A la suite d’un rapport de la Cour des comptes paru en 2016 faisant état d’une sécurité insuffisante des données du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM), la Commission nationale de l’informatique et des libertés (Cnil) a conduit une série de contrôles auprès, notamment, de la Caisse nationale de l’assurance maladie des travailleurs salariés (CNAMTS).

Les vérifications réalisées ont confirmé des manquements à la loi Informatique et Libertés en matière de sécurité des données. La Cnil a relevé plusieurs insuffisances de sécurité portant notamment sur la pseudonymisation des données des assurés sociaux, les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires.

Suite à ce constat, la Présidente de la Cnil a décidé de mettre en demeure la CNAMTS de prendre toute mesure utile dans un délai de 3 mois pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux conformément aux exigences de l’article 34 de la loi Informatique et libertés.

Rappelant que cette mise en demeure n’est pas une sanction, la Cnil précise néanmoins que la CNAMTS doit se conformer à celle-ci dans le délai imparti. En cas de non-respect de cette obligation, la Présidente pourra désigner un rapporteur qui proposera à la formation restreinte de la Cnil, chargée de réprimer les manquements à la loi, de prononcer une sanction.