SNDS : la CNIL tousse sur la sécurité du grand fichier de santé

Publié discrètement dans les derniers jours de décembre, le décret n°2016-1871 valide la création du SNDS (système national des données de santé), un nouveau système « qui a vocation à regrouper les données de santé de l’assurance maladie obligatoire, des établissements de santé, les causes médicales de décès, les données issues des maisons départementales des personnes handicapées ainsi qu’un échantillon de données de remboursement d’assurance maladie complémentaire », selon le site du ministère de la Santé. La première version du SNDS doit être mise en production en avril prochain.

Placé sous la coupe de la CNAMTS (Caisse nationale de l’assurance maladie des travailleurs salariés), qui détient déjà le système cœur du futur dispositif (la base SNIIRAM, Système national d’information inter-régimes de l’Assurance maladie), le SNDS vise avant tout à disposer de données fiables sur l’offre de soins, les politiques de santé, les dépenses et sur l’état de santé de la population. L’accès à cette gigantesque base de données ne renfermant aucune donnée personnelle (les noms étant remplacés par des pseudonymes), en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public, sera soumis à l’autorisation de la CNIL.

Une sécurisation… en 2019

Une CNIL qui, malgré ce rôle d’arbitre, se montre assez critique vis-à-vis de ce système d’information né de la loi de modernisation du système de santé du 26 janvier 2016. Dans son avis joint au décret, la Commission pointe notamment le fait que « le SNDS est susceptible de permettre l’accès à des données de santé à caractère personnel concernant l’ensemble des bénéficiaires de l’assurance maladie. Elle relève également que le nombre d’utilisateurs potentiels du SNDS est susceptible d’être élevé et que le législateur a prévu que certains de ces utilisateurs y auront un accès permanent. »

Bref, pour la Commission nationale de l’informatique et des libertés, si les enjeux du SNDS sont centraux, en particulier du fait de l’étendue des données qu’il fusionne (assurance maladie, hôpitaux, causes de décès, handicap et même certaines données issues des organismes complémentaires), les garde-fous imaginés par le législateur sont encore insuffisants. En particulier sur la sécurité des données. Si l’objectif en la matière est élevé, « la Commission relève que le niveau de sécurité envisagé ne sera pas atteint au lancement du traitement SNDS en mars 2017, le projet d’arrêté du référentiel de sécurité prévoyant une période de transition de deux ans jusqu’au 26 janvier 2019 pour la mise en conformité des traitements couverts par le projet de décret ». Au cours de cette période transitoire, le dispositif sera techniquement proche de celui actuellement déployé pour la base SNIIRAM de l’Assurance maladie. Insuffisant pour la CNIL, au regard de « l’accroissement des risques » porté notamment par la multiplication des acteurs appelés à accéder au SNDS.

Même remarque concernant le procédé de chiffrement employé. En effet, pour rapprocher les données issues de différentes bases au sein du SNDS, les concepteurs de la base statistique auront recours une ‘pseudonymisation’, autrement dit une transformation du NIR (soit le numéro de sécurité sociale propre à chaque individu) en un code unique obtenu par un procédé cryptographique. Le tout est assorti d’une traçabilité des accès et de la garantie d’un cloisonnement strict, empêchant toute personne accédant aux NIR d’avoir connaissance des pseudonymes et vice-versa. Sauf que la CNIL pointe l’obsolescence de l’algorithme de chiffrement employé, un « procédé dont la robustesse est aujourd’hui remise en question par l’ancienneté de son algorithme et par le fait que les secrets cryptographiques n’ont jamais été renouvelés », écrit l’organisme dans sa délibération. Et la Commission de réclamer le lancement d’un projet d’évolution sur ce terrain.

3 000 utilisateurs du SNDS

Si la CNIL se montre sourcilleuse sur ce projet, c’est que le SNDS a vocation à regrouper des informations relatives à la prise en charge médicale, médico-sociale, sanitaire et financière ainsi que des informations relatives aux arrêts de travail et aux décès des Français. Des informations sensibles au regard de la loi Informatique et libertés. Et ce, même si toute identification directe des individus (par leur état civil, leur NIR, leur adresse) semble, à priori, impossible. Par ailleurs, par rapport à l’actuelle base SNIIRAM, le SNDS se traduit par une extension du nombre des utilisateurs habilités. Et par leur dispersion au sein de multiples structures.

La Commission relève que, en cumulant la trentaine d’organismes demandeurs, ce sont plus de deux mille utilisateurs potentiels qui auront accès au SNDS, voire « jusqu’à trois mille » en comptant l’intégralité des Unions régionales des professionnels de santé (URPS). « Sur ce total, plus de cinq cents utilisateurs seront dans des organismes qui ne possèdent pas aujourd’hui d’accès direct aux données du SNIIRAM ou du PMSI (Programme de médicalisation des systèmes d’information, NDLR) », écrit la CNIL. Or, ces nouveaux utilisateurs visent la plupart du temps à accéder à des données individuelles, avec croisement de plusieurs identifiants potentiels pour reconstituer les parcours des patients. La Commission demande un suivi fin des autorisations des différents organismes (dont certains seront à la fois co-producteurs du service et utilisateurs, comme la CNAMTS ou l’Inserm), des conditions d’accès aux données et de la gestion des accès. « Ceci apparaît d’autant plus nécessaire que ces organismes n’auront pas d’autorisation préalable à solliciter pour l’ensemble des accès aux données qui rentrent dans le champ de leur autorisation définie par le décret », conclut la CNIL.

A lire aussi :

Données de santé : la Cour des comptes pointe la frilosité de la CNIL

Données personnelles : Meetic et Attractive World sanctionnés par la CNIL

L’adresse IP est une donnée personnelle, encadrée par la CNIL

Crédit photo : tranchis via Visualhunt / CC BY-NC-SA