" et "définir un modèle économique" au Système national inter-régimes de l'assurance maladie (Sniiram) dans un rapport sur les données personnelles de santé gérées par l'assurance maladie, rendu public le 3 mai.

Commandé par la mission d'évaluation et de contrôle de la sécurité sociale (Mecss) et par la commission des affaires sociales de l'Assemblée nationale, ce rapport de 167 pages détaille la montée en puissance du Sniiram, sonde son utilisation, qualifiée par la Cour de "précautionneuse", et détaille les défis à relever dans le cadre de la création du Système national des données de santé (SNDS), prévue par loi "de modernisation de notre système de santé" promulguée en janvier (voir dépêche du 3 décembre 2015).

Auditionné le 3 mai par la Mecss sur ce rapport, le président de la sixième chambre de la Cour, Antoine Durrleman, a estimé que le Sniiram était "une base de données réussie d'une richesse et d'une finesse considérable", élaborée de façon "très pragmatique".

Il a toutefois souligné le caractère "baroque" de la base de données, construite en 10 ans "à la façon d'une cathédrale gothique" et "sans qu'il y ait nécessairement un plan préétabli, une vision prédéterminée".

Ce "pilotage stratégique confus" dès la création du dispositif prévu par la loi de financement de la sécurité sociale (LFSS) pour 1999 et mis en oeuvre en 2004, s'est poursuivi selon les magistrats de la rue Cambon tout au long de sa construction, et ce alors qu'il devait être assumé par le Comité d'orientation et de pilotage de l'information interrégimes (Copiir), créé en 2001.

Les magistrats de la rue Cambon écrivent dans leur rapport que "l'analyse des relevés de décisions montre que le Copiir a délaissé ses missions, en particulier le pilotage du Sniiram et de ses évolutions, au bénéfice de la Caisse nationale d'assurance maladie des travailleurs salariés (Cnamts)", faisant de la Cnamts "le seul vrai pilote du système".

Pour l'avenir, ils appellent l'exécutif à "clarifier les responsabilités des acteurs", notamment celles de la Cnamts, de la direction de la recherche, des études, de l'évaluation et des statistiques (Drees), de l'Institut national des données de santé (INDS), de la Cnil, ainsi que "les circuits d'instruction des demandes d'accès".

"Il est essentiel que les pouvoirs publics s'impliquent pleinement dans la définition des orientations stratégiques et exercent complètement leurs responsabilités, notamment dans leur fonction de garant en dernier ressort de la sécurité des données de santé, qu'il s'agisse de la fiabilité des dispositifs de cryptage, de la solidité des systèmes informatiques en cas de risque d'effraction, ou du contrôle a posteriori des usages autorisés", souligne la Cour.

CRAINTES SUR L'OBSOLESCENCE DU SYSTÈME

Si "aucune fuite de données n'a été constatée à ce jour", la pérennité de la sécurité informatique du Sniiram est interrogée à maintes reprises dans le rapport de la Cour, en lien avec "l'ancienneté de certains composants ou applications, datant d'un ou plusieurs décennies".

Le texte pointe "deux risques majeurs" portant sur l'algorithme d'occultation permettant d'anonymiser les informations du Sniiram et sur "l'absence de procédure de remplacement des clés de cryptage".

Concernant l'algorithme d'occultation, la Cour note qu'il repose au sein du Sniiram sur un standard fédéral américain appelé SHA-1 et considéré comme "obsolescent".

Un bulletin d'information de l'Agence nationale de sécurité des systèmes d'information (Anssi) publié en octobre 2015 a recommandé "de ne pas attendre le retrait officiel de SHA-1 fin 2016 pour migrer vers SHA-2 ou SHA-3".

La Cour note toutefois que "fin 2015, le ministère n'avait pas encore demandé, ni la Cnamts engagé, l'élaboration d'un plan, de calendrier et d'estimations financières en vue d'un changement d'algorithme, inéluctable à moyen terme".

Interrogée par la Cour, la Cnamts a annoncé son intention de remédier à ces lacunes lors de la prochaine convention d'objectifs et de gestion (COG) pour la période 2018-21.

Le ministère de la santé a pour sa part souligné auprès de la Cour que "ses moyens et son expertise limités l'empêchent de mieux s'assurer du respect des référentiels et standards".

SUIVI DES COUTS ET MODÈLE ÉCONOMIQUE

L'autre faiblesse du Sniiram selon la Cour reposerait sur le suivi des dépenses liées à son enrichissement et à sa maintenance et sur le manque de vision à long terme sur les besoins en investissement.

