Intervention de Pierre Morange

Nous poursuivons nos travaux sur les données médicales personnelles versées au Système national d'information inter-régimes de l'assurance maladie (SNIIRAM), puis au Système national des données de santé (SNDS). Nous avons le plaisir d'accueillir le général Arnaud Martin, haut fonctionnaire adjoint de défense et de sécurité au pôle « défense et sécurité » du secrétariat général des ministères chargés des affaires sociales, et M. Philippe Loudenot, fonctionnaire de sécurité des systèmes d'information (FSSI) pour les ministères chargés des affaires sociales

Nous sommes, en quelque sorte, au milieu du gué du processus d'ouverture des données de santé. La Cour des comptes a publié un rapport sur la question en mars 2016, à la suite de l'adoption de la loi du 26 janvier 2016 de modernisation de notre système de santé, dont l'article 193 porte sur la mise à disposition des données de santé. Pour sa part, la MECSS a traité une partie du sujet au travers des auditions qu'elle a menées, sachant que nous avançons en marchant, puisque plusieurs décrets d'application doivent encore être pris – certains décrets ont été publiés le 26 décembre 2016. Compte tenu des échéances électorales, la MECSS rédigera un pré-rapport qu'elle présentera à la commission des affaires sociales d'ici la fin du mois, avant la suspension des travaux du Parlement. Notre ambition est que le rapport définitif soit rédigé pour la fin de l'année 2017 ou le début de l'année 2018, mais tout dépendra des futurs représentants désignés par le peuple.

Le sujet est très vaste, non seulement parce que le SNDS sera l'une des bases de données les plus importantes d'Europe, voire du monde – il sera enrichi par les données du Centre d'épidémiologie sur les causes médicales de décès (CépiDc), par un échantillon des données de remboursement des assurances complémentaire et, à terme, par des données médico-sociales, – mais aussi en raison des problèmes soulevés : prise en compte des évolutions technologiques, articulation avec les objets connectés – dont le nombre sera multiplié par cinquante au cours des cinq prochaines années –, protection contre la piraterie informatique. Cette dernière n'est plus seulement théorique, ainsi que l'ont signalé différents ministères. Avez-vous eu connaissance d'éventuelles attaques informatiques dans le domaine de compétence du ministère des affaires sociales et de la santé ?

La Cour des comptes a subdivisé ce sujet en quatre grands thèmes.

Premier thème : la sécurité des méthodologies utilisées ou, en d'autres termes, la qualité du « coffre-fort informatique » renfermant ces données. À cet égard, quel est votre sentiment sur la solidité de l'algorithme FOIN (fonction d'occultation des identifiants nominatifs) ? Que pensez-vous des préconisations de la Cour des comptes visant à élever le niveau de sécurité, notamment de sa recommandation de reconnaître à la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS) la qualité d'opérateur d'importance vitale ?

Deuxième thème : la confidentialité des données, qui passe par leur pseudonymisation et leur cryptage. Les techniques de chaînage ne présentent-elles pas quelques faiblesses ?

Troisième thème : l'exploitation des données. Elle demeure insuffisante, d'où les nouvelles dispositions de la loi de modernisation de notre système de santé. La procédure proposée vous semble-t-elle suffisamment solide et efficiente ? Que pensez-vous notamment du contrôle a posteriori ? Disposons-nous des moyens humains, techniques et financiers nécessaires à cette fin ?

Quatrième thème : le modèle économique. Cette question est sans doute à la marge de votre domaine de compétence, mais elle renvoie au problème de la sécurisation de l'accès à des données très sensibles, notamment au moyen d'un certain nombre de pare-feu.