Communiqué de presse Aides, LDH, DELIS

Paris, le 21 février 2007

La Commission nationale de l’informatique et des libertés vient de prendre fermement position pour un identifiant des données personnelles de santé, qui soit un numéro dérivé du numéro de sécurité sociale par un processus d’anonymisation irréversible. Ainsi, l’identifiant santé permettra de garantir l’absence de risque de doublon pour accéder au dossier médical personnel, mais il ne sera pas possible de remonter au numéro de sécu à partir de cet identifiant.

La solution retenue par la CNIL écarte le risque que constituerait l’adoption du n° de sécu comme identifiant santé, de faciliter ultérieurement l’interconnexion des données de santé avec d’autres données personnelles. Cela permet de préserver la protection des données de santé et l’intimité de la vie privée. En proposant d’attribuer à chacun un identifiant santé distinct du n° de sécu, on renforcera la conscience des personnes et des professionnels de santé sur le caractère particulièrement sensible et secret des données de santé et on favorisera ainsi le rôle de chaque acteur pour préserver la protection la plus stricte de ces données.

Avec près de 12 000 signataires de l’appel « Pas touche à mon numéro de sécu » et le soutien de nombreux organismes (associations de patients, représentants de professions de santé, syndicats), nous en avons appelé au respect de la sphère privée protégée par la non connexion des fichiers. Nous saluons l’avis rendu par la CNIL qui, en refusant l’extension des usages du numéro de sécu et son association avec les données personnelles les plus intimes que sont les données de santé, maintient vivants les principes protecteurs de la loi informatique et libertés.

Nous demandons solennellement au gouvernement de suivre maintenant la préconisation rendue par la CNIL sur l’identifiant santé.

Communiqué de la Cnil

Quel identifiant pour le secteur de la santé ? La CNIL propose la création d’un numéro spécifique généré à partir du NIR mais anonymisé

le 20 février 2007

Le 26 octobre 2006, le Président de la CNIL, M. Alex Türk, a décidé la création d’un groupe de travail ayant pour mission l’évaluation de la doctrine de la Commission sur l’utilisation du N.I.R (communément appelé numéro de sécurité sociale) dans la perspective de l’apparition de nouveaux identifiants nationaux, notamment dans le domaine de la santé. Les conclusions du groupe de travail ont été présentées en séance plénière.

1. Après une série d’auditions, et deux visites sur place, la CNIL réaffirme le caractère particulier du NIR puisque ce numéro est :

• signifiant, car composé d’une chaîne de caractères permettant de déterminer le sexe, la date (sauf le jour) et le lieu de naissance ;
• unique et pérenne, puisqu’un seul numéro est attribué à chaque individu dès sa naissance ;
• fiable, car il est certifié par l’INSEE à partir des données d’état civil transmises par les mairies.

2. Susceptible d’être reconstitué à partir des éléments d’état civil, facilitant la recherche et le tri des informations dans les fichiers, le NIR rend plus aisées les interconnexions. C’est pourquoi, la loi informatique et libertés soumet son utilisation, ainsi que les interconnexions de fichiers, à l’autorisation de la CNIL.

Ainsi la Commission a développé une doctrine de "cantonnement" selon laquelle chaque sphère d’activité (fiscalité, éducation nationale, banques, police…) doit être dotée d’identifiants sectoriels. Cependant, le NIR ayant été utilisé dès l’origine dans le secteur de la sécurité sociale, la CNIL a admis qu’il soit enregistré dans l’ensemble des fichiers des organismes en relation avec ce secteur. Employeurs, ASSEDIC et ANPE, organismes d’assurance maladie obligatoires et complémentaires, professionnels de santé ont donc été autorisés à recueillir, et à utiliser, le numéro de sécurité sociale dans leurs fichiers, mais uniquement pour leurs relations avec la sécurité sociale.

