https://inovelan.fr/santnetbox/

Politique

Pilotage, sécurité, modèle économique: trois écueils du Sniiram selon la Cour des comptes

0 38

PARIS, 9 mai 2016 (TICsanté) - La Cour des comptes a alerté les pouvoirs publics sur la nécessité de "renforcer la sécurité", de "clarifier la gouvernance" et "définir un modèle économique" au Système national inter-régimes de l'assurance maladie (Sniiram) dans un rapport sur les données personnelles de santé gérées par l'assurance maladie, rendu public le 3 mai.

Commandé par la mission d'évaluation et de contrôle de la sécurité sociale (Mecss) et par la commission des affaires sociales de l'Assemblée nationale, ce rapport de 167 pages détaille la montée en puissance du Sniiram, sonde son utilisation, qualifiée par la Cour de "précautionneuse", et détaille les défis à relever dans le cadre de la création du Système national des données de santé (SNDS), prévue par loi "de modernisation de notre système de santé" promulguée en janvier (voir dépêche du 3 décembre 2015).

Auditionné le 3 mai par la Mecss sur ce rapport, le président de la sixième chambre de la Cour, Antoine Durrleman, a estimé que le Sniiram était "une base de données réussie d'une richesse et d'une finesse considérable", élaborée de façon "très pragmatique".

Il a toutefois souligné le caractère "baroque" de la base de données, construite en 10 ans "à la façon d'une cathédrale gothique" et "sans qu'il y ait nécessairement un plan préétabli, une vision prédéterminée".

Ce "pilotage stratégique confus" dès la création du dispositif prévu par la loi de financement de la sécurité sociale (LFSS) pour 1999 et mis en oeuvre en 2004, s'est poursuivi selon les magistrats de la rue Cambon tout au long de sa construction, et ce alors qu'il devait être assumé par le Comité d'orientation et de pilotage de l'information interrégimes (Copiir), créé en 2001.

Les magistrats de la rue Cambon écrivent dans leur rapport que "l'analyse des relevés de décisions montre que le Copiir a délaissé ses missions, en particulier le pilotage du Sniiram et de ses évolutions, au bénéfice de la Caisse nationale d'assurance maladie des travailleurs salariés (Cnamts)", faisant de la Cnamts "le seul vrai pilote du système".

Pour l'avenir, ils appellent l'exécutif à "clarifier les responsabilités des acteurs", notamment celles de la Cnamts, de la direction de la recherche, des études, de l'évaluation et des statistiques (Drees), de l'Institut national des données de santé (INDS), de la Cnil, ainsi que "les circuits d'instruction des demandes d'accès".

"Il est essentiel que les pouvoirs publics s'impliquent pleinement dans la définition des orientations stratégiques et exercent complètement leurs responsabilités, notamment dans leur fonction de garant en dernier ressort de la sécurité des données de santé, qu'il s'agisse de la fiabilité des dispositifs de cryptage, de la solidité des systèmes informatiques en cas de risque d'effraction, ou du contrôle a posteriori des usages autorisés", souligne la Cour.

CRAINTES SUR L'OBSOLESCENCE DU SYSTÈME

Si "aucune fuite de données n'a été constatée à ce jour", la pérennité de la sécurité informatique du Sniiram est interrogée à maintes reprises dans le rapport de la Cour, en lien avec "l'ancienneté de certains composants ou applications, datant d'un ou plusieurs décennies".

Le texte pointe "deux risques majeurs" portant sur l'algorithme d'occultation permettant d'anonymiser les informations du Sniiram et sur "l'absence de procédure de remplacement des clés de cryptage".

Concernant l'algorithme d'occultation, la Cour note qu'il repose au sein du Sniiram sur un standard fédéral américain appelé SHA-1 et considéré comme "obsolescent".

Un bulletin d'information de l'Agence nationale de sécurité des systèmes d'information (Anssi) publié en octobre 2015 a recommandé "de ne pas attendre le retrait officiel de SHA-1 fin 2016 pour migrer vers SHA-2 ou SHA-3".

La Cour note toutefois que "fin 2015, le ministère n'avait pas encore demandé, ni la Cnamts engagé, l'élaboration d'un plan, de calendrier et d'estimations financières en vue d'un changement d'algorithme, inéluctable à moyen terme".

Interrogée par la Cour, la Cnamts a annoncé son intention de remédier à ces lacunes lors de la prochaine convention d'objectifs et de gestion (COG) pour la période 2018-21.

Le ministère de la santé a pour sa part souligné auprès de la Cour que "ses moyens et son expertise limités l'empêchent de mieux s'assurer du respect des référentiels et standards".

