Les interventions de la CNIL
1 — LA GARANTIE DE L’ANONYMAT DES PATIENTS
Les noms, prénoms, numéros de sécurité sociale, adresses des bénéficiaires
de soins ne seront pas transmis au SNIIRAM et ne figurent pas dans la base nationale
de données.
Mais au-delà de cette première garantie — essentielle —, il est apparu
nécessaire, de définir des dispositifs qui garantissent non seulement que des données
directement ou indirectement nominatives sur les assurés ne puissent être transmises
mais également que les données figurant dans la base ne puissent permettre l’identification des assurés par recoupement d’informations. Ces dispositifs de sécurité, développés par le centre d’études des sécurités du système d’information (CESSI) de la
CNAMTS ont fait l’objet de plusieurs réunions de travail techniques avec les services
de la CNIL.
Il sera ainsi procédé, avant toute transmission des données, au « transcodage » irréversible de tous les matricules identifiants (NIR de l’assuré et du bénéficiaire, identifiants de la pension d’invalidité, de la rente d’accident du travail ou de
maladie professionnelle, numéro d’entrée du patient dans l’établissement de santé)
en des numéros non signifiants qui permettront sans réidentification possible de la
personne concernée, d’apparier, de « chaîner » les données relatives aux différentes
prestations qui lui ont été servies. De surcroît, lors de la réception par la CNAMTS de
ces numéros dits « d’anonymisation », il sera à nouveau procédé à une deuxième
opération de « transcodage » afin que les numéros permettant d’apparier des informations relatives à une même personne soient différents des numéros d’anonymisation créés par les caisses et utilisés lors de la transmission.
Cette technique de double anonymisation, préconisée par la CNIL dans les
cas les plus sensibles et évaluée, à la demande de la Commission en 1996 et 1997
par le service central de la sécurité des systèmes d’information, est déjà utilisée pour
la transmission, par les cliniques, d’informations sur leur activité (PMSI privé), pour
certaines recherches épidémiologiques et enquêtes dans le domaine social (observatoire du RMI à Paris), et doit être employée pour le système de surveillance des cas de
séropositivité ainsi que pour le « chaînage » des séjours dans le cadre du PMSI
public.
Par ailleurs, afin de prévenir tout risque de réidentification d’une personne
par recoupement de plusieurs informations, certaines recherches croisées à partir de
variables potentiellement identifiantes (mois de naissance associé au code commune
de résidence, code affiné de la prestation, discipline de prestation, code affection
longue durée (ALD) et pathologies associées, jour des soins, code pathologie) seront
interdites.
Enfin, un logiciel de filtrage permettra de recenser toute requête dont le
dénombrement des bénéficiaires concernés serait inférieur ou égal à dix, interdisant
dans cette hypothèse, l’affichage à l’écran ou l’édition des résultats issus de telles
requêtes.
e
CNIL 22 rapport d'activité 2001
65