Question écrite n° 17940 :
Protection des données personnelles de santé dans le cadre des cyber-attaques

16e Législature

Question de : Mme Émilie Bonnivard
Savoie (3e circonscription) - Les Républicains

Mme Émilie Bonnivard appelle l'attention de M. le ministre délégué auprès de la ministre du travail, de la santé et des solidarités, chargé de la santé et de la prévention, sur le piratage de données personnelles dont ont fait l'objet certaines plateformes de tiers payant. Fin janvier 2024, les opérateurs Viamedis et Almerys, qui assurent la gestion du tiers-payant des complémentaires santé, notamment pour l'optique, ont été victimes d'une cyber-attaque. Cette fuite de données a touché plus de 33 millions de personnes et concernait l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit. Devant l'ampleur de la violation, la Commission nationale de l'informatique et des libertés (CNIL) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont décidé de mener des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données (RGPD). En matière d'optique, les professionnels ont alerté sur l'absence d'utilité du transfert de ces données personnelles, dans la mesure où les codes des listes des produits et prestations (LPP) mis en place par la Caisse nationale d'assurance maladie (CNAM) permettent l'identification individuelle des dispositifs médicaux, produits et prestations remboursables. La filière propose la mise en place d'une solution de type blockchain (tiers de confiance neutre et indépendant) qui permettrait d'éviter aux assurés de voir leurs données personnelles divulguées. Les professionnels de santé que sont les opticiens regrettent que les négociations en cours depuis 4 ans sur le sujet entre le ministère de la santé, la CNAM, la CNIL, les assureurs et les opticiens, n'aient toujours pas abouti ; ces négociations sont bloquées depuis une année. Le 14 février 2024, le Gouvernement a précisé qu'un programme avait été lancé en décembre 2023 conjointement par le ministère de la santé et des solidarités et la direction interministérielle du numérique afin de réaliser un audit de la sécurité de ces comptes (réponse publiée dans le Journal officiel du sénat du 15 février 2024 - page 930). À ce jour, les résultats de ces travaux n'ont pas été publiés. C'est pourquoi elle souhaite connaître les mesures que le Gouvernement compte prendre afin que les données personnelles de santé soient réellement protégées et que ce type d'attaque cyber ne puisse se reproduire, et en particulier s'il envisage de mettre en place une solution de type blockchain préconisée par les professionnels de santé que sont les opticiens.

Question retirée le 11 juin 2024
Cause : Fin de mandat
Données clés

Auteur : Mme Émilie Bonnivard

Type de question : Question écrite

Rubrique : Numérique

Ministère interrogé : Santé et prévention

Ministère répondant : Santé et prévention

Date :
Question publiée le 21 mai 2024

Date de cloture : 11 juin 2024
Fin de mandat

partager