SNIIRAM : une base interrégimes à améliorer

la Cour des Comptes a enquêté sur les données médicales personnelles interrégimes détenues par l’assurance maladie (1). Elle invite les promoteurs du SNIIRAM à mettre l’outil au service d’une stratégie d’ensemble d’amélioration de l’efficience des prises en charge et de maîtrise des dépenses.

A la demande de la commission des Affaires sociales et des co-présidents de la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale (MECSS) de l’Assemblée nationale,  les Sages de la rue Cambon ont enquêté sur la base de données pilotée par l'Assurance-maladie.  Le Système national d’information interrégimes de l’assurance maladie, dénommé le SNIIRAM, enregistre, dans une base unique, les données de liquidation des bénéficiaires des régimes d’assurance maladie obligatoire. Créé en 1999, ce système a connu des évolutions successives pour enrichir son contenu et améliorer sa structuration, jusqu’à constituer, de l’avis de la Cour des Comptes, « une base de données médico-administratives, sans équivalent en Europe au regard du nombre de personnes concernées et de la diversité des données disponibles. »

En 2005, la CNAMTS a créé un échantillon généraliste des bénéficiaires qui ont contribué à l’exploitation du SNIIRAM en dehors de l’assurance maladie. Pour les magistrats de la rue Cambon, « le potentiel de ces outils est très important, mais il reste à parfaire. » A leurs yeux, « la qualité de la base peut être améliorée en réduisant certaines fragilités de codage et des remontées d’informations encore parfois incomplètes. » Maître d’ouvrage et opérateur pilote principal de la gestion des données de santé des Français, la CNAMTS s’est, au fil des années, imposée comme « propriétaire » du SNIIRAM. Ce qui, considère la Cour, a conduit à la forte limitation des accès permanents à cette base et à des freins au développement des utilisations ponctuelles par les acteurs du monde de la santé publique. De plus, note encore le rapport de la Cour, si la mise en conformité technique avec les normes et bonnes pratiques de gestion de méga-données apparait satisfaisante, plusieurs risques et défaillances de sécurité, identifiés par la CNAMTS, subsistent. En particulier, les dispositifs de cryptage qui semblent obsolescent.

Mieux traiter l’accès aux données

La tutelle est ainsi invitée par la Cour des Comptés à porter une attention plus grande à un outil qui s’inscrit dans les préoccupations du moment, en particulier celle d’une meilleure gestion du risque maladie. « Les difficultés de gouvernance du SNIIRAM n’ont pas permis de traiter convenablement ces enjeux d’accès aux données du SNIIRAM », note son rapport. Si les acteurs concernés par l’utilisation des bases de santé – l’Institut des données de santé (IDS), le comité d'orientation et de pilotage de l'information inter-régimes du SNIIRAM (COPIIR), la CNAMTS et la CNIL – sont mobilisés sur le sujet, ils ont cependant du mal à se coordonner. Conséquence : on assiste depuis près de trois ans à une « paralysie des accès permanents et à une asphyxie des instances chargées des demandes d’accès ponctuels. » De plus, le degré d’utilisation du SNIIRAM est très variable selon le type d’acteurs, sans compter que les procédures d’interrogation de la base sont complexes et nécessitent le soutien ou l’entremise de la CNAMTS. Plus grave, selon la Cour, « la CNAMTS n’exploite pas encore le SNIIRAM au maximum de ses potentialités, en particulier en matière de gestion du risque et de lutte contre les abus et la fraude des professionnels de santé ».

« Par son manque d’investissement et d’expertise, renforcé par des droits d’accès parfois trop restreints, l’État s’est, quant à lui, privé, au niveau national comme déconcentré, d’un instrument précieux pour le pilotage du système de santé et la recherche d’efficience des dépenses d’assurance maladie », ajoute la Cour. Un nouveau système national des données de santé (SNDS) a été créé par la loi de modernisation du système de santé avec un périmètre élargi par rapport au SNIIRAM. Ce nouveau système « entend réformer la gouvernance des données de santé et encourager leur utilisation à des fins d’intérêt général ». Les finalités du SNDS (2) sont définies de manière plus étendue que celles du SNIIRAM. 

« Les priorités restent donc les enjeux d’amélioration et de sécurisation de l’existant, ajoute la Cour, en estimant que la nouvelle gouvernance prévue par la loi devra résoudre la question de l’éclatement du pilotage du SNIIRAM et l’actuelle dilution des responsabilités. Il faudra, notent les Sages, « distinguer clairement entre gestion technique du SNDS, gestion des droits d’accès et définition des orientations stratégiques ». Ils invitent également à passer à une politique de contrôle a posteriori, aujourd’hui inexistante et qui reposera sur la responsabilisation des utilisateurs.