Des informations relatives à la santé (nécessaires à la prise en charge des assurés et à une meilleure connaissance des dépenses de santé) figurent d’ores et déjà dans les fichiers de l’assurance maladie, aux côtés du NIR des personnes concernées. Il en est de même dans les fichiers de gestion administrative des patients des professionnels et des établissements de santé.

3. Pour autant, est-il justifié d’autoriser aujourd’hui l’usage du numéro de sécurité sociale en tant qu’identifiant spécifique du dossier médical et en particulier du Dossier Médical Personnel (DMP) ?

L’utilisation d’un identifiant numérique par patient devrait éviter tant les "doublons", aboutissant à créer plusieurs dossiers pour une même personne, que les "collisions" conduisant à rattacher les données de santé d’une personne à une autre. À cet égard, le recours à l’identifiant fiable et disponible qu’est le NIR peut apparaître comme la solution permettant de résoudre les problèmes qui résulteraient de la création d’un identifiant spécifique pour une population de plus de 60 millions de personnes.

4. Toutefois, les données de santé ne sont pas des données personnelles comme les autres : parce qu’elles sont "sensibles", elles appellent une protection renforcée. Dès lors, le recours au NIR devrait bénéficier de mesures de protection toutes particulières qui, aux dires mêmes des professionnels concernés, ne sont pas actuellement assurées ni dans les établissements de santé, ni chez les professionnels de santé, ni dans les réseaux de soins.

5. Même si des mesures de protection particulières étaient prises, l’utilisation directe d’un numéro aussi répandu que le NIR comme identifiant de santé et clé d’accès à un dossier médical comprenant des données de santé beaucoup plus complètes que celles conservées dans les fichiers des organismes sociaux est de nature à altérer le lien de confiance entre les professionnels de santé et les patients, ceux-ci pouvant s’interroger sur les risques d’un accès non-contrôlé à leur dossier médical par l’intermédiaire de cet identifiant largement connu.

6. C’est pourquoi, la Commission estime que le NIR ne constitue pas, aujourd’hui, un numéro adapté pour identifier le dossier médical de chacun. Dès lors, elle formule une proposition équilibrée reprenant les avantages, en termes de fiabilité, liés au recours au NIR tout en évitant les inconvénients de cette solution :

• La CNIL considère que la méthode la plus à même d’apporter des garanties souhaitables serait la création d’un nouvel identifiant, spécifique aux données de santé, généré à partir du NIR. Ce nouvel identifiant serait certifié selon les procédures déjà éprouvées, reconnues et fiables, actuellement utilisées pour les bénéficiaires de l’assurance maladie, mais transcodé selon des techniques établies d’anonymisation.
• Ce numéro, non signifiant et dont la création par décret serait soumise à l’avis de la CNIL, constituerait l’identifiant de santé spécifique, utilisable dans l’ensemble du système de soins. Cette proposition permettrait de bénéficier des avantages du NIR au moment de la création de l’identifiant tout en maintenant un niveau de garantie élevé.

Projet de carte Vitale 2.

Dossier médical personnel : la Cnil réclame plus de confidentialité

Le futur dossier médical personnel (DMP) ne doit pas être identifié par l’actuel numéro de sécurité social. C’est l’avis de la Commission nationale de l’informatique et des libertés (Cnil), qui vient de publier ses conclusions sur le sujet.

Rappelons que, depuis 2004, le gouvernement travaille sur la mise en place d’un dossier médical informatisé pour chaque assuré social, qui rassemblera tout son historique médical. Un projet qui prend du retard et est source de nombreux débats, notamment sur le terrain de la protection des données individuelles.

Un algorithme pour sécuriser le numéro

Pour la Cnil, le choix est évident : plutôt que l’actuel numéro de sécurité social, ou NIR (Numéro d’inscription au répertoire [1]), il en faut un nouveau. Qui pourra être basé sur le NIR, mais décomposé puis recomposé grâce à un algorithme mathématique. Une solution plus complexe et plus coûteuse, mais davantage respectueuse de la confidentialité.

