Protection des données individuelles de santé ou transparence du système hospitalier : un faux débat

Protection des données individuelles de santé ou transparence du système hospitalier : un faux débat
Santé & Technologies, n°8, mai/juin 1999, pp. 32-33

Ligue des Droits de l'Homme
Collectif Informatique, Fichiers et Citoyenneté
Collectif pour les droits des citoyens face à l'informatisation de l'action sociale
Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux

Les études concernant le système hospitalier se multiplient, quelle que soit l'appréciation que l'on porte par ailleurs sur la pertinence de certains des critères qui y sont utilisés. Elles tentent de répondre à une demande de plus grande transparence des activités hospitalières et de leurs résultats.

Ces travaux prennent appui sur des systèmes d'information à caractère administratif et/ou médical, en particulier sur les bases de résumés de sortie anonymes (RSA) issus du programme de médicalisation des systèmes d'information (PMSI). Or, ces bases de données posent des problèmes sérieux d'identification des patients comme l'ont montré les études réalisées par la direction des hôpitaux du Ministère de l'emploi et de la solidarité, elles ont été citées par son directeur Monsieur Couty dans le quotidien Le Figaro du 24 mars 1999.

Ces études révèlent qu'à partir des données relatives à l'âge, au sexe, à l'identifiant de l'établissement d'hospitalisation et au mois de sortie du patient, plusieurs dizaines de pour cent des enregistrements dans la base nationale des RSA sont uniques, c'est-à -dire correspondent à un seul patient. En conséquence, à partir de la connaissance de ces données qui sont facilement accessibles, par exemple par l'employeur ou par la presse au sujet d'une personnalité, une personne ayant accès à une telle base de données peut connaître les diagnostics établis et les actes réalisés pendant le séjour hospitalier du patient concerné.

Les bases de données issues du PMSI sont donc indirectement identifiantes, et de façon massive, ce qui pose un très grave problème de respect de la vie privée, et ce sur des données personnelles qui, à bien des égards, peuvent être considérées comme parmi les plus sensibles.

Or, de façon logique vu la nature sensible de ces données, la législation et la réglementation élaborées pour la mise en oeuvre du PMSI, suite à la loi n°91-748 du 31 juillet 1991, étaient très claires et très précises : le secret médical est levé entre le médecin traitant et le médecin du département d'information médicale chargé de la confection des bases de l'établissement hospitalier mais doit être strictement respecté au-delà , y compris pour les gestionnaires et la commission médicale de l'établissement (cf. art. L710-6 et L710-7, et art. R710-501 à 701-5-11 et R712-58 à 712-62 du code de la santé publique, notamment les articles R710-5-6, R710-5-8, R710-5-10, R712-58 et R712-61).

Á propos des conditions générales de transmission et d'échange des informations, il faut citer en particulier l'article R712-58 du Code de la santé publique qui précise que : ^«Lorsque les données relevant du système commun d'information ou des échanges d'informations [mentionnés dans ledit article] sont des données nominatives, ..., elles sont rendues anonymes avant tout échange ou partage.^»

Et à propos de l'accès des tiers au système commun d'information de l'État et des organismes d'assurance maladie, l'article R712-61 précise : ^«Les données concernant les personnes physiques ne peuvent être communiquées que sous forme de statistiques agrégées et d'informations constituées de telle sorte que ces personnes ne puissent être identifiées^».

De même, la réglementation prévoyait une définition des besoins des différents gestionnaires du système hospitalier, au sens large, de façon à élaborer des systèmes d'information adéquats et respectant l'anonymat.

Néanmoins cette législation et cette réglementation n'ont de fait pas été respectées. L'analyse de ce manquement montre une erreur d'interprétation de la part de l'administration de la santé et de la CNIL fondée sur le terme résumé de sortie anonyme (RSA). En effet, si un RSA pris isolément est effectivement anonyme, replacé dans l'ensemble de la base des RSA, il peut devenir indirectement identifiant s'il s'avère qu'il est unique dans la base selon les critères recherchés, pour les raisons exposées ci-dessus. Cette investigation n'a pas été faite. Ce sont les bases de RSA dans leur ensemble qui ont été considérées comme anonymes, c'est-à -dire non indirectement identifiantes, et de ce fait ont été diffusées telles quelles aux différents intervenants, sans autre précaution ni aucun travail supplémentaire en vue de leur exploitation.

