la doctrine de la Cnil concernant les identifiants


article de la rubrique Big Brother > la Cnil
date de publication : jeudi 9 avril 2009
version imprimable : imprimer


En 2006, la Commission nationale informatique et libertés (Cnil) a été amenée à se prononcer sur le problème du choix d’un identifiant national individuel dans le domaine de la santé. A cet effet elle a confié à un groupe de travail la mission de réfléchir à l’utilisation du N.I.R. et, plus généralement, de nouveaux identifiants nationaux. Après avoir procédé à de nombreuses auditions, le groupe de travail a présenté ses conclusions qui ont été approuvées par la commission en séance plénière le 20 février 2007.

C’est à la suite de ce travail de réflexion que la Cnil a pris position en faveur d’un identifiant de santé obtenu par anonymisation du numéro de sécu (voir cette page).

Nous reprenons ci-dessous les conclusions de la commission qui sont souvent considérées comme définissant la “doctrine” de la Cnil concernant les identifiants.


Conclusions de la Cnil sur l’utilisation du NIR [1] comme identifiant de santé

Le 26 octobre 2006, le Président de la CNIL, M.Alex Türk, a décidé la création d’un groupe
de travail ayant pour mission l’évaluation de la doctrine de la CNIL sur l’utilisation du N.I.R.
au regard des nouveaux contextes juridiques et techniques, et dans la perspective de
l’apparition de nouveaux identifiants nationaux.

Le groupe de travail, présidé par M.Jean Massot, a ainsi auditionné les représentants des
associations de patients, de la Ligue des droits de l’homme, des professionnels de santé et des
industriels du secteur de la santé et des spécialistes des techniques d’anonymisation. Il a
également entendu le directeur du Groupement d’intérêt Public du Dossier Médical Personnel
(GIP-DMP), le directeur du Groupement de Modernisation des Systèmes d’Information
Hospitaliers (GMSIH) et les responsables de l’INSEE et de la direction de la sécurité sociale.
Deux visites sur place ont été effectuées à l’Assistance Publique-Hôpitaux de Paris en
présence des responsables du système d’information et au centre informatique de la Direction
générale des impôts à Nevers.

Les constats et conclusions suivants ont été dégagés par le groupe de travail et approuvés par
la Commission en séance plénière le 20 février 2007.

I. Un constat réaffirmé : le NIR n’est pas un numéro comme les autres

- Le NIR, numéro d’inscription au Répertoire national d’identification des personnes
physiques (RNIPP), communément appelé numéro de sécurité sociale, est un numéro
particulier car il est :

  • signifiant – il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger,
  • unique et pérenne – un seul numéro est attribué à chaque individu dès sa naissance,
  • a priori fiable – il est certifié par l’INSEE à partir des données d’état civil transmises par les mairies.
  • On constate que, dans les pays étrangers où l’usage d’un identifiant national est étendu, celui-ci n’est pas ou peu signifiant (et est alors généralement limité à la date de naissance).

- La loi informatique et libertés soumet à autorisation particulière l’utilisation du NIR ou, ce qui a été considéré comme revenant au même, le recours au RNIPP. De même elle soumet à autorisation préalable de la CNIL les interconnexions de fichiers.

- A la sécurité juridique apportée par le cadre législatif et réglementaire est venu s’adosser un encadrement technique qui s’est traduit par des recommandations spécifiques en termes de sécurité.

- L’évolution des techniques qui permettent aujourd’hui d’effectuer plus facilement des rapprochements de fichiers sans numéro d’identification commun et l’émergence d’autres identifiants plus intrusifs (biométrie), ne font pas disparaître les craintes suscitées par l’utilisation et la diffusion généralisée d’un identifiant national unique et signifiant comme le NIR, alors que les « mégabases » de données se multiplient et que le développement des réseaux accroît les possibilités d’interconnexions.

