La Commission nationale de l'informatique et des libertés (Cnil) a annoncé mardi avoir mis en demeure l'Assurance maladie en raison de "nombreux manquements à la sécurité" d'un fichier informatique utilisant les données personnelles de tous les Français.
Pas de "faille majeure". La Cnil "n'a pas constaté de faille majeure" mais "a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser" le Système national d'information inter-régimes de l'Assurance maladie (Sniiram), a indiqué l'autorité indépendante dans un communiqué. Cette gigantesque base de données sert depuis 1999 à piloter le système de santé, grâce au suivi en temps réel des dépenses. Il agrège pour cela des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers). Une technique dite de "pseudonymisation" est censée garantir la sécurité de ces informations et une autorisation est requise pour accéder au fichier.
Contrôles réalisés de 2016 à 2017. Or, ces deux protections figurent parmi "les multiples insuffisances" listées par la Cnil, au même titre que "les procédures de sauvegarde", "les extractions de données individuelles" ou encore "la sécurité des postes de travail des utilisateurs du Sniiram". Ce bilan sévère a été dressé après une série de contrôles réalisés de septembre 2016 à mars 2017, dans le prolongement d'un rapport publié en mai 2016 par la Cour des comptes, qui estimait que la sécurité de ce fichier devait "encore être renforcée" même si "aucune fuite publique de données" n'était à déplorer.
Des mesures de renforcement engagées. Sommée d'apporter des améliorations d'ici trois mois, l'Assurance maladie a affirmé dans un communiqué que "des mesures de renforcement supplémentaires seront engagées" pour la protection du Sniiram, notamment "l'utilisation de nouveaux algorithmes" pour la "pseudonymisation" des données.