Par délibération du 8 février 2018, la Commission nationale de l’informatique et des libertés (Cnil) a mis la Caisse nationale d’assurance maladie des travailleurs salariés (CNAMTS) en demeure de garantir la sécurité et la confidentialité des données à caractère personnel traitées dans le cadre du Système National d’Information Interrégimes de l’Assurance Maladie (SNIIRAM) et de justifier de sa mise en conformité dans un délai de trois mois.

Quels sont les faits ?

Après avoir pris connaissance du projet de rapport de la Cour des comptes portant sur les données à caractère personnel gérées par l’Assurance maladie, la CNIL a diligenté des contrôles sur place afin de vérifier la conformité du SNIIRAM à la loi du 6 janvier 1978 dite « loi Informatique et Libertés ». En effet, la Cour des comptes mettait en exergue l’insuffisante sécurité des données traitées au sein de l’Assurance Maladie.

La Cnil a alors effectué un contrôle sur pièces consistant à adresser à la Caisse nationale un questionnaire. Des contrôles sur place ont également été effectués, non seulement dans les locaux de la CNAMTS, mais aussi dans ceux du prestataire chargé d’assurer la maintenance évolutive et corrective du SNIIRAM.

Les contrôles ont permis de mettre en évidence un ensemble de manquements à l’article 34 de la loi Informatique et Libertés, article qui impose au responsable du traitement « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données » afin « [d’]empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Qu’est-ce que le SNIIRAM ?

Le SNIIRAM a été créé par la loi n°98-1194 du 23 décembre 1998 de financement de la sécurité sociale et contribue notamment à la connaissance des dépenses de l’ensemble des régimes d’assurance maladie ainsi qu’à la définition, la mise en œuvre et l’évaluation des politiques de santé publique.

Conformément à l’arrêté du 19 juillet 2013, pris après avis de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre du SNIIRAM répondent à quatre finalités que sont l’amélioration de la qualité des soins, la meilleure gestion de l’assurance maladie et des politiques de santé et la transmission aux prestataires de soins des informations regardant leur activité, recettes et prescriptions.

Le SNIIRAM implique le traitement de données à caractère personnel de santé telles que des actes médicaux, des feuilles de soins qui révèlent l’identité de patients grâce à des informations comme l’âge, le code postal, la date de soins. C’est d’ailleurs la sensibilité des données qui a conduit la Cnil a rendre publique la mise en demeure.

Rappelons que les données à caractère personnel de santé ne sont pas définies dans la loi Informatique et Libertés mais par le Règlement général sur la protection des données. L’article 4, 15 de ce texte dispose que les « données concernant la santé » sont celles  » (…) relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne« .

Des manquements à l’obligation d’assurer la sécurité des données

La Cnil se limite à lister les manquements constatés à l’obligation d’assurer la sécurité et la confidentialité des données, sans davantage de détails. Elle relève ainsi la présence de mesures de sécurité insuffisantes concernant la pseudonymisation des données traitées dans le cadre du SNIIRAM.

L’autorité de contrôle relève aussi des insuffisances relatives aux procédures de sauvegarde, à l’accès aux données par les utilisateurs du SNIIRAM et par les prestataires, notamment via les postes de travail des utilisateurs du système.

Les insuffisances concernent également les extractions de données du SNIIRAM et la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires.

La Cnil retient de manière lapidaire que ses différents faits constituent un manquement à l’article 34 de la loi Informatique et Libertés qui oblige le responsable du traitement à préserver la sécurité des données traitées.

Pourquoi une mise en demeure publique ?

La Cnil considère que la publicité se justifie « par la particulière sensibilité des données traitées par la CNAMTS » (actes médicaux, feuilles de soins et séjours hospitaliers) « qui révèlent les données de santé de patients très hautement identifiables ».

En outre, au regard du volume de données traitées et que leur nature, le manquement constaté est « particulièrement grave« , ce qui justifie que la délibération soit rendue publique.

Toutefois, il convient de souligner que la mise en demeure, même publique, n’est pas une sanction. Dans ce contexte, si dans le délai imparti, le CNAMTS met en place les mesures de sécurité requises et en justifie auprès de l’autorité de contrôle, aucune procédure de sanction ne sera ouverte.

La préservation de la sécurité des données traitées : d’autres exemples d’action de la CNIL

Rappelons que le manquement à l’obligation d’assurer la sécurité des données peut consister en l’absence ou en l’insuffisance du contrôle réalisé par le responsable du traitement de ses sous-traitants.

En novembre 2017, la Cnil avait aussi mis en demeure une société commercialisant des jouets connectés de se conformer à son obligation de préserver la sécurité et la confidentialité de données car l’utilisation desdits jouets permettait à des tiers d’écouter et d’enregistrer des conversations.

Mathias Avocats vous informera des suites données par la Cnil à la mise en demeure commentée.