« Ce numéro, non signifiant (...) constituerait l’identifiant de santé spécifique, utilisable dans l’ensemble du système de soins. Cette proposition permettrait de bénéficier des avantages du NIR au moment de la création de l’identifiant tout en maintenant un niveau de garantie élevé ».

Le NIR pas assez protégé

Le numéro de sécurité social peut en effet être facilement déduit, à partir du sexe, du lieu et de la date de naissance. Cela n’est pas trop problématique aujourd’hui car il est seulement associé aux nom, adresse et factures de soin d’un patient.

Mais s’il est utilisé pour le DMP, il sera en revanche la clé d’accès à tout l’historique médical de la personne : ses visites chez les médecins, les éventuelles maladies diagnostiquées, les traitements, etc...

Or, rappelle la Cnil, « aux dires mêmes des professionnels concernés », aucune mesure de protection particulière n’est actuellement assurée autour de l’accès aux données via le NIR. « Ni dans les établissements de santé, ni chez les professionnels de santé, ni dans les réseaux de soins ». En résumé, ce numéro est trop facile à retrouver, et les dossiers qui lui sont associés ne sont pas assez protégés dans les établissements concernés.

Une solution peu coûteuse, mais peu convaincante ?

Et quand bien même des « mesures renforcées » seraient ajoutées, le public pourrait rester dubitatif. Ce qui risquerait d’altérer « le lien de confiance entre les professionnels de santé et les patients », estime la Cnil. Rappelons en effet que le DMP ne sera pas obligatoire et nécessitera l’aval du patient. Pour qu’il soit largement accepté, il lui faudra donc être convaincant en matière de sécurité.

Aux yeux des hôpitaux publics, l’utilisation du NIR aurait au moins le mérite d’être une solution rapide et peu coûteuse. « Utiliser le numéro de sécurité sociale est une solution qui a ses inconvénients mais elle répond à un besoin urgent des responsables de systèmes d’informations en hôpitaux, qui réclament depuis 20 ans un identifiant unique pour les patients », commente pour ZDNet.fr, Pierre Lesteven, conseiller en stratégie et prospective à la Fédération hospitalière de France (FHD), qui rassemble un millier d’hôpitaux publics.

Pour d’autres organismes, seule la création d’un nouvel identifiant est envisageable. « La solution retenue par la Cnil écarte le risque, que constituerait l’adoption du numéro de sécurité sociale comme identifiant santé, de faciliter ultérieurement l’interconnexion des données de santé avec d’autres données personnelles », estime un groupe d’associations
 [2]. Fin 2006, ce groupe a lancé une pétition en ligne commune intitulée « Pas touche à mon numéro de sécu ». Elle a déjà recueilli quelque 12.000 signatures.

La généralisation du DMP repoussée à 2008/2009

La balle est désormais dans le camp du ministre de la Santé, Xavier Bertrand, seul à pouvoir imposer une solution par décret. Les conclusions de la Cnil n’ont qu’une valeur consultative. Contacté par ZDNet.fr, le ministère a indiqué qu’il étudie actuellement le dossier ; des premiers éléments de réponse seront communiqués la semaine prochaine.

Les conclusions négatives de la Cnil repoussent néanmoins la généralisation du DMP en France. Les modalités de l’appel d’offres qui devait être lancé pour déterminer la principale entreprise chargée de gérer les DMP (dite "hébergeur de référence"), doivent en effet être revues. Il attendait l’aval de la Cnil sur l’usage du NIR comme identifiant patient. Du coup, selon des sources proches du dossier, l’échéance de novembre 2007 pour généraliser le DMP n’est plus tenable. Le dossier médical informatisé français devrait désormais être déployé à l’horizon 2008/2009.

Un sujet qui devrait faire débat à l’occasion du prochain salon consacré aux systèmes d’information au service de la santé, le HIT 2007 (Health Information Technologies), qui se tiendra du 22 au 24 mai prochain à Paris.