Par une décision de mise en demeure, la Commission nationale de l’informatique et des libertés (CNIL) appelle la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS) à réviser le niveau de sécurité du Système national d’information inter-régimes de l’assurance Maladie (SNIIRAM). En effet, la CNIL estime que cette base de données n’est pas suffisamment sécurisée.

La CNIL reproche à la CNAMTS de ne pas prendre toutes les précautions utiles pour sécuriser le SNIIRAM

Des données sensibles

Le SNIIRAM a été mis en place en 2013 dans le but :

  • d'apporter des améliorations dans la gestion des politiques de santé et de l'assurance maladie ;
  • d'améliorer la qualité des prestations ;
  • de mettre à la disposition de ses utilisateurs des données pertinentes.

La base de données comprend un volume important d'informations sensibles, comme :

  • les données d'identification ;
  • l'historique santé des assurés ;
  • des informations financières sur les prestataires de soins.

Désignée responsable de traitement du système, la CNAMTS est chargée à ce titre de sa gestion technique.

De nombreux organismes ont notamment accès à la base de données du SNIIRAM, dont les caisses d'assurance maladie, les organismes de recherche, les ministères, l'institut national des données de santé, etc.

Une sécurisation insuffisante

La CNIL n'a certes pas constaté de réelles failles de sécurité, mais elle a toutefois relevé quelques carences dans le système en ce qui concerne la sécurisation des données personnelles.


L'organisme pointe du doigt des insuffisances de sécurité dans :

  • les procédures de sauvegarde des données ;
  • la pseudonymisation des informations concernant les assurés sociaux ;
  • l'accès aux informations par les prestataires et les utilisateurs ; 
  • les extractions des données individuelles et agrégées.
Ces carences représentent des infractions aux dispositions de la loi n°78-17 du 6 janvier 1978 qui en son article 34 impose au responsable du traitement de prendre toutes les mesures de précaution nécessaires pour garantir la sécurité des données. Le manquement à cette obligation est notamment sanctionné par une amende dont le montant peut aller jusqu'à 1,5 million d'euros.

Un délai de mise en conformité

Par cette mise en demeure, la CNIL attire l'attention de la CNAMTS pour qu'elle mette en place toutes les dispositions nécessaires afin d'assurer la confidentialité et la sécurité des données du SNIIRAM, tel qu'il est prévu par la loi. La CNIL précise cependant qu'il ne s'agit nullement d'une sanction. La CNAMTS dispose d'un délai de 3 mois pour s'y conformer.

Les sanctions ne seront prononcées que si la CNAMTS ne satisfait pas à ses obligations à l'issue du délai imparti. Elles peuvent prendre différents aspects comme :

  • le verrouillage des données ; 
  • l'arrêt de la mise en œuvre du traitement ; 
  • un avertissement.