Anonymat versus anonymisation des données de santé : Université des CIL Vendredi 27 janvier 2012 IBM Forum Paris – 17 avenue de l’Europe – 92275 Bois-Colombes Anonymat versus anonymisation des données de santé : mythe ou réalité ? Gilles TROUESSIN – SCASSI Conseil Audit Conseil Expertise en Sécurité & Sûreté S.I. 18 rue des Cosmonautes – 31400 TOULOUSE Mobile +33 663105076 – Tél. +33 561170854 gilles.trouessin@scassi.com – www.scassi.com Dominique BLUM – Praticien hospitalier 14 rue du Vallon – 25220 THISE Tél. +33 381611015 - Mobile +33 645424010 dblum@le-pmsi.fr Reproduction interdite sans accord écrit des auteurs

« Anonymisation » des données de santé : un cas d’école concepts rigoureux / pratiques laxistes déclaration CNIL / mise en œuvre dévoyée anonymisation / chaînage hypercentralisation / dé-responsabilisation santé = médecin / données de santé = tout venant anonymat garanti / identification totale Négligence, inconscience, ou volonté délibérée ? Fatalité, résignation, ou résistance ?

Le contexte hospitalier : le PMSI Programme de Médicalisation des Systèmes d’Information But : système déclaratif sur lequel se fondent les recettes indicateurs objectifs et communs de l’activité hospitalière à activité identique, tarif identique (tarification à l’activité = T2A) En pratique recueil systématique organisé par les médecins de DIM un séjour    un recueil nominatif (le RUM et le RSS) Pour fixer les idées PMSI : généralisé depuis 1991 – T2A : depuis 2005 1200 hôpitaux et 2500 cliniques 23 millions de séjours par an (dt.12 millions de séances)

un RUM… des FOIN Services administratifs Département de l’information médicale VID-HOSP RUM . n° d’assuré social . date de naissance . sexe n° d’hospitalisation diags, actes, code géo, sexe, dates, etc. n° de RUM n° d’hospitalisation FOIN POP-MCO ANO-HOSP RSA n° anonyme premier n° d’hospitalisation n° anonyme premier rang du RSA diags, actes, code géo, etc. rang du RSA FOIN Plateforme e-PMSI (ATIH) ANO.dat RSA-chaîné n° anonyme second rang du RSA diags, actes, code géo, etc. n° anonyme second

Anonymisation… ou chaînage ? CNIL délibération 2008-051 : le chaînage « Les fichiers transmis à l’ARH sont anonymisés. Une clé de chaînage permet de lier les séjours (RSA) avec les fichiers de résumés standardisés de facturation (RSF) » ATIH depuis 2002 (in Présentation générale du PMSI) « Une procédure de chaînage […] permet de relier entre elles, grâce à un numéro de chaînage anonyme, les différentes hospitalisations d’un même malade. »

Officiellement : chaînage anonyme un numéro non réversible ( par séjour ) « un numéro anonyme premier est créé à l’échelon de l’établissement […] par un procédé sécurisé dénommé fonction d’occultation des informations nominatives (FOIN) » […] « un numéro anonyme second est créé au niveau de l’agence régionale de l’hospitalisation par l’application une seconde fois de FOIN. C’est ce numéro anonyme second qui est utilisable au plan national. » http://www.atih.sante.fr/openfile.php?id=1720

La réalité : chaînage + datation un numéro non réversible (par patient) + un dispositif de datation et de calcul de délais à patient donné, quel que soit l’établissement et quelle que soit la date d’hospitalisation identifiant unique (FOIN) date de référence (calcul dérivé de l’identifiant unique) à chaque séjour d’un même patient, quel que soit l’établissement une « datation » : délai en jours écoulé entre la date de référence et la date du séjour = « empreinte chronologique »

Informations de notoriété publique + empreinte chronologique    ré-identification individuelle 10,5 millions de patients Empreinte chronologique + âge + sexe + code postal + établissement + mois du 1er séjour 89% sont identifiables individuellement

Informations de notoriété publique + empreinte chronologique    ré-identification individuelle 2,7 millions de patients avec 2 séjours au moins Empreinte chronologique + âge + sexe + code postal + établissement + mois du 1er séjour 100% sont identifiables individuellement 2,7 millions de patients avec 2 séjours au moins Empreinte chronologique + mois du 1er séjour 86% sont identifiables individuellement + âge + sexe

… et la base est diffusée… Presque sans contrôle… … puisqu’il suffit de payer ! De nouvelles officines vont-elles voir le jour ? …

Veuillez commencer par sélectionner votre mode de paiement HEALTH aware Nombre d’hospitalisations du salarié en 2008 Durées des séjours Délai entre les 2 hospitalisations Mois de sortie du premier séjour FINESS du premier séjour Code postal du salarié Âge du salarié Sexe du salarié HEALTH a retrouvé les deux dossiers du salarié en 0,023 secondes Cliquez pour obtenir ses diagnostics 2 7 jours 10 jours 20 jours avril 690000207 69700 47 ans homme aware Veuillez commencer par sélectionner votre mode de paiement

Les CIL ? Quels CIL ? Légitimité de ce recueil ? Étendue des risques pertinence légalité Étendue des risques diffusion de la base nationale Responsabilité des acteurs les journalistes l’État les médecins hospitaliers et les médecins de DIM la CNIL

Nous vous remercions pour votre attention ! Université des CIL Vendredi 27 janvier 2012 IBM Forum Paris – 17 avenue de l’Europe – 92275 Bois-Colombes Nous vous remercions pour votre attention ! Gilles TROUESSIN – SCASSI Conseil Audit Conseil Expertise en Sécurité & Sûreté S.I. 18 rue des Cosmonautes – 31400 TOULOUSE Mobile +33 663105076 – Tél..+33 561170854 gilles.trouessin@scassi.com – www.scassi.com Dominique BLUM – Praticien hospitalier 14 rue du Vallon – 25220 THISE Tél. +33 381611015 - Mobile +33 645424010 dblum@le-pmsi.fr Reproduction interdite sans accord écrit des auteurs