La CNIL épingle la CNAM pour des manquements à la sécurité

Suite à la publication, par la Cour des Comptes en 2016, d'un rapport qui pointait un niveau de sécurité insuffisant du Système national d’information inter-régime de l’assurance maladie (Sniiram), la Commission nationale de l’informatique et des libertés (CNIL) a décidé de soumettre la Caisse nationale d’assurance maladie (CNAM) à une série de contrôles.

La CNIL indique ne pas avoir constaté de faille majeure dans l'architecture de la base centrale. Cependant, plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ont été identifiées. Ces dernières concernent notamment :

  • la pseudonymisation des données des assurés sociaux ;
  • les procédures de sauvegarde ;
  • l’accès aux données par les utilisateurs du Sniiram et par des prestataires ;
  • la sécurité des postes de travail des utilisateurs du Sniiram ;
  • les extractions de données individuelles du Sniiram ;
  • la mise à disposition d’extractions de données agrégées du Sniiram aux partenaires.

La CNAM dispose d'un délai de trois mois pour se mettre en conformité. Si des insuffisances persistaient, une sanction pourrait être prononcée par la CNIL.