Inconnu du grand public, le Système national d’information interrégimes de l’Assurance-maladie (Sniiram) recense les identités, les caractéristiques de tous les patients et toutes les prestations remboursées dans le cadre des soins réalisés en médecine de ville, ainsi que la consommation de soins en établissement : soit des milliards de données. Celles-ci sont cependant “pseudonymisées“, c’est-à-dire traitées afin de ne pas permettre de connaître l’identité précise des patients concernés.
La Commission nationale de l’informatique et des libertés (Cnil) s’est penchée sur ce dossier. Si elle assure qu’il n’y a pas de « faille majeure » dans l’architecture du Sniiram, elle a toutefois relevé plusieurs « insuffisances de sécurité » et a annoncé mardi qu’elle mettait la Caisse nationale d’Assurance- maladie (Cnam) en demeure de prendre les mesures nécessaires pour y remédier.
Outre la procédure de « pseudonymisation », la Cnil pointe du doigt « les procédures de sauvegarde des données », l’accès des prestataires à ces données et les utilisateurs de la base (régimes d’Assurance-maladie, services ministériels, agences sanitaires, organismes publics de recherche, uniquement à but non lucratif). L’organisme estime que leurs postes de travail ne sont pas suffisamment sécurisés.
La Cnil a décidé de mettre en avant, sur son site Internet, cette mise en demeure, au regard de « la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ». De son côté, la Cnam a précisé dans un communiqué que les données traitées ne contiennent « ni les noms et prénoms, ni les adresses, ni les numéros de Sécurité sociale des assurés » et rappelle que l’accès à la base est réservé « à des utilisateurs individuellement habilités ». Elle annonce des mesures de renforcement supplémentaires « dont une partie [est déjà] incluse dans un plan d’actions en cours de développement ».
