La mise en demeure, décidée le 8 février, a été rendue publique en raison de la « particulière sensibilité des données » et du risque « particulièrement élevé » pour leur sécurité, selon la Cnil. / PHILIPPE HUGUEN / AFP

En raison de « nombreux manquements à la sécurité » d’un fichier informatique utilisant les données personnelles de tous les Français, la Commission nationale de l’informatique et des libertés (CNIL), a annoncé, mardi 27 février, avoir mis en demeure l’Assurance-maladie.

La CNIL « n’a pas constaté de faille majeure », mais elle « a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser » le système national d’information interrégimes de l’Assurance-maladie (Sniiram), écrit l’autorité indépendante dans un communiqué.

Cette gigantesque base de données sert depuis 1999 à piloter le système de santé, grâce au suivi en temps réel des dépenses. Il agrège pour cela des données sur les patients (âge, code postal, médecin traitant) et sur les soins remboursés (actes médicaux, feuilles de soins, séjours hospitaliers). Une technique dite de « pseudonymisation » est censée garantir la sécurité de ces informations, et une autorisation est requise pour accéder au fichier.

« Particulière sensibilité des données »

Or, ces deux protections figurent parmi « les multiples insuffisances » listées par la CNIL, au même titre que « les procédures de sauvegarde », « les extractions de données individuelles » ou encore « la sécurité des postes de travail des utilisateurs du Sniiram ».

Ce bilan sévère a été dressé à la suite d’une série de contrôles, de septembre 2016 à mars 2017, dans le prolongement d’un rapport publié en mai 2016 par la Cour des comptes, qui estimait que la sécurité de ce fichier devait « encore être renforcée » même si « aucune fuite publique de données » n’était à déplorer.

La mise en demeure, décidée le 8 février, a été rendue publique en raison de la « particulière sensibilité des données » et du risque « particulièrement élevé » pour leur sécurité, selon la CNIL.

Sommée d’apporter des améliorations d’ici à trois mois, l’Assurance-maladie a répondu dans un communiqué que « des mesures de renforcement supplémentaires ser[aie]nt engagées » pour la protection du Sniiram, notamment « l’utilisation de nouveaux algorithmes » pour la « pseudonymisation » des données.