CNIL et conformité des traitements des données personnelles

Alors que le Règlement sur la protection des données personnelles (RGPD) approche à grands pas, la Commission nationale de l’Informatique et des Libertés (CNIL) a mené une série de contrôles auprès de différents organismes dont les données de santé sont au cœur de l’activité. Face à l’observation d’un certain nombre d’insuffisances, une mise en demeure a été adressée à la CNAMTS.

Le traitement « SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie), créé par la loi du 23 décembre 1998 et mis en œuvre par la CNAMTS (Caisse nationale de l’assurance maladie des travailleurs salariés) a pour objectif de contribuer à une meilleure gestion des politiques de santé. Cette base contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) auxquelles accèdent de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche, etc.

Des manquements à la loi Informatique et Libertés constatés

À la suite d’un rapport de la Cour des comptes paru en 2016 faisant état d’une sécurité insuffisante des données du SNIIRAM, la CNIL a conduit une série de contrôles auprès de la CNAMTS, de prestataires techniques et de caisses primaires d’assurance maladie.
Les vérifications réalisées ont confirmé des manquements à la loi Informatique et Libertés en matière de sécurité des données.

Si la CNIL n’a pas constaté de faille majeure dans l’architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes), les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du SNIIRAM (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires.

Mise en demeure avec délai de 3 mois, sous peine de sanction

Compte tenu de ce constat, la Présidente de la CNIL a décidé de mettre en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux conformément aux exigences de l’article 34 de la loi Informatique et Libertés.

La CNAMTS dispose d’un délai de 3 mois pour s’y conformer.

La CNIL rappelle que cette mise en demeure n'est pas une sanction. Aucune suite ne sera donnée à cette procédure si la CNAMTS se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l'objet d'une publicité.

Si la CNAMTS ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui proposera, le cas échéant, à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer une sanction.

Un contexte rendu encore plus sensible par la prochaine arrivée du RGPD

En réponse à cette mise en demeure, la CNAMTS s’est engagée à mettre en place des mesures de renforcement supplémentaires, ces dernières faisant également partie du processus d’ouverture des données de santé, prévue par la loi du 26 janvier 2016.

Elle a cependant rappelé que le SNIIRAM est une base de données pseudonymisées de consommations de soins qui ne contient ni les nom/prénom, ni les adresses, ni les numéros de sécurité sociale des assurés. Son accès est réservé à des utilisateurs individuellement habilités, pour des finalités d’études dans le cadre de missions de service public ou de recherche en santé.

Cette mise en demeure doit rappeler que la sécurité des bases et systèmes informatiques est un pilier important du Règlement général sur la protection des données n° 2016/619 (RGPD) qui s’appliquera à l’ensemble des entreprises et administrations européennes dès le 25 mai 2018.