LEÏLA DE COMARMOND

LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS A MIS EN DEMEURE, MARDI, LA CNAM DE RENFORCER LA SÉCURITÉ DE SA BASE DE DONNÉES.
Sniiram. L’acronyme est inconnu du grand public. Il désigne pourtant une base de données nationale extrêmement sensible que chacun, à un moment ou un autre, est venu ou va venir alimenter sans le savoir. Le Système national d’information inter-régimes de l’Assurance-maladie (Sniiram) recense, en effet, les identités et les caractéristiques de tous les patients, toutes les prestations remboursées dans le cadre des soins réalisés en médecine de ville, ainsi que la consommation de soins en établissement. Soit des milliards de données.

Ces informations servent à la fois à améliorer le pilotage de l’Assurance-maladie et des politiques de santé et à faire un retour aux prestataires de soins sur leur activité, y compris de prescription. Pour cela, les données recueillies sont anonymisées, ou plutôt pseudonymisées, c’est-à-dire traitées pour ne pas permettre de connaître l’identité précise des patients concernés. La Commission nationale de l’informatique et des libertés,

que préside Isabelle Falque-Pierrotin,
vient de se pencher sur le dossier.
Données sensibles
La bonne nouvelle, c’est qu’il n’y a pas de « faille majeure » dans l’architecture du Sniiram, mais la CNIL a tout de même noté plusieurs « insuffisances de sécurité » problématiques et a annoncé mardi qu’elle mettait en demeure la Caisse nationale d’Assurance-maladie de prendre les mesures nécessaires pour y remédier.

La procédure de pseudonymisation est notamment montrée du doigt. Sont aussi épinglés « les procédures de sauvegarde des données », l’accès des prestataires à ces données et les utilisateurs de la base que sont les régimes d’Assurance-maladie, services ministériels, agences sanitaires, organismes publics de recherche, uniquement à but non lucratif. Est en particulier pointée l’insuffisante sécurité de leurs postes de travail. La CNIL justifie la publicité faite à sa mise en demeure, qu’elle a mise en ligne sur son site, par « la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ».

La CNAM s’est voulue rassurante, précisant dans un communiqué que les données traitées ne contiennent « ni les noms et prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés » et rappelant que l’accès à la base est réservé « à des utilisateurs individuellement habilités ». Elle annonce des mesures de renforcement supplémentaires « dont une partie [est déjà] incluse dans un plan d’actions en cours de développement ». Est notamment concernée la pseudonymisation, qui va être renforcée par de nouveaux algorithmes.

Une capacité de 600 téraoctets
En 2015, 8,9 milliards de feuilles de soins ont été anonymisées pour alimenter le Système national d’information inter-régimes de l’Assurance-maladie, qui a une capacité de stockage égale à 600 téraoctets.

Quelque 5.000 flux sont réceptionnés chaque mois des centres de traitement informatiques, des autres régimes, des mutuelles et des caisses régionales. L’Assurance maladie a décompté en moyenne, par mois, 280 utilisateurs sur les données agrégées, 50 utilisateurs sur l’échantillon généraliste de bénéficiaires (EGB) et 170 utilisateurs sur les données individuelles des bénéficiaires.

Plus de 30 projets d’étude ont utilisé des données du Sniiram en 2015.
Fonte: