Précisions suite à l'avis de la CNIL concernant les données du Sniiram
Dans le cadre de son plan annuel de contrôle 2016, la Commission nationale de l’informatique et des libertés (CNIL) a procédé à des missions de vérification du Système national d’information inter-régimes de l’Assurance Maladie (Sniiram) géré par la Caisse nationale de l’Assurance Maladie (Cnam).
Le Sniiram est une base de données pseudonymisées de consommations de soins qui ne contient ni les nom/prénom, ni les adresses, ni les numéros de Sécurité sociale des assurés. Son accès est réservé à des utilisateurs individuellement habilités, pour des finalités d’études dans le cadre de missions de service public ou de recherche en santé.
À la suite de son analyse, la CNIL a décidé d’adresser une mise en demeure afin que la Cnam renforce la sécurisation de cette base de données et élève davantage les niveaux de protection existants. Ces observations ne mettent pas en cause les éléments fondamentaux de la sécurité du Sniiram, la CNIL indiquant qu’elle n’a pas constaté de faille majeure dans l’architecture de la base centrale.
La Cnam prend acte des points soulevés par la CNIL, dont le détail n’a pas vocation à être rendu public. Des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d’actions en cours de déploiement, notamment dans le cadre de l’ouverture accrue des données de santé décidée par la loi du 26 janvier 2016. Ces mesures concernent, par exemple, la pseudonymisation des données des assurés sociaux, qui, si elle est déjà assurée de manière sécurisée, peut encore être renforcée par l’utilisation de nouveaux algorithmes.
Le développement des usages et des innovations technologiques accroissent en effet sans cesse le niveau d’exigence en termes de sécurisation des données. Pleinement consciente de ses responsabilités, l’Assurance Maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années. Elle poursuivra ces investissements afin de tenir compte de l’évolution régulière des risques et des technologies.