Accès au SNDS, quelques bizarreries

En substance, le SNDS est une base nationale centralisée, qui agrège les données de l’assurance maladie, des établissements de santé et (à partir de septembre) des causes médicales de décès. Nul doute que le nombre de sources va s’étendre à terme, et si les données sont protégées par des systèmes d’anonymisation pointus, tous les spécialistes du secteur s’accordent à penser qu’il est impossible de garantir qu’un jeu de données extrait du SNDS ne permettra jamais de remonter à quelque patient que ce soit : cet entrepôt de données est donc sensible, d’où la présentation en question supposée expliquer aux parties prenantes les conditions d’accès, assez draconiennes du reste.

Il existe deux façons d’accéder au SNDS : soit un accès à la base centrale, soit un export vers un système local à l’établissement usager (système fils), les utilisateurs travaillant ensuite sur cet export. Les conditions d’accès au système central sont complexes, celles qui permettent un export vers un système fils plus encore, ce qui est logique.

Pour l’accès au SNDS central, il faut en substance :

• Garantir l’accès au système par un processus formalisé de gestion des identités et des habilitations : circuit administratif comprenant une autorité d’enregistrement et une instance de certification, signature des documents contractuels internes, etc. ;
• Garantir la sensibilisation des utilisateurs : formation obligatoire, signature d’une charte, etc.

Pour l’utilisation d’un système fils, les conditions sont les mêmes que celles imposées à l’hébergeur du SNDS central, à savoir en plus des contraintes ci-dessus : audits réguliers, traçabilité des accès et exploitation des traces.

Dans les deux cas, le recours à un CIL est obligatoire, de même que le respect des principaux référentiels en vigueur (PSSI-MCAS, etc.).

Ce qui étonne le plus, dans toute cette armada de précautions, c’est que l’accès au SNDS central par les utilisateurs des organismes disposant d’un accès de droit se fait… par une simple authentification login/password, donc faible. Alors que le SNDS exige que le poste de travail soit conforme aux exigences de la PSSI-MCAS (en gros, PC maîtrisé par l’organisme), un simple login/password suffit à l’accès. D’une part, il est évident que les mots de passe vont se prêter (et celui qui prétend le contraire n’a clairement pas mis les pieds sur le terrain depuis la guerre du Péloponnèse) ; d’autre part, il est au moins aussi évident que les utilisateurs… vont accéder au système depuis chez eux (exit la maîtrise du PC). Sans parler des risques de fuite de données puisque les établissements ne maîtriseront pas ces accès non tracés.

L’ensemble des confrères RSSI présents à la réunion (le CHU Bouillabaisse, le CHU Canari, le CHU Promenade des Anglais, le CHU Crêpe normande et j’en oublie) ont unanimement fait part à la Drees, en séance, de leur inquiétude à ce sujet. Il leur a été promis de « remonter la question ». 

Ça rassure drôlement.