Dossier médical personnel: la Cnil réclame plus de confidentialité

ZDNet France - 23 février 2007

Texte original sur zdnet.fr

Société - Quel identifiant pour le futur dossier médical personnel? La Cnil prône la création d’un code informatique plutôt que l’usage de l’actuel numéro de sécurité social. Une solution qui garantirait un haut niveau de confidentialité. Au ministre de décider.

Le futur dossier médical personnel (DMP) ne doit pas être identifié par l'actuel numéro de sécurité social. C'est l'avis de la Commission nationale de l'informatique et des libertés (Cnil), qui vient de publier ses conclusions sur le sujet.

Rappelons que, depuis 2004, le gouvernement travaille sur la mise en place d'un dossier médical informatisé pour chaque assuré social, qui rassemblera tout son historique médical. Un projet qui prend du retard et est source de nombreux débats, notamment sur le terrain de la protection des données individuelles.

Un algorithme pour sécuriser le numéro

Pour la Cnil, le choix est évident: plutôt que l'actuel numéro de sécurité social, ou NIR (Numéro d'inscription au répertoire), il en faut un nouveau. Qui pourra être basé sur le NIR, mais décomposé puis recomposé grâce à un algorithme mathématique. Une solution plus complexe et plus coûteuse, mais davantage respectueuse de la confidentialité.

« Ce numéro, non signifiant (...) constituerait l'identifiant de santé spécifique, utilisable dans l'ensemble du système de soins. Cette proposition permettrait de bénéficier des avantages du NIR au moment de la création de l'identifiant tout en maintenant un niveau de garantie élevé ».

Le NIR pas assez protégé

Le numéro de sécurité social peut en effet être facilement déduit, à partir du sexe, du lieu et de la date de naissance. Cela n'est pas trop problématique aujourd'hui car il est seulement associé aux nom, adresse et factures de soin d'un patient.

Mais s'il est utilisé pour le DMP, il sera en revanche la clé d'accès à tout l'historique médical de la personne: ses visites chez les médecins, les éventuelles maladies diagnostiquées, les traitements, etc...

Or, rappelle la Cnil, « aux dires mêmes des professionnels concernés », aucune mesure de protection particulière n'est actuellement assurée autour de l'accès aux données via le NIR. « Ni dans les établissements de santé, ni chez les professionnels de santé, ni dans les réseaux de soins ». En résumé, ce numéro est trop facile à retrouver, et les dossiers qui lui sont associés ne sont pas assez protégés dans les établissements concernés.

Une solution peu coûteuse, mais peu convaincante?

Et quand bien même des «mesures renforcées» seraient ajoutées, le public pourrait rester dubitatif. Ce qui risquerait d'altérer «le lien de confiance entre les professionnels de santé et les patients», estime la Cnil. Rappelons en effet que le DMP ne sera pas obligatoire et nécessitera l'aval du patient. Pour qu'il soit largement accepté, il lui faudra donc être convaincant en matière de sécurité.

Aux yeux des hôpitaux publics, l'utilisation du NIR aurait au moins le mérite d'être une solution rapide et peu coûteuse. «Utiliser le numéro de sécurité sociale est une solution qui a ses inconvénients mais elle répond à un besoin urgent des responsables de systèmes d'informations en hôpitaux, qui réclament depuis 20 ans un identifiant unique pour les patients», commente pour ZDNet.fr, Pierre Lesteven, conseiller en stratégie et prospective à la Fédération hospitalière de France (FHD), qui rassemble un millier d'hôpitaux publics.

Pour d'autres organismes, seule la création d'un nouvel identifiant est envisageable. «La solution retenue par la Cnil écarte le risque, que constituerait l'adoption du numéro de sécurité sociale comme identifiant santé, de faciliter ultérieurement l'interconnexion des données de santé avec d'autres données personnelles», estime un groupe d'associations (*) composé notamment de la LDH (Ligue des droits de l'Homme) et du CISS (Collectif interassociatif système de santé). Fin 2006, ce groupe a lancé une pétition en ligne commune intitulée «Pas touche à mon numéro de sécu». Elle a déjà recueilli quelque 12.000 signatures.

La généralisation du DMP repoussée à 2008/2009

La balle est désormais dans le camp du ministre de la Santé, Xavier Bertrand, seul à pouvoir imposer une solution par décret. Les conclusions de la Cnil n'ont qu'une valeur consultative. Contacté par ZDNet.fr, le ministère a indiqué qu'il étudie actuellement le dossier; des premiers éléments de réponse seront communiqués la semaine prochaine.

Les conclusions négatives de la Cnil repoussent néanmoins la généralisation du DMP en France. Les modalités de l'appel d'offres qui devait être lancé pour déterminer la principale entreprise chargée de gérer les DMP (dite "hébergeur de référence"), doivent en effet être revues. Il attendait l'aval de la Cnil sur l'usage du NIR comme identifiant patient. Du coup, selon des sources proches du dossier, l'échéance de novembre 2007 pour généraliser le DMP n'est plus tenable. Le dossier médical informatisé français devrait désormais être déployé à l'horizon 2008/2009.

Un sujet qui devrait faire débat à l'occasion du prochain salon consacré aux systèmes d'information au service de la santé, le HIT 2007 (Health Information Technologies), qui se tiendra du 22 au 24 mai prochain à Paris.

(*) Le groupe d'associations est composé du CISS (Collectif interassociatif système de santé), de la Ligue des droits de l'Homme France (LDH), de Aides (Association française de lutte contre le sida) et de Delis (Droits et libertés face à l'informatisation de la société).