Intervention de Alain Issarni

Le phénomène d'intrusion n'a pas du tout été signalé par la Cour des comptes. La question est de savoir, s'il devait se produire une intrusion, ce que l'on fait des données. Les données que nous stockons sont anonymisées mais pas complètement ; on n'y trouve pas le numéro d'inscription au répertoire (NIR) ni l'identité de la personne, mais il faut tout de même, pour des prestations liées à un assuré, une forme d'identifiant qui soit toujours le même, afin de pouvoir utiliser intelligemment les données. Une succession d'éléments totalement indépendants et décorrélés ne servirait à rien ; il faut pouvoir corréler ces données à un assuré, sans pour autant identifier celui-ci. C'est pourquoi a été mis en place un système dit de « pseudo-anonymisation ».

Le système que nous utilisons, FOIN 2, est pointé du doigt parce que l'algorithme est un peu ancien. Les données d'identité de l'assuré, le NIR et d'autres, sont passées à la moulinette par un procédé que les spécialistes appellent SHA-1 – qui est le procédé pointé du doigt – pour créer un identifiant. Ensuite, nous créons un autre identifiant dans le SNIIRAM par un second passage de moulinette. Personne n'a, de façon connue, cassé le code SHA-1 à ce jour.

Ce cryptage n'est pas réversible : il n'existe pas de système pour revenir à l'information initiale. Aussi, quand bien même quelqu'un serait parvenu à casser l'algorithme, il lui faudrait posséder les données nominatives et, avec le code cassé, les passer à la moulinette pour les comparer avec les pseudo-identifiants du SNIIRAM afin de pouvoir remonter à l'identité d'une personne. C'est la grande force de ce système.

Cela nous crée en contrepartie une difficulté. Si nous voulons changer de système, il faut revenir à la donnée initiale et la recrypter différemment. En outre, il faudra donner à tous ceux qui ont des cohortes et ont déjà l'identifiant lié à FOIN 1, à FOIN 2 et même au FOIN 3, car certains passent trois fois la moulinette, la correspondance qui existera entre ce qu'ils ont aujourd'hui et le nouvel identifiant pseudo-anonymisé que nous aurons alors. C'est ce qui explique la difficulté à changer de cryptage.

J'insiste cependant sur le fait que, si l'algorithme est pointé du doigt, les spécialistes s'accordent à dire qu'il n'y a pas urgence et que le changement peut se faire à l'horizon 2020, voire un peu au-delà.