SlideShare ist ein Scribd-Unternehmen logo

Protection des données : Mise en demeure de la CNAM par la CNIL

Als DOCX, PDF herunterladen
Société Tripalio
Société Tripalio

Mise en demeure en date du 8 février 2018 de la CNAM par la CNIL au titre de l'exploitation du SNIIRAM

Regierungs- und gemeinnützige Organisationen
1 von 4
Commission Nationale de l'Informatique et des Libertés Décision n° MED-2018-006 du 8 février 2018 Décision n° MED-2018-006 du 8 février 2018 mettant en demeure la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés Etat: VIGUEUR La Présidente de la Commission nationale de l'informatique et des libertés, Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code pénal ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ; Vu la décision n° 2016-186C du 20 juin 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous traitements relatifs au Système national d’information interrégimes de l’assurance maladie (SNIIRAM) ; Vu les procès-verbaux de contrôle n° 2016-186/1 du 14 septembre 2016, n° 2016-186/2 du 15 septembre 2016, n° 2016-186/3 du 28 septembre 2016, n° 2016-186/4 du 29 septembre 2016, n° 2016-186/5 du 9 novembre 2016, n° 2016-186/6 du 10 novembre 2016, n° 2016-186/7 du 8 mars 2017 et n° 2016-186/8 du 9 mars 2017 ; Vu les autres pièces du dossier ; L’historique de la procédure Le 21 avril 2016, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ), après avoir pris connaissance du projet de rapport de la Cour des comptes portant sur les données à caractère personnel gérées par l’Assurance Maladie relevant une sécurité insuffisante des données traitées, rendu public le 3 mai 2016, a retenu au nombre des
thématiques de son programme annuel de contrôles le Système National d’Information Interrégimes de l’Assurance Maladie (ci-après SNIIRAM ). Le SNIIRAM a été créé par la loi n° 98-1194 du 23 décembre 1998 de financement de la sécurité sociale. Aux termes de l’article L161-28-1 du code de la sécurité sociale, il contribue : 1° à la connaissance des dépenses de l’ensemble des régimes d’assurance maladie par circonscription géographique, par catégorie de professionnels responsables de ces dépenses et par professionnel ou établissement ; 2° à la transmission en retour aux prestataires de soins d’informations pertinentes relatives à leur activité et à leur recette, et s’il y a lieu à leurs prescriptions ; 3° à la définition, à la mise en œuvre et à l’évaluation des politiques de santé publique ; 4° à la constitution du système national des données de santé (…) . Il est alimenté par les organismes gérant un régime de base d’assurance maladie . Le traitement est mis en œuvre dans les conditions prévues à l’arrêté du 19 juillet 2013, pris après avis de la CNIL, modifié par l’arrêté du 6 octobre 2016. L’article 2 précise ainsi que les traitements mis en œuvre dans le cadre du SNIIRAM répondent à quatre finalités : l’amélioration de la qualité des soins, la meilleure gestion de l’assurance maladie, la meilleure gestion des politiques de santé et la transmission aux prestataires de soins des informations pertinentes relatives à leur activité, à leurs recettes et, s’il y a lieu, à leurs prescriptions. L’article 3 dresse la liste des données traitées qui comprend notamment des données relatives à l’assuré et au bénéficiaire des remboursements (sexe, année et mois de naissance, département et commune de résidence et, le cas échéant, date de décès), les informations relatives aux prestations fournies (nature détaillée des actes, dates de soins et de remboursement, mode de prise en charge, informations relatives au parcours de soin et à l’identification du professionnel) ainsi que des informations relatives à l’activité des établissements de santé. L’article 5 dispose, quant à lui, que la gestion technique [de la base de données nationale] est confiée à la Caisse nationale de l’assurance maladie des travailleurs salariés (ci-après CNAMTS ). En application de la décision n° 2016-186C du 20 juin 2016 de la Présidente de la CNIL, des missions de contrôle sur place ont été diligentées entre les mois de septembre 2016 et mars 2017 afin de vérifier la conformité du SNIIRAM à la loi du 6 janvier 1978 modifiée (ci-après Loi Informatique et Libertés ). Les missions de vérification ont conduit les délégations de contrôle à se déplacer au sein des locaux de la CNAMTS à Paris, du centre d’hébergement de données d’Évreux, de la société SOPRA STERIA – prestataire chargé d’assurer la maintenance évolutive et corrective du SNIIRAM – et de la Caisse primaire d’assurance maladie (CPAM) de Loire-Atlantique. Des éléments ont par ailleurs été transmis par la CNAMTS le 29 juillet 2016 en réponse à un questionnaire adressé par la CNIL le 11 juillet de la même année dans le cadre d’un contrôle
sur pièces (cf. point 1. de l’annexe de la mise en demeure détaillant les constats et informations obtenues). La CNAMTS, au vu des éléments en possession de la CNIL, est considérée comme responsable de traitement de la base nationale SNIIRAM dans la mesure où, en plus d’assurer la gestion technique de la base conformément à l’article 5 de l’arrêté du 19 juillet 2013, elle est, comme elle l’indique elle-même, responsable du respect des règles de protection des données (au sens de la directive 95/46/CE) mais également (…) avec une grande marge d’autonomie, du fonctionnement opérationnel de la base (dont l’accomplissement des formalités CNIL) . Elle a, par ailleurs, fourni la liste des personnes habilitées à accéder à tout ou partie du SNIIRAM. Il s’agit notamment des caisses nationales des régimes d’assurance maladie, des directions régionales du service médical, des directeurs coordinateurs de la gestion du risque du régime général, des médecins des agences régionales de santé, de Santé publique France, de la Haute Autorité de Santé, de l’Agence nationale de sécurité du médicament et des produits de santé, des ministères de la santé, de l’agriculture et de l’économie et des finances, de l’institut national des données de santé ainsi que des organismes de recherche tels que le centre national de la recherche scientifique ou l’institut national de la santé et de la recherche médicale. Les manquements au regard des dispositions de la loi du 6 janvier 1978 modifiée Les réponses de la CNAMTS au questionnaire de la CNIL ainsi que les missions de vérification effectuées les 14, 15, 28 et 29 septembre dans les locaux de la CNAMTS à Evreux, les 9 et 10 novembre 2016 dans ses locaux à Paris, le 8 mars 2017 auprès de la société SOPRA STERIA puis le 9 mars 2017 au sein de la CPAM de Loire-Atlantique ont mis en lumière de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM. Les multiples insuffisances en termes de sécurité concernent, notamment, la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires (cf. annexe). L’ensemble de ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès . Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est notamment puni d’une peine d’amende pouvant atteindre 1.500.000 €.
En conséquence, la CNAMTS, sise 50 avenue du Professeur André Lemierre – 75020 Paris est mise en demeure, sous un délai de trois mois (3 mois) à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de : prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées et en particulier, celles visées enannexe de la présente mise en demeure ; justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti. À l’issue de ce délai, si la CNAMTS s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens. À l’inverse, si la CNAMTS ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée. La Présidente Isabelle FALQUE-PIERROTIN Date de la publication sur legifrance: 27 février 2018

