Intervention de Edouard Geffray

La CNIL a toujours clairement affirmé que le niveau de sécurité du SNDS devait être amélioré. Nous l'avons d'ailleurs indiqué à la Cour des comptes, laquelle est parvenue aux mêmes conclusions par ses propres moyens. Cette situation explique en partie qu'historiquement, l'ensemble de l'écosystème ait touché à cet outil avec prudence. Nous sommes en effet dans un monde où les questions de sécurité prennent des proportions considérables. Ainsi, nous effectuons 500 contrôles par an et, dans 85 % des cas, nous sommes amenés à émettre des recommandations, des injonctions ou des mises en demeure relatives à la sécurité informatique. Nous devons donc être collectivement attentifs à cette question, d'autant plus que la France est un peu faible dans ce domaine. S'agissant d'une base de données telle que celle du SNIIRAM, dont on connaît la richesse et la sensibilité, nous ne pouvons pas prendre le risque de subir un jour une attaque informatique majeure.

Une triple réponse doit être apportée. La première consiste dans une amélioration de l'architecture et de la sécurisation technique du SNDS qui, à ma connaissance, est en cours puisqu'un projet de texte nous a été transmis. Le contrôle que nous effectuons actuellement au SNIIRAM porte d'ailleurs notamment sur le volet « sécurité ».

La deuxième réponse, d'ordre juridique, est apportée par la loi de modernisation de notre système de santé et ses textes d'application. Ce cadre juridique est toutefois encore en devenir puisque tous les décrets n'ont pas paru : le Comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES) n'est pas encore opérationnel et nous n'avons pas expérimenté la nouvelle procédure. Il serait donc hasardeux de porter un jugement définitif sur celle-ci.