Dans ce dossier de 103 pages intitulé "données de santé: anonymat et risque de ré-identification", la Drees propose une série de travaux explorant les conséquences de l'open data en santé et de l'extension de la mise à disposition des données de santé.
La Drees s'emploie ainsi à rassurer les parties prenantes sur les garanties de confidentialité apportées dans ce cadre par l'article 47 du projet de loi de santé, dont le gouvernement lui avait confié l'élaboration, tout en admettant les faiblesses du systèmes actuel, en particulier les modalités de diffusion des données du PMSI (programme de médicalisation des systèmes d'information).
Son directeur, Franck von Lennep, avait déjà défendu le travail de ses équipes sur le projet de loi en janvier à l'occasion d'un séminaire organisé à Paris.
Le dossier reprend l'annexe n°9 du rapport sur l'open data en santé publié en juillet 2014, relative aux conclusions du groupe de travail sur les risques de ré-identification dans les bases de données médico-administratives, qui pointait les défauts actuels de leur diffusion.
Il critiquait notamment une "diffusion mal contrôlée des données hospitalières du PMSI exhaustif", avec quantité de supports physiques (CD-ROM ou copie de sauvegarde "sauvages") dans la nature, alors même que cette base a un "pouvoir de ré-identification élevé", selon une étude présentée en 2011 par le Pr Dominique Blum et reproduite pour la première fois en intégralité dans le dossier de la Drees.
Le groupe de travail soulignait que cette trop large diffusion du PMSI avait par ailleurs "compromis" l'échantillon généraliste des bénéficiaires (EGB) de 600.000 personnes constitué à partir du Système national d'information inter-régimes d'assurance maladie (Sniiram), avec un risque de ré-identification des personnes hospitalisées.
Dans l'un des principaux articles du dossier, André Loth, directeur de projet à la Drees et ancien chef de la Mission pour l'informatisation du système de santé (Miss), estime que l'article 47 du projet de loi de santé tel qu'adopté par les députés en première lecture répond à ces problèmes tout en conciliant "ouverture" et "protection" des données de santé.
Il souligne d'abord la nécessité d'"assurer l'anonymat des données en open data c'est-à -dire en accès libre à tous" et de "protéger adéquatement les données dont l'anonymat ne peut être garanti même après qu'elles ont été dé-identifiées".
Il explicite les notions de dé-identification et de "pseudonymisation" (attribution d'un identifiant arbitraire par exemple) des données, rappelant qu'elles ne suffisent pas à assurer leur anonymisation, qui sera requise pour la mise en oeuvre de l'open data.
Le futur Institut national des données de santé devra déterminer quels sont les jeux de données issues des bases médico-administratives publiables, en fonction des contenus ou des usages requis par le public, en s'assurant de leur anonymisation complète, sous le contrôle de la Cnil. Celle-ci pourra avaliser a priori une "méthodologie générale" ou "tout procédé" d'anonymisation.
Si la mise en ligne de jeux de données agrégées ou d'échantillons issus de ces bases sera possible sans contrôle a priori de la Cnil, André Loth estime que celle-ci devrait se montrer "exigeante à la fois sur le sérieux du ou des organismes ainsi autorisés à mettre des jeux de données à disposition, sur la nature des jeux de données concernés (échantillons tirés du système national des données de santé, ou de certaines cohortes, présentant un risque de ré-identification réduit) et sur les précautions à prendre (contrôle des demandeurs, contrôle des demandes, contrôle des modalités techniques d'accès)".
UN ACCÈS SÉCURISÉ A DISTANCE AU PMSI COURANT 2015
Il observe qu'un accès restreint pourrait s'avérer nécessaire pour les jeux de données présentant un risque de ré-identification réduit, à l'image du dispositif d'accès sécurisé à distance déjà utilisé pour les données de l'Insee assuré par le centre d'accès sécurisé aux données (CASD).
Ce système de bulle, qui n'autorise l'accès qu'aux personnes responsables des recherches et interdit la copie, "évidemment plus contraignant que la diffusion sur des supports autonomes, vise à éviter la circulation de données intraçables". L'accès au PMSI se fera désormais selon cette modalité et l'Agence technique de l'information sur l'hospitalisation (ATIH) a lancé une procédure de marché adaptée pour choisir son prestataire, est-il indiqué.
Pour André Loth, le recours au numéro d'inscription au répertoire des personnes physiques (NIR ou numéro de sécurité sociale) pour simplifier l'appariement des données entre les différentes bases existantes constitue "sans doute l'avancée la plus significative" de la réforme.
Il rappelle que la réglementation actuelle, qui exige un décret en Conseil d'Etat pour autoriser l'utilisation du NIR, "a pour principal, voire pour seul effet de stériliser la recherche française dans les domaines sanitaire et social".
La suppression de condition "contribuera à une augmentation très significative des travaux publiés en France dans des domaines essentiels comme l'épidémiologie, la pharmaco-épidémiologie et le fonctionnement des services de santé", estime-t-il, tout en rappelant que l'usage du NIR demeurera sous le contrôle de la Cnil.
Il rappelle la distinction nécessaire entre les cas dans lesquels l'appariement se fera du NIR vers le pseudonyme (données médico-administratives requises par des chercheurs sur une population déjà connue d'eux et acceptant de divulguer leur NIR) et du NIR vers le pseudonyme (appariement entre deux bases utilisant des pseudonymes dérivés du NIR ou besoin de prévenir une personne d'un risque de santé apparu lors d'une étude sur les données de santé).
Dans le second cas, il sera nécessaire de recourir à un tiers de confiance national unique autorisé à chiffrer tous les NIR à l'aide de clés secrètes, et auquel les pouvoirs publics pourront recourir ponctuellement.
Dossiers Solidarité et Santé n°64, juillet 2015
vg/ab/
Vos réactions