Sécurité informatique : la CNAMTS épinglée par la CNIL

A la suite de contrôles réalisés sur le« SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie), la commission nationale informatique et liberté (CNIL) a mis en demeure la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) de renforcer la sécurité informatique de cette base de données. La CNAMTS dispose de 3 mois pour se mettre en conformité et pallier aux manquements à la loi Informatique et Libertés qu'elle a pu constater.

Le SNIIRAM est une immense base de données regroupant des milliards d'enregistrements liés à l'assurance santé des français. Elle regroupe des données sur les patients (âge, sexe, commune, ALD, CMU), les prestations remboursées en médecine de ville avec leur prescripteur ainsi que la consommation de soins dans les établissements sanitaires facturés à l'assurance maladie via le PSMI et la T2A.

Instituées par loi du 23 décembre 1998 et mises en œuvre par la CNAMTS avec pour objectif de contribuer à une meilleure gestion des politiques de santé, ces données constituent une précieuse source d'informations pour de nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche peuvent donc y accéder.

En 2016, la cour des comptes a publié un rapport mettant en lumière des manquements en matière de sécurisation des données du SNIIRAM :
- L'anonymisation des données reposant sur un algorithme d’occultation obsolescent (SHA-1)
- L’absence de procédure de remplacement des clés de cryptage

C'est suite à ce rapport que la CNIL a diligenté une enquête et opéré une série de contrôles qui ont abouti in fine à une mise en demeure.

Si la CNIL n'a pas identifié de failles majeures, elle pointe du doigt plusieurs insuffisances à même de fragiliser l'ensemble du dispositif : le processus de "pseudonymisation", "les procédures de sauvegarde", "les extractions de données individuelles" ou encore "la sécurité des postes de travail des utilisateurs du Sniiram".

Cédric Carteau, RSSI du CHU de NANTES, s'étonne sur Dsih.fr que les accès se fassent sur la base d'une authentification simple "qui, dans les usages que l’on connaît au quotidien, pose question pour tout ce qui est prêts « sauvages » de mot de passe, accès au système depuis le domicile ...."

Dans son rapport de 2016, la cour des comptes préconisait de reconnaître à la CNAMTS le statut d’opérateur d’importance vitale et de la soumettre aux règles et contrôles périodiques externes de sécurité y afférant. Elle recommandait au législateur de mettre en ordre la gouvernance bicéphale du SNIIRAM et d'anticiper les investissements nécessaires à sa mise en conformité avec les standards modernes de la sécurité informatique.

Or à ce jour, la CNAMTS, en tant qu'opérateur du SNIIRAM, n'est même pas soumise aux obligations d'un hébergeur de données de santé, alors qu'elle l'est de fait et pas qu'un peu. Cette légèreté règlementaire a de quoi surprendre.