Juridique

La CNIL met en demeure la Sécurité Sociale sur la gestion de données inter-régimes [MAJ]

La CNIL met en demeure la Sécurité Sociale sur la gestion de données inter-régimes [MAJ]
Jean Lessi, secrétaire général de la CNIL, a précisé que les détails des manquements resteraient confidentiels.

Selon l'autorité administrative indépendante, le SNIIRAM, opéré par Sopra-Steria, est insuffisamment anonymisé et protégé. [Dernière mise à jour : 28/2/2018, 14h45]

PublicitéLe Journal Officiel et le site web de la CNIL (Commission Nationale Informatique et Liberté) ont publié la mise en demeure de l'autorité administrative indépendante à la CNAM* (Caisse Nationale d'Assurance Maladie) au sujet du Système National d'Information Inter-régimes de l'Assurance Maladie (ci-après SNIIRAM) opéré par Sopra-Steria. Ce prestataire est « en charge du développement et de la maintenance du SNIIRAM pour le compte de la CNAM ». La CNIL reproche un manque de sécurisation du système et donne trois mois à la CNAM pour corriger les manquements relevés.
Le SNIIRAM récolte des données sur toute l'activité de remboursement de la sécurité sociale et comprend donc des données sur tous les actes médicaux, traitements ou dispositifs faisant l'objet d'un remboursement. Au niveau des caisses de sécurité sociale, les données sont nominatives. Avant d'être déversées dans le SNIIRAM, elles sont pseudonymisées. Le SNIIRAM est ensuite utilisé à des fins statistiques, de recherche en santé publique et enfin de pilotage des organismes sociaux. Mais la CNIL considère que l'algorithme de pseudonymisation mis en oeuvre protège insuffisamment l'identité des personnes. De plus, la sécurisation des nombreux accès légitimes au SNIIRAM serait insuffisante. Enfin, la sauvegarde des données serait elle aussi déficiente. L'architecture générale du système n'est, par contre, pas remise en cause.

Pas de détail

« La CNAM prend acte des points soulevés par la CNIL, dont le détail n'a pas vocation à être rendu public » note l'organisme dans son communiqué officiel de réponse. L'organisme de sécurité sociale précise qu'elle a déjà entrepris, dans le cadre de son amélioration continue et de la prochaine ouverture accrue des données, d'effectuer un certain nombre d'évolutions et qu'elle va donc corriger l'ensemble des points soulevés par la CNIL. En particulier, l'algorithme de pseudonymisation va être revu.
Jean Lessi, secrétaire général de la CNIL, précise que l'autorité administrative indépendante a décidé de « ne pas rendre public les détails afin de ne pas créer de fragilité, de ne pas mettre en danger les systèmes d'information publics. » Il relève cependant : « la sécurisation des accès est une catégorie assez classique dans les rapports issus des contrôles. » Rien de particulièrement grave ne semble avoir été noté par les inspecteurs de la CNIL. « Toutes les données de santé sont sensibles, certaines l'étant particulièrement » a observé Jean Lessi, justifiant ainsi une certaine sévérité de l'autorité administrative indépendante.
Suite aux sollicitations de la Rédaction, la CNAM n'a souhaité réagir qu'au travers de son communiqué officiel et Sopra-Steria n'a pas, à l'heure actuelle, souhaité réagir.

* Note : La CNAM-TS, Caisse Nationale d'Assurance Maladie des Travailleurs Salariés, a été rebaptisée CNAM suite à la disparition du RSI (Régime Social des Indépendants) et le rattachement de celui-ci au Régime Général.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    UTILISATION DES COOKIES

    En poursuivant votre navigation sur ce site,
    vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.

    Pour en savoir plus, consultez notre politique relative à la vie privée.

    La question du moment
    Les processus internes, notamment RH (demandes de congés, notes de frais…), sont-ils pour la plupart dématérialisés ?