CNIL mise en demeure Assurance maladie protection données santé

«Des insuffisances de sécurité susceptibles de fragiliser le SNIIRAM»

La CNIL, qui est garante de la protection des données personnelles des particuliers par les organismes publics et privés vient d’annoncer avoir mis en demeure l’Assurance maladie le 8 février dernier pour des failles détectées dans son SNIIRAM (système national d’information inter-régimes de l’Assurance-maladie) après plusieurs contrôles. Elle précise cependant qu’il ne s’agit pas d’une « faille majeure » mais le fait que ce soit des données particulièrement sensibles concernant la santé des Français est particulièrement alarmant.

Ce système informatique regroupe les données de 61,1 millions de patients : âge, domiciliation et médecin traitant. Mais ce n’est pas tout, le fichier enregistre également un historique des différents soins médicaux remboursés par la Sécurité sociale (feuilles de soins, factures, séjours hospitaliers, actes médicaux). Des milliards de données de santé que la CNIL estime ne pas être suffisamment protégées par l’Assurance-maladie.


Dans son rapport de 2016, la Cour des Comptes avait déjà émis un avis négatif sur la sécurité des données détenues par la CNAM, déclenchant ainsi plusieurs audits de la part de la CNIL qui sont venus confirmer les premières craintes.

Des protections insuffisantes à améliorer sous trois mois

Pour sécuriser son fichier informatique, l’Assurance-maladie a mis en place une procédure de pseudonymisation des données ainsi qu’une clé de sécurité pour accéder au fichier. Cependant la CNIL  estime que ces deux procédés sont insuffisants. Elle tire également l’alarme sur les procédures de sauvegarde, les nombreux organismes qui ont droit d’accès au SNIIRAM (ministères, CNRS, associations) ou encore la sécurité des postes de travail des utilisateurs de la base de données.

L’Assurance-maladie a donc trois mois à compter de la mise en demeure pour renforcer la sécurité de son fichier informatique. Rappelons que la CNIL ne peut pas prononcer de sanction pécuniaire contre un organisme public. Cependant, si la CNAM ne se conforme pas aux recommandations, elle risque un avertissement voire une injonction de cessation du traitement des données personnelles.

Suite au communiqué de la CNIL, l’Assurance-maladie a déclaré avoir engagé des mesures de renforcement supplémentaires. Elle affirme " l’utilisation de nouveaux algorithmes en ce qui concerne la pseudonymisation des données".