Actualités

Données de santé : la CNIL épingle l’Assurance Maladie

L’Assurance Maladie doit progresser en matière de protection des données de santé
02/03/2018 - La Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité indépendante française chargée de veiller à la protection des données informatiques personnelles des citoyens, a jugé que la protection des informations gérées par le Système National d’Information Inter-régimes de l’Assurance Maladie (SNIIRAM) était insuffisante. Elle lui laisse 3 mois pour redresser le tir.
 

Pas de faille majeure mais des insuffisances préoccupantes

Entre septembre 2016 et mars 2017, la CNIL a effectué une série de contrôles sur le SNIIRAM, une base de données unique en Europe, qui contient des milliards d’informations relatives à la santé des assurés français (âge, code postal, médecin traitant) et aux soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers). Le SNIIRAM a été créé en 1998 dans le but de regrouper les informations liées au remboursement de toutes les caisses françaises, permettant à l’Assurance Maladie de connaître en temps réel l’ensemble des dépenses. Après plusieurs audits, la CNIL a relevé « plusieurs insuffisances majeures susceptibles de fragiliser le système ». Les manquements portent sur la « pseudonymisation des données, les procédures de sauvegarde, la sécurisation des postes de travail des utilisateurs, les extractions de données individuelles ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires ». Le régulateur, se voulant rassurant, a toutefois rappelé qu’aucune faille majeure n’avait été constatée.
 

L’Assurance Maladie prend acte

Dans un communiqué, l’organisme de santé a déclaré que des mesures de renforcement supplémentaires seraient engagées pour répondre aux points soulevés par la CNIL, notamment avec l’utilisation de nouveaux algorithmes pour les données à caractère anonyme.
 

La protection des données de santé, un enjeu majeur

Avec l’augmentation du nombre de données de santé collectées depuis l’apparition de la e-santé (objets connectés, télémédecine, dossiers informatisés,…), le secteur est surveillé de près. Il a en effet été l’un des plus touchés par les cyberattaques en 2017 (étude McAfee France). Dans la lignée du RGPD, les données de santé à caractère personnel feront donc désormais l’objet d’une réglementation spécifique. Les entreprises qui collectent ce type d’informations (établissements de santé, organismes de protection sociale, mutuelles…) devront répondre à un certain nombre de règles (anonymiser les données, en limiter la quantité, la consultation et la conservation). Elles pourront également faire appel à un hébergeur de données de santé, agréé par le Ministère de la Santé.