Une fois effectué ce constat de non respect de la législation, il importe toutefois de vérifier si les besoins d'information et de transparence sur le système hospitalier peuvent effectivement être couverts par des informations anonymisées au sens strict, c'est-à -dire non indirectement identifiantes.

Les méthodes pour rendre les bases de RSA non identifiantes peuvent être sommairement regroupées en quatre types : appauvrissement des données des bases exhaustives, réalisation de bases segmentées, production de statistiques agrégées par établissement, enquêtes par échantillon.

L'appauvrissement des données des bases exhaustives consiste en l'élimination de certaines variables dont l'intérêt pour de nombreuses études apparaît limité. Citons comme exemple type le mois de sortie qui est une donnée qui ne semble utile que pour des études portant sur les fluctuations saisonnières.

La réalisation de bases segmentées, méthode qui constitue une variante de la précédente, consiste à concevoir des bases de données qui ne comportent qu'une partie des variables en fonction des différents usages, de sorte que les variables de chacune de ces bases prise isolément, ne permettent plus l'identification des patients. Par exemple, l'étude des pathologies traitées dans le système hospitalier est réalisable à partir d'une base de données qui ne recense plus les établissements eux-mêmes mais seulement les grandes catégories (CHU, public, privé...). Ces différentes bases de données devraient être constituées de façon à ce que la base de données globale ne soit pas reconstituable.

La production de statistiques agrégées par établissement consiste en la production par le département d'information médicale de chaque établissement d'une série de tableaux standards regroupant les séjours de l'établissement par classes d'âges, groupes de pathologies, durées de séjour, ..., tableaux pouvant ensuite être sommés par département, région, catégorie d'établissement...

Les enquêtes par échantillon aboutissent à la constitution de fichiers individuels, qui représentent une proportion si limitée des séjours hospitaliers qu'un patient donné a une probabilité très faible d'y être référencé, si bien qu'une utilisation frauduleuse d'un tel fichier ne présente plus d'intérêt véritable.

Il existe donc des méthodes pour rendre les bases issues du PMSI non identifiantes tout en assurant la possibilité de réaliser l'évaluation des activités de soins et de prévention et, de façon générale, la transparence justifiée du système hospitalier. Á tout le moins n'ont pas été réalisées les études qui montreraient que pour certains besoins ces méthodes sont insuffisantes.

Telles qu'exposées pour les données hospitalières, la nécessité et la possibilité de combiner transparence de l'information de santé et protection absolue de la sphère privée des citoyens doivent s'appliquer à tous les systèmes d'information de santé. En médecine ambulatoire ce seront les données relatives à plus de 800 millions d'actes par an (!) qui seront analysées, en particulier avec les données de l'assurance maladie.

Á la veille de la transposition de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des données personnelles et à la libre circulation de ces données, il est essentiel de veiller à ce que nous conservions le niveau de protection de la vie privée assurée par la loi ^«Informatique et Libertés^» et son application dans la législation et la réglementation actuelles.

Au-delà de la discussion sur le caractère intangible de la protection des données individuelles dans un domaine aussi sensible que la santé, il apparaîtrait pour le moins singulier de modifier le niveau de protection de la vie privée sans que la preuve formelle ait été apportée que cet abaissement est absolument nécessaire en fonction de considérations supérieures d'intérêt public et sans que la légitimité d'une telle évolution soit largement reconnue au sein de la société.

Gérard BADÉYAN (Collectif des associations et des syndicats contre la connexion des fichiers fiscaux et sociaux)
Monique HEROLD (Ligue des droits de l'homme)
Annie MARCHEIX (Collectif Informatique, Fichiers et Citoyenneté)
Pierre SUESSER (Collectif pour les droits des citoyens face à l'informatisation de l'action sociale)