Empfohlen

Décret traitements utilisant le NIR
Décret traitements utilisant le NIRDécret traitements utilisant le NIR
Décret traitements utilisant le NIR
Société Tripalio
 
Decret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnellesDecret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnelles
Société Tripalio
 
CJUE : anonymisation des arrêts impliquant des personnes physiques
CJUE : anonymisation des arrêts impliquant des personnes physiquesCJUE : anonymisation des arrêts impliquant des personnes physiques
CJUE : anonymisation des arrêts impliquant des personnes physiques
Société Tripalio
 
2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"
ASIP Santé
 
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Market iT
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
ASIP Santé
 
2016-10-13 JNI - "Le cadre juridique de la santé numérique"
2016-10-13 JNI - "Le cadre juridique de la santé numérique"2016-10-13 JNI - "Le cadre juridique de la santé numérique"
2016-10-13 JNI - "Le cadre juridique de la santé numérique"
ASIP Santé
 
Présentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériquePrésentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numérique
Inno³
 

Empfohlen

Décret traitements utilisant le NIR
Décret traitements utilisant le NIRDécret traitements utilisant le NIR
Décret traitements utilisant le NIR
Société Tripalio
 
Decret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnellesDecret donnees de sante et donnees personnelles
Decret donnees de sante et donnees personnelles
Société Tripalio
 
CJUE : anonymisation des arrêts impliquant des personnes physiques
CJUE : anonymisation des arrêts impliquant des personnes physiquesCJUE : anonymisation des arrêts impliquant des personnes physiques
CJUE : anonymisation des arrêts impliquant des personnes physiques
Société Tripalio
 
