Ré-identification et données de santé Le cas éclairant du PMSI Dominique Blum
Noir ? « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 blanc ? Parlons-nous du même risque? Risque 100% Risque nul
… ou verre ? L’emballage de protection ne réduit pas la fragilité intrinsèque du contenu Noir ? blanc ?
La base nationale du PMSI MCO en 2008 Nombre total de séjours Nombre total de séjours:26 millions dont « venues pour séance »:9 millions soit séjours analysés:17 millions Nombre de patients distincts Nombre de patients distincts:10,6 millions dont ré-hospitalisés au moins une fois:2,7 millions(25,5%) et hospitalisés une seule fois en 2008:7,9 millions(74,5%)
« Critères de notoriété » potentiels sexe du patient Sexesexe du patient âge du patient Âgeâge du patientcalculé à l’entrée dans l’établissement FINESS Fin.FINESSidentification de l’établissement d’hospitalisation d(F)dépt.(Finess)département de l’établissement d’hospitalisation code géographique Géo.code géographiquelieu de résidence du patient d(G)dépt.(Géo)département du lieu de résidence mois M.moiscelui de la date de sortie mode de sortie MDS.mode de sortieà la fin du séjour (retour domicile, transfert, décès) Durée du séjour Durée du séjources deux informations réalisent Délai entre séjours consécutifs Délai entre séjours consécutifsune sorte « d’empreinte »
Les « fragilités » du PMSI vis-à-vis de l’anonymat Un dispositif de chaînage qui comporte une « empreinte » très discriminante Un dispositif de chaînage qui comporte une « empreinte » très discriminante durées des séjours délais inter-séjours Un recueil d’informations de plus en plus détaillées d’année en année Un recueil d’informations de plus en plus détaillées d’année en année informations identifiantes informations de santé Le caractère longitudinal du chaînage Le caractère longitudinal du chaînage « pseudonyme » permanent dans le temps
Les « fragilités » du PMSI vis-à-vis de l’anonymat Le caractère transversal du chaînage Le caractère transversal du chaînage « pseudonyme » identique partout en France « pseudonyme » identique dans tous les champs (MCO, SSR, HAD, PSY) Documentation pertinente insuffisante Documentation pertinente insuffisante sur le chaînage sur le contenu des bases de données sur les processus en « boîte noire » alimentant la plateforme ePMSI et le SNIIRAM La dissémination des copies des bases de données La dissémination des copies des bases de données CNIL : pas de registre exploitable ATIH : l’engagement pris par les détenteurs de copies est impossible à faire respecter
Comment réduire le risque Risque intrinsèque Mesures techniques Augmenter la résistance du verre Trempe thermique Trempe chimique Risque extrinsèque Mesures de prévention Limiter (en quantité) l’exposition à/de l’environnement extérieur Manipulation par des spécialistes Stockage dans des lieux adaptés Stabilisation, prévention des chutes Mesures de protection Limiter (en intensité) l’impact de/sur l’environnement extérieur Amortir les chocs
et dans le cas du PMSI Mesures techniques Adapter les bases de données Jouer sur la granularité des données Créer des jeux de données agrégées Supprimer les identifiants trop sensibles Exclure le chaînage
et dans le cas du PMSI Mesures de prévention Limiter (en quantité) l’exposition à/de l’environnement extérieur Limiter la diffusion des données sensibles Contrôler l’accès aux données sensibles Tracer les accès aux données sensibles Dissuader efficacement les intrusions Documenter les processus et les données
et dans le cas du PMSI Mesures de protection Limiter (en intensité) l’impact de l’environnement extérieur ??? Limiter (en intensité) l’impact sur l’environnement extérieur ???
« La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Sans doute les mesures de dissuasion ont-elles une certaine efficacité ! Mais en pratique, comment un patient serait-il informé qu’il a été ré-identifié ?
Merci pour votre attention Ré-identification et données de santé Le cas éclairant du PMSI Dominique Blum