Décryptage de la décision de mise en demeure de la CNAMTS par la CNIL

La sécurité des données est l’une des priorités du programme annuel de contrôle de la Commission informatique et liberté (CNIL) pour 2017 et 2018. En février, la Caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS) a reçu une mise en demeure de la part de la CNIL. Si elle ne se conforme pas aux exigences de l’autorité publique, elle encourt une sanction financière pouvant atteindre 1,5 M€. La CNIL lui reproche des insuffisances de sécurité dans “la pseudonymisation des données des assurés sociaux, les procédures de sauvegarde des données, et l’accès à ces données par les utilisateurs du système national d’information interrégimes de l’Assurance Maladie (Sniiram) et par des prestataires”.

Face à des atteintes à la sécurité des données, la CNIL affiche la plus grande fermeté. Dans une récente affaire, l’autorité a infligé à la société Darty d’une amende de 100 000 euros en raison d’incident de sécurité concernant le traitement des demandes de service après-vente des clients. Dans son bilan de l’année 2016 (dernier chiffres connus), dans 84 % des cas la procédure n’a pas été plus loin qu’une mise en demeure. Cependant, ce taux est assez variable sur les quatre dernières années. Ainsi, il était de 89 % en 2015, 70 % en 2014 et 75 % en 2013.

En l’espèce, La CNAMTS est mise en demeure de remédier, dans les trois mois, aux défauts de sécurisation des données du Sniiram. Cette décision fait suite à un rapport de la Cour des comptes réalisé sur demande de la commission des affaires sociales de l’Assemblée nationale en 2016. Cet audit pointait déjà divers problèmes liés à la sécurité des données du Sniiram, un an après des problèmes persistent.

Le Sniiram, une base contenant des milliards de données

Courant 2016-2017, la CNIL réalise des opérations de contrôle dans les locaux de la CNAMTS et auprès de Sopra Steria, prestataire technique chargé d’assurer la maintenance évolutive et corrective du Sniiram. Cette base, unique en Europe, enregistre l’ensemble des données de liquidation des prestations des bénéficiaires des régimes d’assurance maladie obligatoire. La Cour des comptes en 2016 dénombrait près de 500 millions d’actes médicaux par an, plus de 1,2 milliard de feuilles de soins, et plus de onze millions de séjours hospitaliers compilés dans cette base. La CNAMTS rappelle que cette base ne contient ni les noms/prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés.

L’article 5 de l’arrêté du 19 juillet 2013, organisant le fonctionnement du Sniiram, dispose qu’: “Afin de garantir l’anonymat des personnes ayant bénéficié des prestations de soins, les données transmises ne comportent pas l’identité de ces personnes. Un numéro d’anonymat est établi par codage informatique irréversible à partir du numéro d’inscription au répertoire national d’identification des personnes physiques. Ce procédé d’anonymisation s’opère à un double niveau, une première fois avant transmission des informations par les régimes à la base nationale et, une deuxième fois, préalablement à leur enregistrement dans la base de données nationale.” Le texte ajoute que les transferts des données doivent être réalisés selon un mode sécurisé suivant une procédure de chiffrement et d’authentification. Les données sensibles doivent être chiffrées lors de leur sauvegarde. De même, l’accès aux données est régi par un annuaire sécurisé, créé et mis à jour par une infrastructure de gestion de clés.

Or, la CNIL a constaté des pratiques différentes rendant les données “hautement identifiables en raison de la multiplicité des données collectées”. L’autorité considère, par exemple, que les postes de travail des utilisateurs du Sniiram ne sont pas suffisamment sécurisés.  Dans un communiqué publié le 27 février 2018, la CNAMTS constate que “la CNIL n’a pas constaté de faille majeure dans l’architecture de la base”. Elle affirme sa volonté de prendre des mesures de renforcement supplémentaires et indique avoir “considérablement” investi dans les politiques de sécurité informatique depuis des années. Elle revendique la mise en oeuvre actuellement d’un plan d’actions.