La CNIL doute de la sécurité du SNIRAM

La Commission nationale de l’informatique et des libertés (CNIL) a annoncé par communiqué avoir mis en demeure la Caisse nationale de l’Assurance maladie de renforcer la sécurisation du Système national inter-régimes de l’Assurance maladie (SNIRAM). « Si la CNIL n’a pas constaté de faille majeure dans l’architecture de la base centrale, elle a relevé plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif… » Ces insuffisances concernent notamment la pseudonymisation des données – filet de sécurité qui consiste à rendre difficile l’identification des personnes – les procédures de sauvegarde, l’accès des données par les utilisateurs, les extractions de données individuelles ainsi que la mise à disposition d’extraction de données agrégées du SNIRAM aux partenaires. La CNAM a un délai de trois mois pour prendre toute mesure afin de garantir la sécurité et la confidentialité des données à caractère personnel traitées. La CNIL a décidé de rendre publique cette mise en demeure, compte tenu de la « particulière gravité » des manquements constatés et de la « particulière sensibilité des données traitées par la CNAM ».

Dans une réponse, la CNAM fait valoir que ces observations « ne mettent pas en cause les éléments fondamentaux de la sécurité du SNIRAM, la CNIL indiquant qu’elle n’a pas constaté de faille majeure dans l’architecture de la base centrale ». Elle prend acte des points soulevés et indique que « des mesures de renforcement supplémentaires seront engagées, dont une partie a déjà été identifiée et incluse dans un plan d'actions en cours de déploiement… Ces mesures concernent, par exemple, la pseudonymisation des données des assurés sociaux qui [...] peut encore être renforcée par l'utilisation de nouveaux algorithmes ».