Le rapport pointe qu'"aucun récapitulatif des coûts du Sniiram depuis sa création n'a été dressé par la Cnamts".

La caisse a bien fourni un tableau de ses dépenses au titre du Sniiram depuis 2010 qui fait état de près de 30 millions d'euros investis sur la période récente, mais "l'absence d'évaluation des temps de travail" consacrés au système "ne permet pas de retracer la réalité de son coût, en tout état de cause sensiblement supérieur", ont jugé les magistrats de Cour des comptes.

Ils appellent les pouvoirs publics à "ne pas répéter cette erreur" et à "penser, dès la création du nouveau SNDS, un modèle économique qui lui permette de trouver les ressources nécessaires à son développement".

Alors que l'article 193 de la loi "de modernisation de notre système de santé" prévoit la mise à disposition gratuite des données agrégées et individuelles lorsqu'elles ne sont pas potentiellement réidentifiables, la Cour déplore "des possibilités de tarification limitées pour les données à caractère personnel".

"Un dispositif de tarification sous une forme appropriée permettrait pourtant de faire contribuer les utilisateurs du SNDS à sa maintenance, et, surtout, aux investissements continus liés à sa sécurisation et à son développement", estime le rapport.

Il ajoute que "les modèles pratiqués à l'étranger et l'appétence d'un secteur privé disposé à payer des montants élevés pour accéder aux données démontrent un potentiel de recettes considérables pour l'assurance maladie".

Rapport de la Cour des comptes sur les données personnelles de santé gérées par l'assurance maladie

Les 13 recommandations de la Cour
  • poursuivre l'amélioration de la complétude et de la qualité des données
  • mettre en place rapidement un suivi analytique des coûts d'alimentation, de sécurisation, de gestion et d'utilisation du Sniiram
  • reconnaître à la Cnamts le statut d'opérateur d'importance vitale
  • anticiper la programmation financière et le calendrier des travaux de renforcement de la sécurité du Sniiram
  • exploiter les potentialités du Sniiram à des fins de gestion du risque (lutte contre la fraude et les abus)
  • développer l'exploitation du Sniiram par les pouvoirs publics (directions d'administration centrale) et en mutualisant les compétences au sein de la Drees
  • intensifier l'utilisation des bases médico-administratives en fixant des objectifs et indicateurs de performances dans les conventions passées entre le ministère et les opérateurs
  • améliorer la qualité des informations médicales du Sniiram (codage médical des soins de ville, rapprochement avec les données socio-économiques ou d'habitude de vie)
  • hiérarchiser les finalités poursuivies par le SNDS, afin de définir les investissements et les accès permanents et ponctuels à autoriser
  • simplifier les procédures relevant de la Cnil pour l'accès ponctuel aux données du SNDS
  • articuler précisément et explicitement le rôle des différents acteurs dans la gestion du pilotage et des accès au SNDS
  • mettre en oeuvre une politique systématique et rigoureuse de contrôle a posteriori des règles relatives à l'utilisation du Sniiram et du SNDS
  • assurer la soutenabilité financière du SNDS, en articulant gratuité d'une offre de base et tarification adaptée de services spécifiques.

rm/vg/ab

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

Acteurs

Informatique hospitalière: le directeur général du Mipih mis en examen

TOULOUSE (TICsanté) - Pierre Maggioni, directeur général du groupement d'intérêt public (GIP) Mipih (Midi Picardie informatique hospitalière), a été mis en examen pour trafic d'influence et prise illégale d'intérêt, a-t-il indiqué le 18 mai à TICsanté, confirmant une information de France 3 Occitanie.

1 196

E-santé

L'AP-HP vise "100.000 volontaires à terme" au sein de sa communauté en ligne de patients pour la recherche (ComPaRe)

PARIS, 10 octobre 2018 (TICsanté) - Créée en 2017 par l'Assistance publique-hôpitaux de Paris (AP-HP), la communauté de patients pour la recherche (ComPaRe) permet à 7.256 patients volontaires de répondre à des questionnaires en ligne, sur une plateforme de l'AP-HP, pour leur permettre de "devenir des acteurs de la recherche", a expliqué le Pr Philippe Ravaud, directeur du centre d'épidémiologie clinique de l'Hôtel-Dieu et fondateur du projet ComPaRe.

0 234

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 6 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019
https://www.evolucare.com/articles/CP_Axapa.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=axapa

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Sommet European AI for Health

    Le 05/09/2019

  • 7èmes Rencontres du progrès médical

    Le 10/09/2019

  • Université des déserts médicaux et numériques

    Du 20/09/2019 au 21/09/2019

  • Catel Paris 2019

    Le 03/10/2019