Délibération 2018-050 du 15 février 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-050 du 15 février 2018
Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-050 du 15 février 2018 décidant de rendre publique la mise en demeure n° MED-2018-006 du 08 février 2018 prise à l’encontre de la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés
Etat: VIGUEUR

Le bureau de la Commission nationale de l’informatique et des libertés, réuni le 15 février 2018 sous la présidence de Mme Isabelle FALQUE-PIERROTIN ;

Etaient aussi présents Mme Marie-France MAZARS, Vice-présidente déléguée, et M. Eric PÉRÈS, Vice-président ;

Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et 46 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° MED-2018-006 du 08 février 2018 de la Présidente de la Commission mettant en demeure la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés.

A adopté la délibération suivante :

Par décision du 08 février 2018, la Présidente de la Commission a, sur le fondement de l’article 45 de la loi du 6 janvier 1978 modifiée, décidé de mettre en demeure la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS), de faire cesser sous un délai de trois mois à compter de la notification de ladite décision, le manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel traitées dans le cadre du Système National d’Information Interrégimes de l’Assurance Maladie (ci-après SNIIRAM ).

En application de l’article 46 deuxième alinéa de la loi du 6 janvier 1978 modifiée, la Présidente de la CNIL a régulièrement convoqué le bureau de la Commission aux fins de statuer sur sa demande de rendre publique sa décision.

Le bureau a été réuni à cette fin le 15 février 2018.

Après en avoir délibéré, le bureau considère que la publicité de la décision de mise en demeure se justifie par la particulière sensibilité des données traitées par la CNAMTS, à savoir les actes médicaux, feuilles de soins et séjours hospitaliers qui révèlent les données de santé de patients très hautement identifiables par la présence de multiples informations : âge, code postal, date de soins, médecin traitant etc.

En outre, le bureau estime que le risque pour la sécurité des données est particulièrement élevé compte tenu du volume de données enregistrées dans le SNIIRAM et du nombre important de destinataires des données.

Ainsi, la Cour des comptes, dans son rapport sur les données personnelles de santé gérées par l’assurance maladie, rendu public le 3 mai 2016, expose que : Chaque acte médical (près de 500 millions par an), chaque feuille de soins (plus de 1,2 milliard par an), chaque séjour hospitalier (plus de onze millions pour le seul champ MCO) sont ainsi documentés par une ou plusieurs lignes renseignant les consommations remboursées à des assurés sociaux .

Compte tenu de ces éléments et des nombreuses insuffisances relevées par la CNIL en termes de sécurité des données, le bureau considère que le manquement à l’article 34 de la loi du 6 janvier 1978 modifiée, retenu dans la décision n° MED-2018-006 de la Présidente de la CNIL, est d’une particulière gravité.

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision précitée n°MED-2018-006, hors son annexe détaillant les manquements techniques constatés.

Le bureau rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

La décision de mise en demeure et la présente délibération du bureau seront anonymisées dans un délai de deux ans à compter de leur publication.

La Présidente

Isabelle FALQUE-PIERROTIN

Date de la publication sur legifrance: 27 février 2018