13 recommandations de la Cour des Comptes

Si le SNIIRAM constituera, pour quelques temps encore, l’essentiel du SNDS, la Cour estime qu’il conviendra de « continuer sans relâche à enrichir et sécuriser son contenu, et à améliorer sa structuration pour faciliter son appropriation par le plus grand nombre. » Elle suggère de mettre en place un modèle économique " qui permette de dégager les ressources nécessaires pour contribuer à la prise en charge des investissements humains et financiers prioritaires et coûteux qui doivent être réalisés pour la sécurisation du SNIIRAM, son enrichissement et les développements nécessaires à la création du SNDS". Dans la foulée, la Cour des Comptes formule 13 recommandations en conclusion de son rapport (ci-dessous). Elle invite ainsi notamment à « exploiter, au sein des régimes d’assurance maladie obligatoire, les potentialités du SNIIRAM à des fins de gestion du risque, notamment pour sanctionner plus systématiquement les comportements abusifs, fautifs et frauduleux. » Quant au SNDS, il devra être pensé « afin de permettre au système, dont les coûts de développement et plus encore de sécurisation seront élevés, d’assurer sa soutenabilité financière en s’appuyant sur une valorisation en fonction des capacités des utilisateurs et de leurs exigences spécifiques, tout en garantissant néanmoins un accès gratuit à des services de base de qualité. » Tout un progamme.

Jean-Jacques Cristofari

(1) « Les données personnelles de santé gérées par l’assurance maladie, une utilisation à développer, une sécurité à renforcer », communication à la commission des affaires sociales et à la mission d’évaluation et de contrôle des lois de financement de la sécurité sociale de l’Assemblée nationale, Cour des Comptes, mars 2016.

(2) Six finalités sont ainsi désormais assignées au SNDS : l'information sur la santé ainsi que sur l'offre de soins, la prise en charge médico-sociale et leur qualité ; la définition, à la mise en oeuvre et à l'évaluation des politiques de santé et de protection sociale ; la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales ; l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ; la surveillance, à la veille et à la sécurité sanitaires ; la recherche, aux études, à l'évaluation et à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale.

---------------------------------------------------------------

Les 13 recommandations de la Cour des Comptes
1. poursuivre, en les hiérarchisant, les efforts d’amélioration de la complétude et de la qualité des données, en particulier des informations issues du PMSI ;
2. mettre en place rapidement un suivi analytique des coûts d’alimentation, de sécurisation, de gestion et d’utilisation du SNIIRAM ;
3. reconnaître à la CNAMTS le statut d’opérateur d’importance vitale et la soumettre aux règles et contrôles périodiques externes de sécurité y afférant ;
4. anticiper en vue de la prochaine COG la programmation financière et le calendrier des travaux additionnels de mise en conformité du SNIIRAM et de son environnement informatique avec les exigences de renforcement de sa sécurité rendues indispensables par l’obsolescence progressive de certains dispositifs ;
5. exploiter, au sein des régimes d’assurance maladie obligatoire, les potentialités du SNIIRAM à des fins de gestion du risque, notamment pour sanctionner plus
systématiquement les comportements abusifs, fautifs et frauduleux ;
6. développer l’exploitation du SNIIRAM par les pouvoirs publics en définissant les besoins de chaque direction d’administration centrale et en mutualisant les compétences au sein de la DREES, selon des priorités concertées ;
7. intensifier l’utilisation des bases médico-administratives par l’introduction systématique d’objectifs ambitieux et d’indicateurs de performance dans les conventions passées entre le ministère et les opérateurs ;
8. enrichir le SNIIRAM en améliorant la qualité des informations médicales contenues, notamment par le codage médical des soins de ville et en facilitant son rapprochement avec les données socio-économiques ou d’habitude de vie ;
9. hiérarchiser, dans le prolongement de la loi de modernisation de notre système de santé, les finalités poursuivies par le SNDS, afin de définir les investissements à consentir et les accès permanents et ponctuels à autoriser ;
10. simplifier les procédures relevant de la CNIL pour l’accès ponctuel aux données du SNDS par l’élaboration, dans les meilleurs délais, de méthodologies de référence et d’autorisations cadres selon des priorités concertées avec l’État et l’INDS ;
11. articuler précisément et explicitement le rôle des différents acteurs dans la gestion du pilotage et des accès au SNDS ;
12. mettre en oeuvre une politique systématique et rigoureuse de contrôle a posteriori des règles relatives à l’utilisation du SNIIRAM et du SNDS, s’appuyant sur des sanctions renforcées et faisant notamment l’objet d’un rapport annuel au Parlement de la CNIL ;
13. assurer la soutenabilité financière du SNDS, en articulant gratuité d’une offre de base et tarification adaptée des services spécifiques apportés de manière à contribuer au financement des dépenses de développement, de sécurisation, de mise à disposition des données et d’accompagnement.
(Source : Les données personnelles de santé gérées par l’assurance maladie – mars 2016, Cour des comptes)