https://vieviewer.com/
https://digital-solutions2.konicaminolta.fr/FR-20201126-WBR-0-SAN-WBR-HVF-0-digital-sante_LP-01-Page-dinscription.html?utm_campaign=FR-20201126-WBR-0-SAN-WBR-HVF-0-digital-sante&utm_source=TicSante&utm_content=webinar&utm_medium=display

Politique

La Cnil met en demeure la Cnam pour une sécurisation insuffisante du Sniiram

0 557

PARIS, 28 février 2018 (TICsanté) - La Commission nationale de l'informatique et des libertés (Cnil) a annoncé par communiqué mardi 27 février avoir mis en demeure la Caisse nationale de l'assurance maladie (Cnam) de renforcer la sécurisation du Système national inter-régimes de l'assurance maladie (Sniiram).

Dans un communiqué paru quelques heures plus tard la Cnam s'est engagée à corriger les failles de sécurité.

"Si la Cnil n'a pas constaté de faille majeure dans l'architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux [...], les procédures de sauvegarde des données, l'accès aux données par les utilisateurs [...] et par des prestataires", explique l'autorité administrative indépendante dans un communiqué.

Le Sniiram, créé par la loi du 23 décembre 1998, "contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) auxquelles accèdent de très nombreux organismes", dont les caisses d'assurance maladie, les agences régionales de santé (ARS), des ministères, l'Institut national des données de santé ou encore des organismes de recherche, rappelle la Cnil.

Considéré comme l'une des bases de données de santé les plus importantes au monde par sa taille, le Sniiram constitue l'un des traitements clés du Système national des données de santé (SNDS), créé depuis le 1er avril 2017 (voir dépêche du 3 janvier 2017).

La Cnil indique avoir diligenté une série de contrôles à la suite d'un projet de rapport de la Cour des comptes, finalement publié en mai 2016, faisant état d'une sécurisation insuffisante du dispositif (voir dépêche du 9 mai 2016).

Dans une décision adoptée le 8 février, la Cnil précise que ses équipes se sont déplacées à l'automne 2016 puis au premier trimestre 2017 au sein des locaux de la Cnam, du centre d'hébergement de données d'Évreux, de la société Sopra Steria (prestataire chargé d'assurer la maintenance évolutive et corrective du Sniiram) et de la caisse primaire d'assurance maladie (CPAM) de Loire-Atlantique.

Elle note que la Cnam est "considérée comme responsable de traitement" du Sniiram puisqu'elle assure la gestion technique de la base comme le prévoit l'arrêté du 19 juillet 2013, tout en étant "responsable du respect des règles de protection des données" ainsi que du fonctionnement opérationnel de la base.

Les visites opérées et les réponses fournies dans un questionnaire Cnil "ont mis en lumière de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du Sniiram".

"Les multiples insuffisances en termes de sécurité concernent, notamment, la pseudonymisation des données, les procédures de sauvegarde, l'accès aux données par les utilisateurs du Sniiram et par des prestataires, la sécurité des postes de travail des utilisateurs du Sniiram, les extractions de données individuelles du Sniiram ainsi que la mise à disposition d'extractions de données agrégées du Sniiram aux partenaires", observe la Cnil.

La Cnam a jusqu'Ă  mi-mai pour corriger le tir

Elle met en demeure la Cnam, sous un délai de 3 mois à compter de la notification de la décision, de "prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées". La Cnil détaille les données concernées dans une annexe, qui n'est pas rendue publique.

Dans une délibération adoptée le 15 février, le bureau de la Cnil a décidé de rendre publique cette mise en demeure, compte tenu de la "particulière gravité" des manquements constatés.

La publicité est ainsi justifiée "par la particulière sensibilité des données traitées par la Cnam, à savoir les actes médicaux, feuilles de soins et séjours hospitaliers qui révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations: âge, code postal, date de soins, médecin traitant, etc.".

"En outre, le bureau [de la Cnil] estime que le risque pour la sécurité des données est particulièrement élevé compte tenu du volume de données enregistrées dans le Sniiram et du nombre important de destinataires des données".

Dans son communiqué, la Cnil rappelle que cette mise en demeure ne constitue pas une sanction et qu'"aucune suite ne sera donnée à cette procédure si la Cnam se conforme à la loi dans le délai imparti".

Cette mise en demeure intervient alors que la Cnam, chargée depuis 2015 du pilotage du dossier médical partagé (DMP) (voir dépêche du 13 avril 2015) dont les données sont particulièrement sensibles, prévoit sa généralisation dans le courant de l'année (voir dépêche du 9 février 2018) et table sur 3,5 millions de dossiers ouverts d'ici fin décembre.

La Cnam répond

Pour la Cnam, ces observations "ne mettent pas en cause les éléments fondamentaux de la sécurité du Sniiram, la Cnil indiquant qu'elle n'a pas constaté de faille majeure dans l'architecture de la base centrale", a répondu l'organisme public dans un communiqué le 27 février.

Elle indique prendre "acte des points soulevés par la Cnil, dont le détail n'a pas vocation à être rendu public".

"Des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d'actions en cours de déploiement, notamment dans le cadre de l'ouverture accrue des données de santé décidée par la loi du 26 janvier 2016", poursuit la caisse.

"Ces mesures concernent, par exemple, la pseudonymisation des données des assurés sociaux, qui, si elle est déjà assurée de manière sécurisée, peut encore être renforcée par l'utilisation de nouveaux algorithmes", développe-t-elle.

"Le développement des usages et des innovations technologiques accroissent en effet sans cesse le niveau d'exigence en termes de sécurisation des données. Pleinement consciente de ses responsabilités, l'assurance maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années [et] poursuivra ces investissements afin de tenir compte de l'évolution régulière des risques et des technologies", conclut-elle.

vg/eh/ab

La RĂ©daction
redaction@ticsante.com

http://www.computer-engineering.fr/

Politique

La Cnil met à jour son référentiel relatif à la procédure d'accès aux données de l'EGB de l'assurance maladie

PARIS (TICsanté) - La Commission nationale de l’informatique et des libertés (Cnil) a mis à jour le référentiel décrivant la procédure d'accès aux données agrégées et à l'échantillon généraliste des bénéficiaires (EGB) du système national d'information inter-régimes de l'assurance maladie (Sniiram), a-t-elle annoncé dans un article publié le 7 août sur son site.

0 584

Politique

E-prescription: un projet d'ordonnance prévoit d'exempter les établissements de santé

PARIS (TICsanté) - Un projet d'ordonnance relative à la généralisation de la prescription électronique, dont TICsanté a obtenu copie, prévoit que les prescriptions "sont établies de manière dématérialisée et transmises par voie électronique à l’assurance maladie, à l’exception des prescriptions effectuées et exécutées au sein des établissements de santé".

2 498

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
5 + 4 =
http://www.canyon.fr/
https://openbi.org/
https://mipih.fr/votre-projet-mipih/piloter-la-performance/desionnel2.html

Les offres APMjob.com

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

DĂ©couvrir le site

événements

  • Consumer Electronics Show (CES) 2021

    Du 11/01/2021 au 14/01/2021

  • SantExpo Live (Ex-Paris Healthcare Week)

    Du 09/03/2021 au 11/03/2021

  • 6e JournĂ©es des start-up innovantes du dispositif mĂ©dical

    Le 13/04/2021