"Sécurité insuffisante des données" : la CNIL met en demeure l'Assurance Maladie !

Sécuriser ou aspirer à plus de confort sécuritaire, un objectif - qui peut être double ! -  difficilement atteignable à l'heure d'aujourd'hui, que l'on soit sur Internet ou aux prises avec un quotidien laissant peu de place à une organisation de ce type... Une réalité à laquelle va devoir faire face la Sécurité Sociale ou plutôt son système informatique (SNIIRAM : Système National d’Information Inter-Régimes de l’Assurance Maladie) quant à la manière de traiter les données de ses utilisat(-eurs / -trices) puisque la CNIL vient de mettre en demeure la Caisse Nationale de l'Assurance Maladie des Travailleurs Salariés (CNAMTS) en raison de "plusieurs insuffisances de sécurité".

 

 

"Si la CNIL n’a pas constaté de faille majeure dans l’architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif, portant notamment sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes), les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du SNIIRAM (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires", explique ainsi la Commission Française suite à la lecture, le 21 Avril 2016, du rapport de la Cour des comptes relatif aux "données à caractère personnel gérées par l'Assurance Maladie".

Quelques mois après, entre Septembre 2016 et Mars 2017 (et pour faire suite des réponses du questionnaire envoyé par la CNIL début Juillet de la même année), le régulateur effectue quelques visites régulières au sein de la CNAMTS d’Évreux (Novembre 2016), SOPRA STERIA et CPAM Loire-Atlantique (Mars 2017), sur les bases / motifs de l'article 34 (loi numéro 78-17 du 6 Janvier 1978 mod.) indiquant que "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

"La Cnam prend acte des points soulevés par la Cnil, dont le détail n‘a pas vocation à être rendu public. Des mesures de renforcement supplémentaires seront engagées pour y répondre, dont une partie a déjà été identifiée et incluse dans un plan d‘actions en cours de déploiement", selon les propos rapportés par Reuters.

La loi (articles 226-17 et 226-24 du Code Pénal) préconise une amende maximale d'1 500 000, si les faits évoqués sont reconnus juridiquement. La CNAMTS aura 3 mois pour rectifier le tir... A suivre !

 

Source : CNIL - mise en demeure Sécurité Sociale (SNIIRAM - CNAMTS) du 8 Février 2018 - 27 Février 2018 (publication).