2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"2016-10-13 JNI - "actualites"
2016-10-13 JNI - "actualites"
ASIP Santé
 
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Décret 2016-1538 du 16 novembre 2016 relatif à la convention unique
Market iT
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
ASIP Santé
 
2016-10-13 JNI - "Le cadre juridique de la santé numérique"
2016-10-13 JNI - "Le cadre juridique de la santé numérique"2016-10-13 JNI - "Le cadre juridique de la santé numérique"
2016-10-13 JNI - "Le cadre juridique de la santé numérique"
ASIP Santé
 
Présentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériquePrésentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numérique
Inno³
 
Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
Market iT
 
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
Market iT
 
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
Market iT
 
Données de santé : deux formulaires
Données de santé : deux formulairesDonnées de santé : deux formulaires
Données de santé : deux formulaires
Société Tripalio
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...
ASIP Santé
 
Protection des donnees (RGPD) : projet de loi adopté
Protection des donnees (RGPD) : projet de loi adoptéProtection des donnees (RGPD) : projet de loi adopté
Protection des donnees (RGPD) : projet de loi adopté
Société Tripalio
 
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS) Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
Market iT
 
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Société Tripalio
 
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
Market iT
 
Joe 20161230 0303_0064
Joe 20161230 0303_0064Joe 20161230 0303_0064
Joe 20161230 0303_0064
Market iT
 
Donnees à caractère perso et vie privée
Donnees à caractère perso et vie privéeDonnees à caractère perso et vie privée
Donnees à caractère perso et vie privée
gob12345
 
StopCovid : avis de la CNIL 25-05-2020
StopCovid : avis de la CNIL 25-05-2020StopCovid : avis de la CNIL 25-05-2020
StopCovid : avis de la CNIL 25-05-2020
Léo Guittet
 
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Market iT
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD Médecins
Société Tripalio
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
Société Tripalio
 
Référentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnellesRéférentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnelles
Société Tripalio
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
ASIP Santé
 
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNILDonnées personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Société Tripalio
 
Ch4 2 privacy_traite108
Ch4 2 privacy_traite108Ch4 2 privacy_traite108
Ch4 2 privacy_traite108
Radouane Mrabet
 
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rppsRépertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Société Tripalio
 
Protection des données personnelles : communiqué projet de loi
Protection des données personnelles : communiqué projet de loiProtection des données personnelles : communiqué projet de loi
Protection des données personnelles : communiqué projet de loi
Société Tripalio
 
Droit tic au maroc
Droit tic au marocDroit tic au maroc
Droit tic au maroc
Anwar Youssef
 

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (14)

Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
Arrêté du 22 mars 2017 modifiant l’arrêté du 3 décembre 2013 relatif aux cond...
 
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
Décret 2016-1545 du 16 novembre 2016 autorisant la création d’un trait...
 
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
LOI n o 2018-493 du 20 juin 2018 relative à la protection des données ...
 
Données de santé : deux formulaires
Données de santé : deux formulairesDonnées de santé : deux formulaires
Données de santé : deux formulaires
 
Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...Apports du projet de loi de santé en matière de dématérialisation des données...
Apports du projet de loi de santé en matière de dématérialisation des données...
 
Protection des donnees (RGPD) : projet de loi adopté
Protection des donnees (RGPD) : projet de loi adoptéProtection des donnees (RGPD) : projet de loi adopté
Protection des donnees (RGPD) : projet de loi adopté
 
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS) Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
Délibération CNIL « Répertoire partagé des professionnels de santé » (RPPS)
 
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017Accès aux données de santé : rapport du CSF rendu le 29/03/2017
Accès aux données de santé : rapport du CSF rendu le 29/03/2017
 
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
Décret n° 2016-1795 du 20 décembre 2016 relatif aux conventions passées entre...
 
Joe 20161230 0303_0064
Joe 20161230 0303_0064Joe 20161230 0303_0064
Joe 20161230 0303_0064
 
Donnees à caractère perso et vie privée
Donnees à caractère perso et vie privéeDonnees à caractère perso et vie privée
Donnees à caractère perso et vie privée
 
StopCovid : avis de la CNIL 25-05-2020
StopCovid : avis de la CNIL 25-05-2020StopCovid : avis de la CNIL 25-05-2020
StopCovid : avis de la CNIL 25-05-2020
 
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
Guide cnom-cnil : RGPD : le Conseil National de l’Ordre des Médecins et la CN...
 
