Par une décision n°MED-2018-006 du 8 février 2018, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS) de renforcer la sécurité de la base de données du Système national d’information inter-régimes de l’assurance Maladie (SNIIRAM) dont elle assure la gestion technique, en tant que responsable de traitement.

Mis en œuvre conformément à un arrêté du 19 juillet 2013, les traitements qui sont effectués dans le cadre du SNIIRAM ont quatre finalités :

• l’amélioration de la qualité des soins ;
• la meilleure gestion de l’assurance maladie ;
• la meilleure gestion des politiques de santé ; et
• la transmission aux prestataires de soins des informations pertinentes relatives à leurs activités, à leurs recettes et, s’il y a lieu, à leurs prescriptions.

Ces traitements concernent un très grand nombre de données d’identification, financières et en particulier de santé des assurés sociaux, parmi lesquelles la nature détaillée des actes de soin, les feuilles de soins et les séjours hospitaliers qui sont considérées comme très sensibles.

L’insuffisance de sécurité

Sans relever de failles de sécurité avérées, la CNIL a noté des insuffisances révélant la fragilité du dispositif en matière de sécurité des données à caractère personnel. Ces insuffisances concernent :

• la pseudonymisation des données des assurés sociaux ;
• les procédures de sauvegarde des données ;
• l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires ;
• les extractions de données individuelles du SNIIRAM ; et
• la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires.

Elles sont constitutives d’un manquement à l’article 34 de la loi n°78-17 du 6 janvier 1978 qui dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données […]« . Un tel manquement est passible d’une peine d’amende pouvant atteindre 1 500 000 € par application combinée des articles 226-17 et 226-24 du Code pénal.

La CNIL a donc mis en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux en conformité avec la loi.

Les suites de la mise en demeure

La CNIL rappelle que cette mise en demeure n’est pas une sanction et qu’aucune suite ne sera donnée à cette procédure si la CNAMTS se conforme à la loi dans un délai de 3 mois. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité. A l’heure où ces lignes sont écrites, aucun nouveau communiqué concernant cette affaire n’a été publié.

Cependant, si la CNAMTS ne se met pas en conformité avec la mise en demeure dans le délai imparti, un rapporteur désigné pourra proposer à la formation restreinte de la CNIL, chargée de réprimer les manquements à la loi, de prononcer les sanctions suivantes :

• l’interdiction de mettre en œuvre le traitement ;
• l’avertissement ;
• le verrouillage des données pour trois mois.

Cette base de données est accessible à de nombreux organismes, par exemple l’institut national des données de santé les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, des organismes de recherche.

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles

Benjamin  Benezeth, juriste, droit des contrats et protection des données personnelles

La mise en demeure de la CNAMTS par la CNIL pour les insuffisances de sécurité du SNIIRAM – Article paru dans la Lettre Propriétés Intellectuelles de juillet 2018