Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie, le 14 octobre 2016, par le ministère des affaires sociales et de la santé d'une demande d'avis concernant un projet d'arrêté relatif au référentiel de sécurité applicable au Système national des données de santé (ci-après « SNDS »), pris en application de l'article L. 1461-1 du code de la santé publique.
Aux termes de ces dispositions législatives, l'accès aux données du SNDS s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par un arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la CNIL.
L'article 2 du projet d'arrêté prévoit une mise en application progressive du référentiel de sécurité selon les règles suivantes :
- dès la création du SNDS, le responsable du traitement et les gestionnaires de systèmes d'information existants traitant des données de santé issues du SNDS doivent définir un plan d'action de mise en conformité indiquant les mesures à prendre dans l'immédiat puis à court et moyen terme. Ils doivent, dans les mêmes délais, mener une analyse de risques et mettre en place des actionsgarantissant la protection des données et le respect de la vie privée des personnes afin d'assurer la confidentialité et l'intégrité des données et la traçabilité des accès ;
- le SNDS et tous les systèmes d'information traitant des données de santé issues du SNDS existants à la date d'entrée en vigueur de l'arrêté devront être en conformité totale avec le référentiel mentionné à l'article 1er dans un délai maximum de deux ans à compter de cette même date ;
- les nouveaux systèmes d'information, créés après l'entrée en vigueur de l'arrêté, traitant des données de santé issues du SNDS doivent être en conformité avec le référentiel dès leur création.
La commission rappelle que dans sa délibération n° 2016-316 du 13 octobre 2016, portant avis sur le projet de décret relatif au SNDS, elle avait demandé à recevoir un plan d'action détaillé incluant un calendrier prévisionnel de déploiement des mesures prévues dans le référentiel de sécurité et un engagement du responsable de traitement pour la mise en œuvre dans les meilleurs délais du respect de l'ensemble des exigences du référentiel de sécurité SNDS.
A cet égard, elle prend acte de ce que le directeur général de la CNAMTS lui a communiqué ce plan d'action dans un courrier du 9 décembre 2016 et de l'engagement de la CNAMTS à le mettre en œuvre.
Elle relève que l'ouverture du SNDS se fera en avril 2017.
Le référentiel de sécurité du SNDS porté par le projet d'arrêté a été défini à la suite d'une analyse de risques du traitement SNDS dans son ensemble, en incluant le système central et les systèmes « fils » qui hébergeront une copie de tout ou partie des données du système central.
La commission estime que ce référentiel a pris en compte la diversité des problématiques de sécurité inhérentes à un tel traitement massif de données personnelles sensibles, et qu'il fixe des exigences de sécurité à la hauteur des enjeux d'un tel traitement. Elle prend acte de ce que les nouveaux systèmes créés après l'entrée en vigueur de l'arrêté devront être conformes dès leur création.
Sur la conformité des systèmes SNDS :
Le référentiel dispose que tout système destiné à traiter des données du SNDS, que ce soit le SNDS central ou les systèmes fils, devra avoir préalablement apporté la preuve de sa conformité au présent référentiel, au règlement européen sur la protection des données personnelles, à la Politique générale de sécurité des systèmes d'information en santé (PGSSI-S), à la Politique de sécurité des systèmes d'information pour les ministères chargés des affaires sociales (PSSI MCAS), aux règles applicables dans le cadre du Référentiel Général de Sécurité (RGS) et à la loi Informatique et libertés.
En particulier, chaque système devra avoir été homologué au vu d'une analyse de risques et d'une étude d'impacts sur la vie privée, avec le suivi de la mise en œuvre des mesures destinées à couvrir les risques identifiés.
La commission en prend acte et rappelle la nécessité d'intégrer les évaluations de conformité et de risques dès les premières étapes de développement des systèmes. Par conséquent, et afin d'accompagner au mieux le déploiement du SNDS, elle demande que les procédures de preuve de conformité et d'homologation soient définies bien avant l'échéance de fin 2018 qui est indiquée dans le plan d'action.
De même, la commission rappelle l'importance de mettre en place au plus tôt les procédures d'audit fonctionnel et technique des systèmes et de revue des habilitations. A cet égard, elle prend acte de l'engagement à mettre en œuvre une politique de contrôle et d'audit dès l'ouverture du SNDS dans le cadre de la gouvernance générale du projet.
Sur la gestion des risques de réidentification :
La commission prend acte de ce que des données du SNDS ne pourront être qualifiées comme étant « à faible risque » de réidentification qu'à l'issue d'une analyse de risques.
Elle considère que cette analyse de risques de réidentification devra alors être intégrée au dossier d'homologation.
Enfin, concernant les mécanismes de pseudonymisation des données du SNDS, la CNAMTS indique qu'elle partage l'objectif de remplacer le dispositif utilisé pour le SNIIRAM et qu'elle a entrepris les études préalables sur cette action, qui sera réalisée dans le cadre de sa prochaine convention d'objectifs et de gestion, sans pour autant mentionner d'échéance.
La commission rappelle qu'elle recommande une mise en place dans les meilleurs délais, afin de traiter les risques croissants de réidentification des données liés à l'accroissement considérable du nombre d'utilisateurs et de systèmes fils du SNDS par rapport au SNIIRAM.
Sur les droits des personnes concernées :
La commission prend acte de ce que le référentiel dispose que le gestionnaire du SNDS central doit définir et appliquer un processus d'exercice du droit d'accès. Celui-ci doit notamment viser à s'assurer de l'identité de la personne exerçant le droit d'accès, de l'intégrité des informations communiquées et des modalités de communication permettant de garantir leur confidentialité.
Elle prend acte également de ce que le référentiel prévoit que le gestionnaire du SNDS central doit s'assurer qu'aucune donnée d'une personne ayant fait jouer son droit d'opposition n'est exportée vers un système fils généré à des fins de recherche, d'étude ou d'évaluation.
Sur les destinataires de données :
La commission relève que les conditions générales d'utilisation (CGU) du SNDS sont en cours de finalisation. Elles auront pour objet d'encadrer les accès aux données du SNDS et leurs usages, de sensibiliser les acteurs au respect des exigences du référentiel de sécurité et de responsabiliser l'ensemble des utilisateurs. Elles devront être signées par les utilisateurs avant d'accéder aux données du SNDS.
Concernant la durée limitée des habilitations d'accès au SNDS prévue par le référentiel, ainsi que les modalités de renouvellement de celles-ci, la commission rappelle sa recommandation de prévoir des habilitations d'accès par projet plutôt que par fonction.
Concernant l'identification et l'authentification des utilisateurs du SNDS, le référentiel de sécurité renvoie aux exigences des référentiels correspondants de la PGSSI-S.
A cet égard, la commission relève que ces référentiels sont destinés à être rendus opposables par arrêté du ministère, pris après avis de la CNIL, et qu'elle n'a pas encore été saisie à ce sujet. Elle prend néanmoins acte de l'exigence portée par le référentiel SNDS de recourir à une identification de palier 2 et à une authentification forte de palier 2.
Sur la traçabilité :
La CNAMTS indique que les CGU s'accompagneront d'un rappel des sanctions encourues en cas de non-respect, lesquelles s'appuieront dans un premier temps sur les mécanismes de traçabilité mis en place pour le SNIIRAM puis sur des dispositifs adaptés à l'architecture du SNDS étendu aux systèmes fils.
Les exports de données seront également surveillés par des outils dédiés. Une politique spécifique encadrera la gestion et l'exploitation des traces selon les risques, en intégrant les bonnes pratiques de surveillance.
A cet égard, la commission rappelle l'importance de la traçabilité des accès aux données de santé et demande à être destinataire de points d'avancement sur la mise en place des outils et des politiques de traçabilité.
Sur les environnements techniques :
Concernant les exigences portant sur les environnements techniques de la CNAMTS hors production (recette, qualification, intégration, test, développement, préproduction) pouvant être amenés à traiter des données réelles, la CNAMTS indique étudier plusieurs pistes de sécurisation. La commission demande à être régulièrement informée de l'avancée de ces travaux.
De même, la commission souhaite être informée des exigences et solutions techniques qui seront retenues pour les « environnements maîtrisés » dans lesquels les données du SNDS doivent être traitées.
Concernant l'exigence d'exclusion d'accès internet pour les environnements des administrateurs, la commission relève que la solution proposée dans le plan d'action, à savoir la mise en place d'un bastion d'administration, ne couvre pas entièrement le besoin. Elle recommande d'y ajouter un cloisonnement réseau, avec un réseau séparé dédié à l'administration des systèmes SNDS.
Enfin, de manière plus générale, la commission comprend que l'architecture cible du SNDS est en cours de détermination et évoluera avec son déploiement progressif, ce qui complique la planification précise du respect de certaines exigences du référentiel. Elle demande donc à recevoir les mises à jour du plan d'action et répond favorablement à la proposition de la CNAMTS d'organiser des rencontres régulières entre services respectifs.