La CNIL souhaite améliorer la sécurité du fichier du SNDS

Fin décembre 2016, selon le décret n°2016-1871, la création du système national des données de santé (SNDS) est officiellement déclarée. D’après le ministère de la Santé, ce système « a vocation à regrouper les données de santé de l’assurance maladie obligatoire, des établissements de santé, les causes médicales de décès, les données issues des maisons départementales des personnes handicapées ainsi qu’un échantillon de données de remboursement d’assurance maladie complémentaire ».

Le 3 janvier 2017, la Commission nationale de l’informatique et des libertés (CNIL) a donné son avis concernant la mise en place de ce dispositif. Cette autorité administrative française estime que vu le nombre estimé de ses futurs utilisateurs, « les mesures effectivement mises en œuvre au lancement du SNDS ne sont pas suffisantes », écrit dans la délibération. Le premier lancement du système est attendu en avril prochain.

CNIL

La CNIL souhaite améliorer la sécurité du fichier du SNDS

Comme le système permet l’accès aux données personnelles de santé, la CNIL a ainsi révélé que l’installation de SDNS doit être assortie de garanties particulières.

La CNIL, méfiante à l’égard du SDNS

Dans son avis au décret, la commission évoque des critiques sur la fiabilité du système. Elle a annoncé que « le SNDS est susceptible de permettre l’accès à des données de santé à caractère personnel concernant l’ensemble des bénéficiaires de l’assurance maladie » et que « le nombre d’utilisateurs potentiels du SNDS est susceptible d’être élevé et que le législateur a prévu que certains de ces utilisateurs y auront un accès permanent ».

Au moment du rassemblement des données dans le système, les experts procèdent à un processus de chiffrement. Cette opération vise à ce que l’identité des personnes reste anonyme via une « pseudonymisation ». La Commission souligne que c’est un procédé dont la robustesse est aujourd’hui remise en question par l’ancienneté de son algorithme.

L’organisme a également déclaré qu’il souhaite fixer un niveau de sécurité exigeant, à la hauteur des enjeux du SNDS. De ce fait, ce niveau de sécurité adapté ne sera pas atteint au moment du lancement prévu en mars 2017. Selon lui, « le projet d’arrêté du référentiel de sécurité prévoyant une période de deux ans jusqu’au 26 janvier 2019 pour la mise en conformité des traitements sera couvert par le projet de décret ».

Des milliers d’utilisateurs

Cependant, le SNDS est très demandé par différentes organisations de santé notamment les Unions régionales des professionnels de santé (URPS). Il va donc au total regrouper 3000 utilisateurs dont plus de 500 n’auront pas accès aux données du SNIIRAM ou du PMSI souligne la CNIL.

La commission propose donc d’établir une observation sur les autorisations d’accès et de gestion des données sollicitées par les organismes.

Mots-clés cnil