Intervention de Arnaud Martin
Réunion du 7 février 2017 à 10h30
Mission d'évaluation et de contrôle des lois de financement de la sécurité sociale
En préambule, je réaffirme que les ministères sociaux, notamment celui des affaires sociales et de la santé, prennent bien en compte tous les enjeux relatifs à la sécurité des systèmes d'information, notamment des bases de données de santé. La question est traitée au plus haut niveau du ministère. Philippe Loudenot, spécialiste de ce dossier, qu'il suit depuis de nombreuses années, sera en mesure de vous apporter un éclairage sur toutes les questions de nature technique.
Nous avons émis un avis réservé quant à la recommandation de la Cour des comptes de classer la CNAMTS au sein des opérateurs d'importance vitale (OIV). Parmi les trois directives nationales de sécurité (DNS) qui régissent le secteur de la santé, il n'y en a aucune à laquelle nous pourrions rattacher la CNAMTS. Celle-ci étant placée sous la double tutelle du ministre chargé de la sécurité sociale et du ministre chargé du budget, nous aurions pu envisager de la rattacher à la DNS relative au secteur des finances. Cependant, j'ai travaillé sur ce point avec mon homologue des ministères économiques et financiers, et nous n'avons trouvé aucune structure ad hoc à laquelle rattacher la CNAMTS.
Notre réflexion est la suivante : autant il nous semble tout à fait envisageable et même nécessaire de mettre en place des audits triennaux pour s'assurer du niveau de sécurité du SNIIRAM, à l'instar de ce qui se fait pour les OIV – la Cour des comptes a d'ailleurs fait une ouverture à ce sujet –, autant il ne nous semble guère opportun de considérer la CNAMTS comme un OIV. Si l'on s'en tient à la lettre du dispositif de résilience de l'État, la CNAMTS n'entre pas dans cette catégorie.
En revanche, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) mène actuellement une réflexion sur la notion d' « opérateur de services essentiels » dans le cadre de la transposition de la directive européenne sur la sécurité des réseaux et des systèmes d'information, dite « directive NIS » – network and information security. Cette catégorie correspondrait peut-être mieux à la nature des enjeux en matière de données de santé.