SUIVI DES COUTS ET MODÈLE ÉCONOMIQUE

L'autre faiblesse du Sniiram selon la Cour reposerait sur le suivi des dépenses liées à son enrichissement et à sa maintenance et sur le manque de vision à long terme sur les besoins en investissement.

Le rapport pointe qu'"aucun récapitulatif des coûts du Sniiram depuis sa création n'a été dressé par la Cnamts".

La caisse a bien fourni un tableau de ses dépenses au titre du Sniiram depuis 2010 qui fait état de près de 30 millions d'euros investis sur la période récente, mais "l'absence d'évaluation des temps de travail" consacrés au système "ne permet pas de retracer la réalité de son coût, en tout état de cause sensiblement supérieur", ont jugé les magistrats de Cour des comptes.

Ils appellent les pouvoirs publics à "ne pas répéter cette erreur" et à "penser, dès la création du nouveau SNDS, un modèle économique qui lui permette de trouver les ressources nécessaires à son développement".

Alors que l'article 193 de la loi "de modernisation de notre système de santé" prévoit la mise à disposition gratuite des données agrégées et individuelles lorsqu'elles ne sont pas potentiellement réidentifiables, la Cour déplore "des possibilités de tarification limitées pour les données à caractère personnel".

"Un dispositif de tarification sous une forme appropriée permettrait pourtant de faire contribuer les utilisateurs du SNDS à sa maintenance, et, surtout, aux investissements continus liés à sa sécurisation et à son développement", estime le rapport.

Il ajoute que "les modèles pratiqués à l'étranger et l'appétence d'un secteur privé disposé à payer des montants élevés pour accéder aux données démontrent un potentiel de recettes considérables pour l'assurance maladie".

Rapport de la Cour des comptes sur les données personnelles de santé gérées par l'assurance maladie

Les 13 recommandations de la Cour
  • poursuivre l'amélioration de la complétude et de la qualité des données
  • mettre en place rapidement un suivi analytique des coûts d'alimentation, de sécurisation, de gestion et d'utilisation du Sniiram
  • reconnaître à la Cnamts le statut d'opérateur d'importance vitale
  • anticiper la programmation financière et le calendrier des travaux de renforcement de la sécurité du Sniiram
  • exploiter les potentialités du Sniiram à des fins de gestion du risque (lutte contre la fraude et les abus)
  • développer l'exploitation du Sniiram par les pouvoirs publics (directions d'administration centrale) et en mutualisant les compétences au sein de la Drees
  • intensifier l'utilisation des bases médico-administratives en fixant des objectifs et indicateurs de performances dans les conventions passées entre le ministère et les opérateurs
  • améliorer la qualité des informations médicales du Sniiram (codage médical des soins de ville, rapprochement avec les données socio-économiques ou d'habitude de vie)
  • hiérarchiser les finalités poursuivies par le SNDS, afin de définir les investissements et les accès permanents et ponctuels à autoriser
  • simplifier les procédures relevant de la Cnil pour l'accès ponctuel aux données du SNDS
  • articuler précisément et explicitement le rôle des différents acteurs dans la gestion du pilotage et des accès au SNDS
  • mettre en oeuvre une politique systématique et rigoureuse de contrôle a posteriori des règles relatives à l'utilisation du Sniiram et du SNDS
  • assurer la soutenabilité financière du SNDS, en articulant gratuité d'une offre de base et tarification adaptée de services spécifiques.

rm/vg/ab

La Rédaction
redaction@ticsante.com
http://www.computer-engineering.fr/

Politique

La Cnil met en demeure la Cnam pour une sécurisation insuffisante du Sniiram

PARIS, 28 février 2018 (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé par communiqué mardi 27 février avoir mis en demeure la Caisse nationale de l'assurance maladie (Cnam) de renforcer la sécurisation du Système national inter-régimes de l'assurance maladie (Sniiram).

E-santé

Nicolas Revel annonce la généralisation du DMP pour octobre 2018

PARIS, 9 février 2018 (TICsanté) - Le dossier médical partagé (DMP) sera officiellement lancé sur l'ensemble du territoire national en octobre 2018, a annoncé Nicolas Revel, directeur général de la Caisse nationale d'assurance maladie (Cnam) lors d'une table ronde organisée par les Contrepoints de la santé, le 8 février.

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
7 + 4 =
http://www.canyon.fr/
https://www.groupepsih.com/
http://www.web100t.fr

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Colloque TIC santé 2019

    Du 06/02/2019 au 07/02/2019

  • Hacking Health Camp 2019

    Du 22/03/2019 au 24/03/2019

  • 7ème Congrès national de l'Apssis

    Du 02/04/2019 au 04/04/2019

  • 2e Forum Derm@to Connecté

    Le 17/05/2019

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019