- Ce numéro, parce qu’il est plus facile à reconstituer à partir des éléments d’état civil,
parce qu’il rend plus aisées les possibilités de rapprochements de fichiers et facilite la
recherche et le tri des informations dans les fichiers, reste associé au risque d’une
interconnexion généralisée ou d’une utilisation détournée des fichiers. Cela justifie les
précautions prises, depuis 1978, par le législateur et par la CNIL pour encadrer l’usage
du NIR. Ainsi même dans les cas où le législateur a cru devoir autoriser, sous certaines
conditions, le recours au NIR dans les fichiers, il a prévu que les modalités d’utilisation du numéro seraient déterminées après avis de la CNIL.

II. Une utilisation du NIR étendue mais « cantonnée » à la sphère sociale

- S’appuyant sur les dispositions de la loi, la CNIL a développé une doctrine de « cantonnement », selon laquelle chaque sphère d’activité (fiscalité, éducation nationale, banques, police…) devait être dotée d’identifiants sectoriels. Cela vaut notamment dans le domaine fiscal avec la mise en place d’un identifiant spécifique, le SPI. En revanche, le NIR ayant été utilisé dès l’origine dans le secteur de la sécurité sociale, la CNIL a admis qu’il soit enregistré dans l’ensemble des fichiers des organismes en relation avec ce secteur.

- Sous l’effet des lois sociales successives, le cercle des partenaires “ naturels ” de la
sécurité sociale s’est progressivement élargi. Qu’il s’agisse de payer des cotisations
sociales, d’assurer aux chômeurs le maintien de leurs droits sociaux, de permettre la
prise en charge totale ou partielle des frais de maladie, les acteurs du système de
protection sociale - employeurs, ASSEDIC et ANPE, organismes d’assurance maladie
obligatoires et complémentaires, professionnels et établissements de santé... - ont tous
été conduits, au titre de leurs relations avec la sécurité sociale, à recueillir et à utiliser
le numéro de sécurité sociale dans leurs fichiers. Cependant, les décrets intervenus
pour autoriser de telles utilisations ont veillé à ce que leur objet demeure cantonné aux
relations avec les organismes de sécurité sociale.

- Notre Commission n’ignore pas que des informations relatives à la santé (informations
nécessaires à la prise en charge des assurés et à une meilleure connaissance des
dépenses de santé) figurent dans les fichiers de l’assurance maladie et, chez les
professionnels et établissements de santé, dans les fichiers de gestion administrative
des patients identifiés alors par leur numéro de sécurité sociale. Ces données
permettent de connaître, pour chaque bénéficiaire de l’assurance maladie, les
consultations et les actes médicaux effectués, ainsi que les médicaments prescrits.

Cette évolution, initiée en son temps par l’instauration du codage des actes, des
prescriptions et des pathologies, s’accentue encore avec la mise en place de la
nouvelle tarification des actes médicaux qui associe à une catégorie tarifaire un acte
codé selon une classification détaillée des actes médicaux, et par la création par le
législateur du « webmédecin » permettant d’établir un lien automatique entre les
données de remboursement et certaines données de santé.

- Ces extensions de l’utilisation du NIR ne remettent pas en cause le principe du
« cantonnement » de son usage à la sphère sociale, car elles ont répondu à une même
finalité de protection sociale. Cependant, elles soulèvent la question du périmètre de
ce « cantonnement ». En effet, compte tenu d’une certaine connexité entre les données
utiles à la sécurité sociale et à la santé, est-il ou non justifié d’autoriser aujourd’hui
l’usage du numéro de sécurité sociale en tant qu’identifiant spécifique du dossier
médical et en particulier du Dossier Médical Personnel( DMP) ?

III. Le NIR peut-il être le futur identifiant de santé ?

- Le législateur a prévu la création d’un identifiant de santé des personnes prises en charge par un professionnel de santé ou un établissement de santé ou dans le cadre d’un réseau de santé, notamment pour l’ouverture et la tenue du DMP. Un décret pris après avis de la CNIL doit déterminer cet identifiant ainsi que ses modalités d’utilisation.

