La Commission nationale de l’informatique et des libertés (CNIL) a annoncé ce mardi avoir mis en demeure l’Assurance maladie au vu de plusieurs manquements pour la sécurité des données personnelles de tous les Français.
Dans son communiqué, la CNIL dit n’avoir « pas constaté de faille majeure », mais relève « plusieurs insuffisances de sécurité susceptibles de fragiliser » le Système national d’information inter-régimes de l’Assurance maladie (Sniiram). Cette gigantesque base de données sert depuis 1999 à piloter le système de santé, grâce au suivi en temps réel des dépenses. Il agrège pour cela des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers).
Dans les faits, une technique dite de « pseudonymisation » est censée garantir la sécurité de ces informations et une autorisation est requise pour accéder au fichier. Or, ces deux protections figurent parmi « les multiples insuffisances » listées par la CNIL, au même titre que « les procédures de sauvegarde », « les extractions de données individuelles » ou encore « la sécurité des postes de travail des utilisateurs du Sniiram ». Ce bilan a été fait après plusieurs contrôles réalisés de septembre 2016 à mars 2017.
La CNIL note que la mise en demeure remonte au 8 février dernier, mais elle est rendue publique aujourd’hui au vu de la sensibilité des données et du risque particulièrement élevé. L’Assurance maladie a maintenant trois mois pour faire des ajustements.
Cet article publié par des chercheurs de l’université d’Austin (Texas) décrit la possibilité d’extraire d’une vaste base de données le profil complet d’une personne dont seulement quelques éléments sont connus avec plus ou moins de précision.