Communiqué commun AIDES DELIS LDH

Paris, le 20 décembre 2006

Le gouvernement doit définitivement renoncer à utiliser
le numéro de sécurité sociale comme clé d’accès au dossier médical personnel

Moins d’une semaine après que le Conseil constitutionnel a invalidé l’amendement gouvernemental à la loi de financement de la sécurité sociale, qui prévoyait d’utiliser le NIR (numéro de sécurité sociale) comme clé d’accès aux dossiers médicaux informatiques relatifs à une même personne et à son dossier médical personnel (DMP), le gouvernement vient de déposer le même amendement au Sénat dans le cadre de l’examen du projet de loi de ratification de l’ordonnance portant sur l’organisation de certaines professions de santé (amendement n°13), qui doit être examiné le 21 décembre 2006.

Le gouvernement persiste et signe donc, en vue de prendre un décret pour instituer le NIR comme identifiant santé, après avoir recueilli l’avis de la CNIL.

Aides, la Ligue des droits de l’Homme et Droits Et Libertés face à l’Informatisation de la Société (DELIS) ont exprimé leur opposition déterminée à ce projet d’extension de l’usage du numéro de sécu (cf. communiqué du 4/12/2006), en rappelant qu’il constitue le passe-partout idéal pour croiser des données et interconnecter des fichiers sur une même personne. Ils ont rappelé qu’il existe des alternatives fiables pour identifier sans risque d’erreur le DMP et les autres dossiers personnels de santé, par exemple avec un identifiant santé, propre à chaque personne, qui peut être généré à partir du NIR par un procédé de chiffrement irréversible.

L’attitude du gouvernement témoigne d’une inquiétante désinvolture à la protection absolue des données personnelles de santé, et ce d’autant plus que la politique de sécurité en matière de données de santé informatisées est régulièrement mise en défaut, comme en témoigne la récente révélation d’une faille de sécurité majeure chez l’un des hébergeurs lors des expérimentations du DMP, et comme l’ont montré à plusieurs reprises des contrôles effectués par la CNIL dans l’informatique hospitalière de certains établissements de santé, et non des moindres.

Depuis 15 jours, de nombreuses voix s’élèvent contre l’usage du NIR comme identifiant santé et en faveur de l’adoption d’un identifiant propre aux données personnelles de santé, distinct du NIR :

• Plus de 7000 personnes ont d’ores et déjà signé l’appel « Pas touche à mon numéro de sécu » [1] soutenu par la LDH, Delis et Aides.

• Le collectif interassociatif sur la santé (CISS), a estimé dans un communiqué du 13 décembre 2006 que « Le NIR ne peut être une clé d’accès au DMP » et qu’il fallait créer un « identifiant unique et fiable de patient », distinct du NIR.

Nous réaffirmons que la confiance des patients dans le DMP sera profondément ébranlée si le NIR est retenu comme identifiant santé, et que son utilité et son acceptabilité sociale risquent d’être remises en cause.

Nous en appelons solennellement au gouvernement pour qu’il retire l’amendement visant à instituer le NIR comme identifiant santé, et nous en appelons aux parlementaires pour qu’ils rejettent cette disposition, si elle devait être maintenue lors de l’examen du projet de loi.

Nous en appelons à poursuivre la mobilisation citoyenne pour placer sur le même plan d’exigence l’utilité sociale du DMP et la préservation de la sphère privée des personnes.

Communiqué – appel à signatures – de la LDH et de DELIS [2]

Ma vie privée sur la place publique, jamais !
Pas touche à mon numéro de Sécu

Il y a trente ans, la réaction de l’opinion publique permettait le rejet du projet Safari d’interconnexion des fichiers administratifs avec le « numéro de sécurité sociale » (NIR) comme identifiant. Depuis, de nombreuses propositions d’étendre l’usage de ce NIR ont été régulièrement présentées et rejetées. C’est la CNIL, créée en 1978 en réponse au projet Safari, qui a été l’outil de la préservation d’une sphère privée en matière d’interconnexion des fichiers de gestion administrative.

