où en est-on sur…?
LE NIR : UN NUMÉRO
PAS COMME LES AUTRES
Questions à …
JEAN MASSOT
Président de section honoraire au Conseil
d’État
Commissaire en charge du secteur
« Finances publiques »
Quelles sont les raisons qui justifient un encadrement particulier
de l’utilisation du NIR ?
Le numéro de sécurité sociale, parce qu’il est plus facile à
reconstituer à partir des éléments d’état civil, parce qu’il rend
plus aisées les possibilités de rapprochements de fichiers et
facilite la recherche et le tri des informations dans les fichiers,
reste associé au risque d’une interconnexion généralisée ou
d’une utilisation détournée des fichiers.
Cela justifie les précautions prises, depuis 1978, par le législateur et par la CNIL pour encadrer l’usage du NIR. Ainsi, même
dans les cas où le législateur a cru devoir autoriser, sous certaines conditions, le recours au NIR dans les fichiers, il a prévu que
les modalités d’utilisation du numéro seraient déterminées après
avis ou autorisation de la CNIL. S’appuyant sur les dispositions
de la loi, la CNIL a développé une doctrine de «cantonnement»,
selon laquelle chaque sphère d’activité (fiscalité, éducation
nationale, banques, police…) devait être dotée d’identifiants
sectoriels. Cela vaut notamment dans le domaine fiscal avec la
mise en place d’un identifiant spécifique, le SPI. En revanche, le
NIR ayant été utilisé dès l’origine dans le secteur de la sécurité
sociale, la CNIL a admis qu’il soit enregistré dans l’ensemble des
fichiers des organismes en relation avec ce secteur.
Pourquoi le NIR ne peut-il être aujourd’hui l’identifiant du
secteur médical ?
Il est vrai que le recours à l’identifiant fiable (car associé à des
éléments d’état civil certifiés) et disponible qu’est le NIR peut apparaître comme la solution permettant de résoudre les problèmes
qui résulteraient de la création d’un identifiant spécifique pour
une population de plus de 60 millions de personnes.
La Commission n’ignore pas, en outre, que des informations
relatives à la santé (informations nécessaires à la prise en
charge des assurés et à une meilleure connaissance des
dépenses de santé) figurent dans les fichiers de l’assurance
maladie et, chez les professionnels et établissements de santé,
dans les fichiers de gestion administrative des patients identifiés
alors par leur numéro de sécurité sociale. Ces extensions
de l’utilisation du NIR ne remettent toutefois pas en cause le
principe du « cantonnement » de son usage à la sphère sociale,
car elles ont répondu à une même finalité de protection sociale.
Tout en évaluant précisément les arguments favorables à
l’utilisation du numéro de sécurité sociale comme identifiant du
dossier médical, la Commission a estimé que le NIR, compte
tenu des risques précédemment évoqués et du caractère
particulièrement sensible des données de santé, ne constitue
pas, aujourd’hui, un numéro adapté pour identifier le dossier
médical de chacun.
En outre, elle a considéré que, même si des mesures de
protection toutes particulières étaient prises en ce qui concerne
les procédures d’accès et d’authentification, l’utilisation directe
d’un numéro aussi répandu que le NIR serait de nature à
altérer le lien de confiance entre les professionnels de santé
et les patients, ceux-ci pouvant légitimement s’interroger sur
les risques d’accès non-contrôlé à leur dossier médical par cet
identifiant largement connu.
Quelle est la solution préconisée par la CNIL ?
La Commission a estimé que la méthode la plus à même d’apporter les garanties souhaitables serait la création d’un
identifiant de santé spécifique, généré à partir du
NIR certifié selon les procédures déjà éprouvées,
actuellement utilisées pour les bénéficiaires de l’assurance
maladie, mais transcodé selon des techniques reconnues d’anonymisation. Ce numéro, non signifiant, constituerait l’identifiant
de santé utilisable dans l’ensemble du système de soins.
Cette solution qui se veut équilibrée permet de bénéficier des
avantages du NIR au moment de la création de l’identifiant
tout en maintenant un niveau de garantie élevé. La Commission
a toutefois souhaité faire valoir en outre que le choix de
l’identifiant de santé, quel qu’il soit, ne permettra pas de faire
l’économie des procédures de vérification de l’identité du
patient et de normalisation qui sont nécessaires, en particulier
dans les établissements de soins, tant lors de l’admission
que tout au long du parcours de soins, afin d’éviter tout
risque de confusion dont les conséquences pourraient être
particulièrement graves pour les personnes. Il est indispensable
de mettre en place, dans l’ensemble des structures de soins, des
procédures spécifiques d’« identité-vigilance » permettant de
s’assurer que le dossier médical se rapporte bien à la personne
concernée, en particulier au vu des autres éléments d’identité,
produits par la personne, et des actes médicaux réalisés.
57