Texte de la question

M. Vincent Ledoux appelle l'attention de Mme la ministre des solidarités et de la santé sur la mise en demeure de la Caisse nationale d'assurance maladie (Cnam) par la Commission nationale de l'informatique et des libertés (CNIL). La Cnam consigne les données de santé, comme les actes médicaux, les feuilles de soins ou les séjours hospitaliers, dans une gigantesque base de données baptisée Sniiram (Système national d'information inter-régimes de l'assurance maladie). À la suite de contrôles, la Cnil y a constaté des insuffisances en matière de sécurité et accordé trois mois à l'assurance maladie pour se conformer à ses demandes. Cette base de données est consultée par de nombreux acteurs de santé publics ou privés dans le but d'optimiser les politiques de santé et améliorer la qualité des soins. Agences régionales de santé, ministères ou encore instituts de recherche peuvent ainsi y puiser des informations dans le respect toutefois de la vie privée. La base ne doit donc contenir ni le nom, ni le prénom, ni le numéro de sécurité sociale, ni l'adresse des patients. La Cnil a pourtant observé que « Les données traitées par la Cnam (...) révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations : âge, code postal, date de soins, médecin traitant, etc. ». Déjà dans son rapport de mai 2016, la Cour des comptes s'alarmait du fait que chaque acte médical (près de 500 millions par an), chaque feuille de soins (plus de 1,2 milliard par an) et chaque séjour hospitalier (plus de 11 millions hors psychiatrie et gériatrie) soit listé avec les remboursements des assurés sociaux. Par ailleurs, la Cnil pointe la faiblesse de la procédure de pseudonymisation des données ainsi que des défaillances concernant leur sauvegarde, la sécurisation de l'accès à ces données et des postes de travail des utilisateurs du Sniiram. Il souhaite donc savoir si la Cnam s'est bien conformée à la mise en demeure de la Cnil.