Données médicales : la Cnil admoneste l’Assurance Maladie

Le régulateur de la protection des données personnelles vient d’épingler les faiblesses de la sécurité de la base des données de santé de l’Assurance Maladie.

C’est plus qu’un rappel à l’ordre, la Cnil a mis en demeure la Caisse Nationale de l’Assurance Maladie des travailleurs salariés (CNAMTS), devenu aujourd’hui CNAM (avec l’intégration du RSI), de prendre des mesures pour garantir la sécurité et la confidentialité des données des assurés sociaux. L’organisme a 3 mois pour s’y conformer.

L’histoire remonte à 2016 après la publication d’un rapport de la Cour des Comptes épinglant une sécurité insuffisante sur les données personnelles gérées par l’Assurance Maladie à travers le Système National d’Information Interrégimes de l’Assurance Maladie (SNIIRAM). Ce dernier intègre des données personnelles sur les assurés, mais également des informations relatives aux prestations fournies (nature détaillée des actes, dates de soins et de remboursement, mode de prise en charge, informations relatives au parcours de soin et à l’identification du professionnel) ainsi que des informations relatives à l’activité des établissements de santé. Cette base de données est donc considérée comme très sensible.

Une succession d’insuffisances de sécurité

Suite au rapport de la Cour des Comptes, la Cnil décide de mener des contrôles sur le SNIIRAM entre septembre 2016 et mars 2017. Ils ont visé les locaux de la CNAMTS à Paris, le centre d’hébergement de données d’Évreux, la société Sopra Steria, prestataire chargé d’assurer la maintenance évolutive et corrective du SNIIRAM, et la Caisse primaire d’assurance maladie (CPAM) de Loire-Atlantique.

Fruits de ses enquêtes : plusieurs insuffisances en terme de sécurité ont été constatées. Le régulateur cite notamment « la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du système, les extractions de données individuelles du système ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires ».

Les données de santé une manne pour les pirates

Les informations de santé sont devenues une manne pour les cybercriminels. Plus difficiles à obtenir, elles se monnayent plus cher que les numéros de carte bancaires sur les sites underground. Plusieurs affaires aux Etats-Unis font état de millions de données de santé volées puis vendues, (Anthem, Premera Blue Cross). On estime qu’un dossier médical se vendrait entre 20 et 300 dollars sur la face sombre du net, contre à peine 1 dollar pour des coordonnées bancaires.

En France, on se souvient du laboratoire d’analyses médicales, Labio, victime d’un vol et de la diffusion des résultats d’examens sanguins. Le groupe avait préalablement demandé une rançon de 20 000 euros au laboratoire. Dans le cadre des données de santé, les hébergeurs doivent être certifiés pour garantir une protection efficiente. Cette certification vient d’ailleurs d’être renforcée avec une révision de l’agrément à partir du 1^er avril 2018. Par ailleurs, les données de santé vont être intégrées dans la loi en discussion modernisant la protection des données personnelles au regard du RGPD.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !