Protection des données : la CNAM épinglée par la CNIL

Au moment où les entreprises sont mises sous pression à l’approche du Règlement général sur la protection des données (RGPD), la CNAM se fait épingler par la CNIL pour sa mauvaise protection des données des assurés… ironique n’est-ce pas ?

Le gendarme français de la protection des données donne ainsi trois mois à la CNAM pour se mettre en conformité avec les dispositions relatives à la protection et la sécurité des données des assurés dans le cadre du Système national d’information inter-régimes de l’assurance maladie (SNIIRAM). Rappelons que le SNIIRAM stocke des milliards de données de santé sur les assurés et sa taille atteint actuellement, si l’on prend en compte l’ensemble du Système national des données de santé (SNDS) dont le SNIIRAM est une partie intégrante, les 450 Téraoctets.

La mise en demeure a été décidée le 8 février 2018 et a été publiée le 27 février 2018.

Le système de protection des données de la CNAM est obsolète

La Cour des comptes avait déjà soulevé, dans son rapport du 3 mai 2016, notamment de la page 42 à 47, des mesures de protection des données obsolètes. Le mécanisme de double cryptage des données personnelles recueillies par la CNAM, appelé « FOIN », était jugé bien trop ancien pour faire face aux risques actuels.

Les rapporteurs de la Cour des comptes demandaient, dès 2016, à la CNAM de réfléchir à une nouvelle façon de protéger les données des assurés, plus actuelle, pour répondre aux risques. Apparemment, la CNAM ne semble pas avoir bougé le petit doigt… inquiétant quand on sait qu’elle gère toutes les données personnelles des assurés, donc des données de santé, qui sont des données dites sensibles méritant une protection accrue.

La CNAM dans le même bateau que les entreprises ?

Nous ne sommes plus étonnés de constater que les autorités françaises imposent aux entreprises des obligations que l’administration ne semble pas en mesure de respecter. L’obligation de protection des données personnelles découlant du RGPD qui entre en vigueur le 25 mai 2018 semble avoir réveillé la CNIL qui s’est empressée de rappeler la CNAM à l’ordre…

Le « hic » c’est qu’en cas de non conformité de la CNAM dans les délais impartis, le traitement pourrait être suspendu par la CNIL (on doute fortement que les mesures prises iront jusque là) et une sanction pénale d’un montant de 1 500 000 euros pourrait être infligée.

Rappelons que s’il s’agissait d’une entreprise, l’amende qui pourrait être prononcée par la CNIL pourrait s’élever à 10 millions d’euros ou 2% du chiffre d’affaires, voire 20 millions d’euros ou 4% du chiffre d’affaires, la somme la plus élevée étant retenue dans chacun des cas. Encore une fois, les organismes publics et les entreprises ne sont pas vraiment dans le même bateau…

Les réponses de la CNAMTS au questionnaire de la CNIL ainsi que les missions de vérification effectuées les 14, 15, 28 et 29 septembre dans les locaux de la CNAMTS à Evreux, les 9 et 10 novembre 2016 dans ses locaux à Paris, le 8 mars 2017 auprès de la société SOPRA STERIA puis le 9 mars 2017 au sein de la CPAM de Loire-Atlantique ont mis en lumière de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM.

Les multiples insuffisances en termes de sécurité concernent, notamment, la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires (cf. annexe).

L’ensemble de ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .

A propos Leo Guittet 170 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

1 commentaire sur Protection des données : la CNAM épinglée par la CNIL

  1. Samedi 26/05/2018
    Alors que j’essaie de me connecter à mon compe ameli, le site me répond que mon immatriculation à la cpam est inconnu!
    Bravo l’administration française qui impose aux entreprises privées ce qu’elle n’est pas capable d’appliquer elle-même!!

1 Trackbacks & Pingbacks

  1. RGPD et compteurs Linky : Direct Energie rattrapé par la patrouille - Décider et Entreprendre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hey, salut toi le lecteur de Décider et Entreprendre.


Ça fait maintenant deux ans que D&E existe et continue de se développer. Et le tout, sans jamais avoir reçu de subvention. Alors depuis maintenant un mois, D&E a décidé et entrepris d'intégrer quelques publicités sur sa homepage, mais aussi au cœur de ses articles. Car D&E rémunère ses équipes.


Derrière D&E se cachent des journalistes, des développeurs informatiques, des responsables communications, mais aussi des éditorialistes de passage. Tout ce petit monde travaille d'arrache-pied pour ramener de l'information fraîche, des points de vues tranchés, mais argumentés et autres gaudrioles à l'un des seuls médias en ligne complètement indépendant, à la ligne éditoriale libre, mais aussi en plein développement.


Alors, voilà, aujourd'hui, cher lecteur, on te demande un petit geste de pas grand-chose. Non, range ton portefeuille (bien que l'on accepte aussi les dons). Non, on te demande juste de désactiver ton bloqueur de pub (Ad-Block, AdThwart, Webmail Ad blocker, etc) le temps de ta navigation sur notre site ou de mettre une exception de blocage qui concerne D&E.


Le simple fait d'afficher les pubs sur notre site nous permet de rémunérer nos « incroyables » équipes. Promis, les publicités ne sont pas invasives ni agressives. On peut même les cacher si on veut (avec la petite croix dessus).


Ça nous ferait vraiment plaisir et ça permettrait qu'on s’achète notre table de ping-pong continue à écrire librement, à titiller les puissances en place, mais aussi à proposer d'autres pistes de réflexion sur des sujets habituellement traités par les médias subventionnés.


Un petit geste pour toi, mais un grand pas pour Décider & Entreprendre.


Merci à toi, ô lecteur de D&E. Et bonne lecture.

Lire les articles précédents :
CHU de Rouen : il trouve un mulot mort dans un plat

Un patient en cardiologie du CHU a découvert le rongeur dans son plat. L'hôpital affirme que l'animal n'était pas présent...

Fermer