- L’utilisation d’un identifiant numérique par patient devrait éviter tant les « doublons »,
aboutissant à créer plusieurs dossiers pour une même personne, que les « collisions »
conduisant à rattacher les données de santé d’une personne à une autre. À cet égard, le
recours à l’identifiant fiable (car associé à des éléments d’état civil certifiés) et
disponible qu’est le NIR peut apparaître comme la solution permettant de résoudre les
problèmes qui résulteraient de la création d’un identifiant spécifique pour une
population de plus de 60 millions de personnes.

- Toutefois, partant de la constatation que les données de santé ne sont pas des données
personnelles comme les autres et qu’elles appellent une protection renforcée, notre
Commission estime que le NIR, compte tenu de son usage répandu, du fait qu’il est
signifiant et facile à reconstituer et des risques précédemment évoqués, ne constitue
pas, aujourd’hui, un numéro adapté pour identifier le dossier médical de chacun.

- En effet, le recours à un tel identifiant devrait bénéficier de mesures de protection
toute particulières qui, aux dires mêmes des professionnels concernés, ne sont pas
actuellement assurées ni dans les établissements de santé, ni chez les professionnels de
santé, ni dans les réseaux de soins. Or, notre Commission ne dispose aujourd’hui
d’aucun élément permettant de garantir aux usagers et aux professionnels de santé que
de telles mesures pourraient être effectives à bref délai.

- Même si des mesures de protection toute particulières étaient prises en ce qui concerne
les procédures d’accès et d’authentification, l’utilisation directe d’un numéro aussi
répandu que le NIR (comme identifiant unique de santé et clé d’accès à un dossier
médical qui comporte des données de santé beaucoup plus complètes que celles
conservées dans les fichiers des organismes de sécurité sociale) est de nature à altérer
le lien de confiance entre les professionnels de santé et les patients, ceux-ci pouvant
légitimement s’interroger sur les risques d’accès non-contrôlé à leur dossier médical
par cet identifiant largement connu.

- Utiliser le NIR en clair comme identifiant du dossier médical personnel
aujourd’hui ajouterait un élément de vulnérabilité à ce projet d’envergure et
serait donc de nature à susciter des réticences supplémentaires à son égard.
Cependant, la création d’un nouvel identifiant, spécifique pour les données de
santé, présentant les mêmes caractéristiques d’unicité et de fiabilité que le NIR et
qui s’appuierait sur de nouvelles procédures de certification des identités
entraînerait des coûts supplémentaires et des délais de mise en oeuvre plus longs,
sans toutefois que notre Commission ait pu disposer d’une évaluation précise de
ces coûts et ces délais.

- Dans ces conditions, elle estime que la méthode la plus à même d’apporter les
garanties souhaitables serait la création d’un identifiant de santé spécifique,
généré à partir du NIR certifié selon les procédures déjà éprouvées, actuellement
utilisées pour les bénéficiaires de l’assurance maladie, mais transcodé selon des
techniques reconnues d’anonymisation. Ce numéro, non signifiant, constituerait
l’identifiant de santé utilisable dans l’ensemble du système de soins.

- Cette proposition équilibrée permettrait de bénéficier des avantages du NIR au
moment de la création de l’identifiant tout en maintenant un niveau de garantie
élevé.

- Le choix de l’identifiant de santé, quel qu’il soit, ne permettra pas de faire l’économie
des procédures de vérification de l’identité du patient et de normalisation qui sont
nécessaires en particulier dans les établissements de soins, tant lors de l’admission que
tout au long du parcours de soins, afin d’éviter tout risque de confusion dont les
conséquences pourraient être particulièrement graves pour les personnes. Notre
Commission considère qu’il est indispensable de mettre en place, dans l’ensemble des
structures de soins, des procédures spécifiques d’ « identité-vigilance » permettant de
s’assurer que le dossier médical se rapporte bien à la personne concernée, en
particulier au vu des autres éléments d’identité produits par la personne et des actes
médicaux réalisés.

Notes

[1NIR : Numéro d’inscription au Répertoire National d’Identification des personnes physiques, communément appelé numéro de sécurité sociale.


Suivre la vie du site  RSS 2.0 | le site national de la LDH | SPIP