Guide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD MédecinsGuide CNIL CNOM RGPD Médecins
Guide CNIL CNOM RGPD Médecins
 

Ähnlich wie Protection des données : Mise en demeure de la CNAM par la CNIL

Ch4 2 privacy_traite108
Ch4 2 privacy_traite108Ch4 2 privacy_traite108
Ch4 2 privacy_traite108
Radouane Mrabet
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
foxshare
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnel
Allaeddine Makhlouk
 

Ähnlich wie Protection des données : Mise en demeure de la CNAM par la CNIL (20)

Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Référentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnellesRéférentiel CNIL système alertes professionnelles
Référentiel CNIL système alertes professionnelles
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNILDonnées personnelles : nouveaux référentiels de délivrance de Labels CNIL
Données personnelles : nouveaux référentiels de délivrance de Labels CNIL
 
Ch4 2 privacy_traite108
Ch4 2 privacy_traite108Ch4 2 privacy_traite108
Ch4 2 privacy_traite108
 
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rppsRépertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
Répertoire partagé des professionnels de santé Arrêté 18 avril 2017 rpps
 
Protection des données personnelles : communiqué projet de loi
Protection des données personnelles : communiqué projet de loiProtection des données personnelles : communiqué projet de loi
Protection des données personnelles : communiqué projet de loi
 
Droit tic au maroc
Droit tic au marocDroit tic au maroc
Droit tic au maroc
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
TLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santéTLM n° 103 Les enjeux de l'open data en santé
TLM n° 103 Les enjeux de l'open data en santé
 
CNIL et RGPD : liste des traitements soumis à l'AIPD
CNIL et RGPD : liste des traitements soumis à l'AIPDCNIL et RGPD : liste des traitements soumis à l'AIPD
CNIL et RGPD : liste des traitements soumis à l'AIPD
 
Projet de loi RGPD : version de la commission au Sénat
Projet de loi RGPD : version de la commission au SénatProjet de loi RGPD : version de la commission au Sénat
Projet de loi RGPD : version de la commission au Sénat
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Protection des données (RGPD) : le texte intégral du projet de loi
Protection des données (RGPD) : le texte intégral du projet de loiProtection des données (RGPD) : le texte intégral du projet de loi
Protection des données (RGPD) : le texte intégral du projet de loi
 
Données personnelles [RGPD] : le projet de loi adopté
Données personnelles [RGPD] : le projet de loi adoptéDonnées personnelles [RGPD] : le projet de loi adopté
Données personnelles [RGPD] : le projet de loi adopté
 
Cnil - Guide Travail
Cnil - Guide TravailCnil - Guide Travail
Cnil - Guide Travail
 
Protéger les données à caractère personnel
Protéger les données à caractère personnelProtéger les données à caractère personnel
Protéger les données à caractère personnel
 
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
2016-05-26 ASIP Santé Ateliers PHW16 "La réforme du cadre juridique de la pro...
 
Force probante 05102018
Force probante 05102018Force probante 05102018
Force probante 05102018
 
Libre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelLibre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnel
 

Mehr von Société Tripalio

Mehr von Société Tripalio (20)

Documents officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la JusticeDocuments officiels du dossier Epstein, délivrés par la Justice
Documents officiels du dossier Epstein, délivrés par la Justice
 
Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024Charte du candidat Prenons-nous en main pour 2024
Charte du candidat Prenons-nous en main pour 2024
 
Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !Prenons-nous en main 2024 : le programme !
Prenons-nous en main 2024 : le programme !
 
Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023Conclusions de la COP 28 de Dubai, décembre 2023
Conclusions de la COP 28 de Dubai, décembre 2023
 
Rapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdfRapport AME 04122023_vf.pdf
Rapport AME 04122023_vf.pdf
 
l16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdfl16t0197_texte-adopte-seance.pdf
l16t0197_texte-adopte-seance.pdf
 
ecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdfecb.sp231121_1~8df317dc17.en.pdf
ecb.sp231121_1~8df317dc17.en.pdf
 
ST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdfST-15732-2023-INIT_fr.pdf
ST-15732-2023-INIT_fr.pdf
 
ST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdfST-15631-2023-INIT_en.pdf
ST-15631-2023-INIT_en.pdf
 
2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf2023-11-14-allocution-laurent-fabius (1).pdf
2023-11-14-allocution-laurent-fabius (1).pdf
 
RCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdfRCP pfizer octobre 2023 anx_160809_fr.pdf
RCP pfizer octobre 2023 anx_160809_fr.pdf
 
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
Circulaire_relative_à_la_lutte_contre_les_infractions_susceptibles_d'être_c...
 
pjl22-434.pdf
pjl22-434.pdfpjl22-434.pdf
pjl22-434.pdf
 
Guide AMF prospectus.pdf
Guide AMF prospectus.pdfGuide AMF prospectus.pdf
Guide AMF prospectus.pdf
 
Budget de la Présidence
Budget de la PrésidenceBudget de la Présidence
Budget de la Présidence
 
PLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdfPLAN DE GOBIERNO - JM.pdf
PLAN DE GOBIERNO - JM.pdf
 
Dr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdfDr Broussalian réponse pour Olivier Soulier.pdf
Dr Broussalian réponse pour Olivier Soulier.pdf
 
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdfdffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
dffe1cf9ec241b5152a8688602d58ff1e640e4c1.pdf
 
2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf2023-incidences-economiques-rapport-pisani-5juin.pdf
2023-incidences-economiques-rapport-pisani-5juin.pdf
 
COM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDFCOM_2023_610_1_FR.PDF
COM_2023_610_1_FR.PDF
 

Protection des données : Mise en demeure de la CNAM par la CNIL

  • 1. Commission Nationale de l'Informatique et des Libertés Décision n° MED-2018-006 du 8 février 2018 Décision n° MED-2018-006 du 8 février 2018 mettant en demeure la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés Etat: VIGUEUR La Présidente de la Commission nationale de l'informatique et des libertés, Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code pénal ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ; Vu la décision n° 2016-186C du 20 juin 2016 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous traitements relatifs au Système national d’information interrégimes de l’assurance maladie (SNIIRAM) ; Vu les procès-verbaux de contrôle n° 2016-186/1 du 14 septembre 2016, n° 2016-186/2 du 15 septembre 2016, n° 2016-186/3 du 28 septembre 2016, n° 2016-186/4 du 29 septembre 2016, n° 2016-186/5 du 9 novembre 2016, n° 2016-186/6 du 10 novembre 2016, n° 2016-186/7 du 8 mars 2017 et n° 2016-186/8 du 9 mars 2017 ; Vu les autres pièces du dossier ; L’historique de la procédure Le 21 avril 2016, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ), après avoir pris connaissance du projet de rapport de la Cour des comptes portant sur les données à caractère personnel gérées par l’Assurance Maladie relevant une sécurité insuffisante des données traitées, rendu public le 3 mai 2016, a retenu au nombre des
  • 2. thématiques de son programme annuel de contrôles le Système National d’Information Interrégimes de l’Assurance Maladie (ci-après SNIIRAM ). Le SNIIRAM a été créé par la loi n° 98-1194 du 23 décembre 1998 de financement de la sécurité sociale. Aux termes de l’article L161-28-1 du code de la sécurité sociale, il contribue : 1° à la connaissance des dépenses de l’ensemble des régimes d’assurance maladie par circonscription géographique, par catégorie de professionnels responsables de ces dépenses et par professionnel ou établissement ; 2° à la transmission en retour aux prestataires de soins d’informations pertinentes relatives à leur activité et à leur recette, et s’il y a lieu à leurs prescriptions ; 3° à la définition, à la mise en œuvre et à l’évaluation des politiques de santé publique ; 4° à la constitution du système national des données de santé (…) . Il est alimenté par les organismes gérant un régime de base d’assurance maladie . Le traitement est mis en œuvre dans les conditions prévues à l’arrêté du 19 juillet 2013, pris après avis de la CNIL, modifié par l’arrêté du 6 octobre 2016. L’article 2 précise ainsi que les traitements mis en œuvre dans le cadre du SNIIRAM répondent à quatre finalités : l’amélioration de la qualité des soins, la meilleure gestion de l’assurance maladie, la meilleure gestion des politiques de santé et la transmission aux prestataires de soins des informations pertinentes relatives à leur activité, à leurs recettes et, s’il y a lieu, à leurs prescriptions. L’article 3 dresse la liste des données traitées qui comprend notamment des données relatives à l’assuré et au bénéficiaire des remboursements (sexe, année et mois de naissance, département et commune de résidence et, le cas échéant, date de décès), les informations relatives aux prestations fournies (nature détaillée des actes, dates de soins et de remboursement, mode de prise en charge, informations relatives au parcours de soin et à l’identification du professionnel) ainsi