4 décembre 2006 – Fichiers informatiques
Assurer l’identification et la sécurité du DMP en garantissant la protection absolue des données personnelles de santé

Le Dossier médical personnel (DMP) a été institué pour favoriser une chance d’être mieux soigné. Associations d’usagers du système de santé et de défense des droits de l’Homme, nous soutenons ensemble que, pour atteindre cet objectif, le DMP ne doit pas comporter un risque accru d’atteinte à la protection des libertés individuelles.

 

Nous sommes à cet égard alertés par l’amendement adopté par le parlement, à la demande du gouvernement, qui confie mission à la CNIL d’autoriser l’utilisation du numéro de sécurité sociale (NIR) pour identifier le DMP et les autres dossiers de santé informatisés concernant un même patient.

 

En effet, l’utilité sociale du DMP et son acceptabilité ne seront assurées que s’il recueille la confiance pleine et entière des patients. Or l’usage du numéro de sécurité sociale comme identifiant du DMP ne pourrait que fragiliser cette confiance.

 

Ce numéro, à la différence d’un numéro d’identification santé prévu initialement, est en effet « transparent » et facile à reconstruire à partir de simples informations portant par exemple sur la date et le lieu de naissance d’une personne. Ses usages ont été jusqu’à présent très limités et encadrés par les pouvoirs publics et la CNIL, car il constitue l’outil idéal pour croiser des données et interconnecter des fichiers sur une même personne.

 

Dans un contexte où une politique de sécurité digne de ce nom en matière de données de santé informatisées est loin d’être atteinte, et sachant que les données de santé, parmi les plus intimes et les plus sensibles d’une personne, sont et demeureront extrêmement convoitées, il convient d’écarter tout risque d’usurpation ou d’accès non autorisé à ces données que l’usage du numéro de sécurité sociale risquerait de favoriser ou de renforcer.

 

Refuser d’associer le NIR au données personnelles de santé et au DMP est socialement utile et indispensable pour toux ceux qui souhaitent le succès du DMP, mais c’est aussi techniquement possible car il existe une alternative fiable pour identifier sans risque d’erreur le DMP et les autres dossiers personnels de santé. Un identifiant santé, propre à chaque personne, peut être généré à partir du NIR par un procédé de chiffrement irréversible : avec cette anonymisation du NIR, on obtient alors d’un numéro d’identité santé non signifiant qui ne permet pas l’identification indirecte de la personne à laquelle il se rapporte par rapprochement avec d’autres données la concernant. Un tel procédé[1] a été développé par plusieurs équipes (cf. travaux du Pr C. Quantin au CHU de Dijon et ceux menés à l’ATIH avec le logiciel FOIN, ainsi que les mesures adoptées par l’Institut de veille sanitaire pour les maladies à déclaration obligatoire, notamment le dossier médical des patients séropositifs pour le VIH).

 

Cette solution aurait donc le double avantage de disposer d’un identifiant santé totalement fiable et d’écarter tout risque de rapprochement non autorisé de données personnelles.

 

Nous en appelons donc aux pouvoirs publics et à la CNIL pour rejeter l’usage du NIR comme identifiant santé et adopter une solution d’« anonymisation irréversible » du NIR rendue aujourd’hui possible par l’état de l’art.

 

Ainsi sera-t-il possible de préserver la confiance du corps social en plaçant sur le même plan d’exigence l’utilité sociale du DMP et la préservation de la sphère privée des personnes.

 

Paris, le 4 décembre 2006

[1] Faisant appel aux méthodes cryptographiques de hachage à sens unique qui sont irréversibles. Le résultat du hachage est un code strictement anonyme (ne permettant pas de revenir à l’identité du patient) mais toujours le même pour un individu donné de façon à pouvoir rapprocher de manière sécurisée (sans connaître le NIR) les données de santé d’un même patient.

Share This