Intervention de Antoine Durrleman

L'absence de réponse du ministère de la recherche me semble précisément résulter de ce que le SNIIRAM n'est pas vu comme un outil de recherche : c'est un sujet périphérique pour ce ministère. De plus, les sujets qui concernaient directement la direction interrogée étaient relativement mineurs.

Quant à l'ATIH, nous avons eu de nombreux contacts avec elle au cours de l'instruction et je pense qu'elle a dû considérer qu'elle n'avait pas d'observation en réponse aux analyses de la Cour. Cela veut donc dire qu'elle les a validées.

L'absence de pilotage stratégique s'est malgré tout faite sentir dans la prise en compte tardive des questions de sécurité. Évidemment, sur un champ aussi sensible que la protection de la vie privée, la sécurisation et la garantie de la confidentialité des données imposent un pilotage, une responsabilité assumée et une trajectoire de progrès. L'absence de pilotage stratégique constatée jusqu'à la période récente est donc tout à fait regrettable. Avant 2013, les questions de sécurité n'ont pas été prises à bras-le-corps, ce qui a entraîné des faiblesses marquées de certains dispositifs. À partir de 2013, la caisse nationale d'assurance maladie a réagi et a pris les impératifs de sécurité en considération de façon beaucoup plus rigoureuse, même si nous avons encore constaté que des progrès restaient à faire au regard des meilleures pratiques de sécurité préconisées par l'ANSSI. Un plan d'action a été décidé, un pilotage des problématiques de sécurité a été mis en place, des actions ont été engagées pour juguler plusieurs risques majeurs. Avec les experts informatiques de la Cour et un cabinet informatique extérieur, nous avons constaté qu'il n'y a pas, à l'heure actuelle, de faiblesses de sécurité présentant un niveau de criticité majeur.

Nous avons attiré l'attention sur le fait que des progrès devaient être faits. Des mises à niveau sont nécessaires et les administrations de tutelle et le ministère de la santé doivent suivre attentivement ces questions. Surtout, il est nécessaire de poursuivre et d'intensifier les efforts à moyen terme, car certaines fonctions essentielles reposent sur des technologies obsolescentes. Elles ne mettent pas le dispositif en difficulté aujourd'hui mais, à terme, il est certain qu'il faudra les moderniser. C'est notamment le cas de la fonction d'occultation, qui est utilisée à deux reprises dans le processus d'anonymisation des données personnelles. Ce dispositif repose sur un logiciel d'origine américaine, SHA-1, qu'il faudra remplacer d'ici à quelques années. Une modernisation permet de passer de SHA-1 à SHA-2, mais c'est un processus très lourd, très compliqué, qui ne touchera pas simplement les systèmes d'information du régime d'assurance maladie, mais l'ensemble des régimes de base d'assurance maladie et les bases de données hospitalières. Il faut anticiper ce projet en termes de calendrier et de coûts, d'autant qu'il ne s'agira pas simplement de prendre en compte le flux de données nouvelles mais aussi de retraiter le stock, sachant qu'il est prévu de conserver les données pendant vingt ans.