La CNIL s’est opposée aux demandes d’utiliser ce numéro pour identifier les données personnelles informatisées dans divers secteurs comme l’Éducation nationale, les impôts,… afin d’écarter les risques de rapprochement des données détenues par différents organismes publics et privés concernant une même personne. Ce principe de non rapprochement des données est un des fondements de la loi informatique et libertés qui protège la sphère privée en lui ménageant un espace vital vis-à-vis des acteurs publics ou privés (État, employeur, assureur,…).

La volonté de ne pas utiliser le NIR au-delà de la gestion des droits ouverts dans les organismes de sécurité sociale est devenu le symbole politique du droit des citoyens au respect de la sphère privée. La décision d’une extension importante de son utilisation à d’autres usages serait le symbole politique d’une rupture : faire passer le respect de la sphère privée au second plan des préoccupations de l’État.

C’est dans ce contexte que le gouvernement et le parlement veulent coup sur coup autoriser l’interconnexion de tous les fichiers sociaux au moyen du numéro de sécurité sociale, et obtenir de la CNIL le droit d’utiliser le numéro de sécurité sociale pour les accès directs au dossier médical personnel informatisé ainsi qu’à tous les dossiers médicaux relatifs à une même personne chez son médecin traitant ou à l’hôpital.

Depuis trente ans, les arguments invoqués pour étendre l’usage du NIR ont toujours été les mêmes : optimiser la gestion, faciliter la vie des gens, lutter contre la fraude, ... Ces arguments techniques ne sont que des prétextes pour légitimer l’objectif politique poursuivi : pouvoir réaliser à l’avenir librement tous les rapprochements d’informations concernant une personne.

L’information médicale doit demeurer un sanctuaire pour l’intimité la plus profonde de la personne. Chaque individu est seul « propriétaire » légitime de cette information et doit pouvoir décider avec qui il veut la partager, notamment son médecin.

Associer au NIR des informations sur les maladies psychiatriques, l’infection par le VIH, le cancer, des antécédents d’IVG, contrevient au sentiment d’appartenance de ses informations. Là réside la première étape pour ouvrir la voie aux interconnexions des données personnelles. Faut-il rappeler combien les données personnelles de santé sont un enjeu majeur pour de nombreux acteurs : assurances, banques, employeurs… ?

La CNIL est aujourd’hui placée devant la responsabilité de continuer ou non à garantir la protection de la vie privée en confirmant son refus de l’extension des usages du NIR, et en maintenant ainsi vivants les principes de la loi informatique et libertés « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

A l’initiative de la LDH et de DELIS, un appel est en ligne ce jour
 [3]. Cet appel s’adresse à la CNIL afin qu’elle « sanctuarise » l’usage du NIR, en refusant qu’il serve de clé d’accès au dossier médical personnel et de passe-partout pour les interconnexions de fichiers.

Paris, le 1er décembre 2006.

Des solutions alternatives au NIR existent [4]

[...]
Refuser d’associer le NIR au données personnelles de santé et au DMP est socialement utile et indispensable pour toux ceux qui souhaitent le succès du DMP, mais c’est aussi techniquement possible car il existe une alternative fiable pour identifier sans risque d’erreur le DMP et les autres dossiers personnels de santé. Un identifiant santé, propre à chaque personne, peut être généré à partir du NIR par un procédé de chiffrement irréversible : avec cette anonymisation du NIR, on obtient alors d’un numéro d’identité santé non signifiant qui ne permet pas l’identification indirecte de la personne à laquelle il se rapporte par rapprochement avec d’autres données la concernant. Un tel procédé [5] a été développé par plusieurs équipes (cf. travaux du Pr C. Quantin au CHU de Dijon et ceux menés à l’ATIH avec le logiciel FOIN, ainsi que les mesures adoptées par l’Institut de veille sanitaire pour les maladies à déclaration obligatoire, notamment le dossier médical des patients séropositifs pour le VIH).

Cette solution aurait donc le double avantage de disposer d’un identifiant santé totalement fiable et d’écarter tout risque de rapprochement non autorisé de données personnelles.

Nous en appelons donc aux pouvoirs publics et à la CNIL pour rejeter l’usage du NIR comme identifiant santé et adopter une solution d’« anonymisation irréversible » du NIR rendue aujourd’hui possible par l’état de l’art.