que des informations relatives à l’activité des établissements de santé. L’article 5 dispose, quant à lui, que la gestion technique [de la base de données nationale] est confiée à la Caisse nationale de l’assurance maladie des travailleurs salariés (ci-après CNAMTS ). En application de la décision n° 2016-186C du 20 juin 2016 de la Présidente de la CNIL, des missions de contrôle sur place ont été diligentées entre les mois de septembre 2016 et mars 2017 afin de vérifier la conformité du SNIIRAM à la loi du 6 janvier 1978 modifiée (ci-après Loi Informatique et Libertés ). Les missions de vérification ont conduit les délégations de contrôle à se déplacer au sein des locaux de la CNAMTS à Paris, du centre d’hébergement de données d’Évreux, de la société SOPRA STERIA – prestataire chargé d’assurer la maintenance évolutive et corrective du SNIIRAM – et de la Caisse primaire d’assurance maladie (CPAM) de Loire-Atlantique. Des éléments ont par ailleurs été transmis par la CNAMTS le 29 juillet 2016 en réponse à un questionnaire adressé par la CNIL le 11 juillet de la même année dans le cadre d’un contrôle
  • 3. sur pièces (cf. point 1. de l’annexe de la mise en demeure détaillant les constats et informations obtenues). La CNAMTS, au vu des éléments en possession de la CNIL, est considérée comme responsable de traitement de la base nationale SNIIRAM dans la mesure où, en plus d’assurer la gestion technique de la base conformément à l’article 5 de l’arrêté du 19 juillet 2013, elle est, comme elle l’indique elle-même, responsable du respect des règles de protection des données (au sens de la directive 95/46/CE) mais également (…) avec une grande marge d’autonomie, du fonctionnement opérationnel de la base (dont l’accomplissement des formalités CNIL) . Elle a, par ailleurs, fourni la liste des personnes habilitées à accéder à tout ou partie du SNIIRAM. Il s’agit notamment des caisses nationales des régimes d’assurance maladie, des directions régionales du service médical, des directeurs coordinateurs de la gestion du risque du régime général, des médecins des agences régionales de santé, de Santé publique France, de la Haute Autorité de Santé, de l’Agence nationale de sécurité du médicament et des produits de santé, des ministères de la santé, de l’agriculture et de l’économie et des finances, de l’institut national des données de santé ainsi que des organismes de recherche tels que le centre national de la recherche scientifique ou l’institut national de la santé et de la recherche médicale. Les manquements au regard des dispositions de la loi du 6 janvier 1978 modifiée Les réponses de la CNAMTS au questionnaire de la CNIL ainsi que les missions de vérification effectuées les 14, 15, 28 et 29 septembre dans les locaux de la CNAMTS à Evreux, les 9 et 10 novembre 2016 dans ses locaux à Paris, le 8 mars 2017 auprès de la société SOPRA STERIA puis le 9 mars 2017 au sein de la CPAM de Loire-Atlantique ont mis en lumière de nombreux manquements à la sécurité des données à caractère personnel traitées dans le cadre du SNIIRAM. Les multiples insuffisances en termes de sécurité concernent, notamment, la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires, la sécurité des postes de travail des utilisateurs du SNIIRAM, les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires (cf. annexe). L’ensemble de ces faits constituent un manquement à l’article 34 de la loi n° 78-17 du 6 janvier 1978 modifiée disposant que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès . Il est en outre rappelé qu’en application des articles 226-17 et 226-24 du code pénal combinés, le fait pour une personne morale de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est notamment puni d’une peine d’amende pouvant atteindre 1.500.000 €.
  • 4. En conséquence, la CNAMTS, sise 50 avenue du Professeur André Lemierre – 75020 Paris est mise en demeure, sous un délai de trois mois (3 mois) à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de : prendre toute mesure pour garantir la sécurité et la confidentialité des données à caractère personnel traitées et en particulier, celles visées enannexe de la présente mise en demeure ; justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti. À l’issue de ce délai, si la CNAMTS s’est conformée à la présente mise en demeure, il sera considéré que la présente procédure est close et un courrier lui sera adressé en ce sens. À l’inverse, si la CNAMTS ne s’est pas conformée à la présente mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée. La Présidente Isabelle FALQUE-PIERROTIN Date de la publication sur legifrance: 27 février 2018