Ainsi sera-t-il possible de préserver la confiance du corps social en plaçant sur le même plan d’exigence l’utilité sociale du DMP et la préservation de la sphère privée des personnes.

Paris, le 4 décembre 2006

Le numéro de Sécurité sociale deviendra-t-il la clé d’accès au dossier médical ?

Le numéro de Sécurité sociale – appelé également Numéro d’Inscription au Répertoire (NIR) [6] – doit-il devenir la clé d’accès du futur dossier médical personnel (DMP) ? Le ministre de la santé, Xavier Bertrand, a déposé, lundi 13 novembre, un amendement en ce sens au projet de loi de finances de la Sécurité sociale (PLFSS), actuellement examiné par le Sénat. Le texte, qui vise à faire du numéro d’inscription au répertoire (NIR) national d’identification des personnes physiques un "identifiant de patient commun dans le domaine de la santé", avance des arguments d’ordre pratique pour l’appliquer au DMP.

Pour les défenseurs des libertés publiques, cette extension de l’utilisation du NIR est au contraire porteuse de dangers, car elle ouvrirait, selon eux, une brèche dans la sécurisation des fichiers en permettant, à terme, l’interconnexion des données sensibles.

Créé par le gouvernement de Vichy, le NIR est aujourd’hui utilisé par la Sécurité sociale et par les employeurs dans la gestion des prestations sociales. Son extension à d’autres utilisations a toujours fait polémique : en 1978, le projet Safari du ministère de l’intérieur prévoyait, grâce au NIR, d’interconnecter des fichiers policiers et sociaux. Face au tollé, la Commission nationale de l’informatique et des libertés (CNIL) avait été créée, qui s’est, depuis, toujours attachée à limiter l’usage du NIR.

Lors des débats sur la loi créant le DMP, en août 2004, l’ancien ministre de la santé, Philippe Douste-Blazy, avait exclu d’utiliser le NIR comme clé d’accès au DMP. Son successeur, Xavier Bertrand, s’est rangé à l’avis contraire. Les expérimentations actuellement menées sur le DMP, dont le lancement est prévu le 1er juillet 2007, démontreraient d’importantes erreurs dans la création d’un numéro aléatoire de santé, dont le coût est estimé à 500 millions d’euros. Le ministère estime par ailleurs que le NIR n’est plus "une source de fragilité" au regard des techniques de sécurisation des fichiers.

Pour les opposants à l’extension du NIR, ces arguments ne sont pas recevables. "On considère qu’un individu figure aujourd’hui dans 400 fichiers. Or, si un dénominateur commun existe entre eux, comme le NIR, vous allez tout droit vers l’interconnexion", explique Alain Weber, de la Ligue des droits de l’homme. "Etendre l’utilisation du NIR à des données aussi sensibles que les données médicales, cela revient à créer un numéro d’insécurité sociale, affirme Pierre Suesser, de l’association Droits et libertés face à l’informatisation de la société (Delis). Que se passerait-il si un tel instrument parvenait dans les mains d’un gouvernement non démocratique ?"

Le ministre de la santé s’est engagé à ne pas décider de l’extension du NIR au DMP sans avis conforme de la CNIL. La doctrine de la CNIL, qui se prononcera fin décembre, pourrait évoluer : "Le NIR est devenu une question sur laquelle les avis ne sont plus aussi tranchés qu’auparavant, affirme son président, le sénateur Alex Türk. Plutôt que nous draper dans notre dignité, nous estimons qu’il est préférable de déterminer dans quelle mesure son extension peut être faite avec des garanties acceptables."

Le numéro d’inscription au répertoire (NIR) national d’identification des personnes physiques est créé à partir des états civils des mairies, affectant ainsi à chaque personne née en France un numéro d’identification de 13 chiffres. La position des chiffres a une signification. Ainsi, le numéro 1 77 02 35 238 005 concerne un homme né en février 1977 à Rennes (code 238), dans le département d’Ille et Vilaine et qui était la cinquième naissance dans cette commune ce mois-là. A ces 13 chiffres, s’ajoute une clé de contrôle de deux chiffres [7].