L’ouverture d’un Dossier Médical Personnel (DMP) suppose l’obtention préalable d’un Identifiant National de Santé (INS).
Cet INS, destiné à éviter l’utilisation du Numéro d’Inscription au Répertoire (NIR), plus communément appelé « numéro de sécu », doit-il être considéré comme une donnée de santé ? Plus généralement, le fait d’avoir un DMP constitue-t-il une donnée de santé ?
La question peut sembler surprenante, d’ordre purement juridico-juridique, mais à l’heure du Bigdata et des croisements de données, elle revêt une importance cruciale.
A titre d’illustration, rappelez-vous comment Google a pu, grâce à l’utilisation de Google Analytics par le webmaster du Ministère de la Santé, identifier les personnes consultant le site http://sante.gouv.fr/IVG. On pourrait également se pencher sur les pratiques de datamining mises en place par des établissements de crédit pour détecter les demandeurs de prêt présentant un risque, en terme de santé.
Au vu de ces éléments, l’intérêt de protéger l’INS et de tenir secrète l’ouverture d’un DMP n’est donc pas sans une question d’ordre intellectuel. Elle revêt un enjeu pratique majeur.
Bien, ceci étant, l’INS et l’ouverture d’un DMP sont-ils des données de santé au sens du droit de la protection des données personnelles ?
L’INS est un identifiant unique attribué aux bénéficiaires de l’Assurance Maladie (Art. L1111-8-1). C’est donc sans conteste une donnée à caractère personnel, au sens de la loi Informatique et Libertés. Son ouverture étant conditionnée par l’utilisation de l’INS, même réponse pour le DMP.
L’INS doit-il alors être considéré comme une donnée relative à la santé ? Rappelons-le, toute information relative à l’état de santé physique ou psychique constitue une donnée de santé (CJCE, 6 novembre 2003, Lindqvist ; CE, 19 juillet 2010, n° 317182). Demain, le projet de Règlement Général relatif à la Protection des Données Personnelles (RGPD) pourrait aller plus loin et ériger les informations d’ordre administratif présentant un lien même très indirect avec la santé comme une donnée de santé.
Considérant la définition actuelle, a priori, l’INS n’est pas une donnée de santé.
Sauf que…
Aujourd’hui, l’INS doit être calculé à partir de différents éléments figurant sur la carte vitale de l’assuré social, d’où l’acronyme d’INS-C. Cet identifiant n’est donc pas octroyé automatiquement.
L’INS-C est donc signifiant ! En effet, excepté les acteurs de santé, au sens large, peu de personnes en « bonne » santé ont ouvert un DMP. Donc si une personne répond par l’affirmative à la question « avez-vous un INS / DMP ? », on pourrait effectivement envisager de qualifier l’information de donnée de santé.
Vous me répondrez que pour en arriver à cette conclusion, un raisonnement déductif – et donc aléatoire – est nécessaire.
Mais en terme de données personnelles, la déduction n’est pas un risque pris à la légère.
Dans une délibération du 9 décembre 2010, la CNIL a ainsi suggéré que la mention « mort en déportation » sur un acte de décès pouvait s’analyser comme une donnée sur les opinions religieuses de la personne.
Le même raisonnement, transposé à l’INS ou au DMP, permet d’envisager une atteinte à la vie privée de la personne, le destinataire de l’information pouvant en déduire que la personne a des problèmes de santé.
La donnée de santé est partout !
Quelle solution ?
La seule solution permettant de remédier à cette difficulté est :
– de recourir à un identifiant attribué de façon automatique, qu’il s’agisse du NIR ou de l’INS aléatoire (mais après sept ans de travail, cet INS-A n’a toujours pas été développé !), et
– d’automatiser l’ouverture d’un DMP, ce qui suppose de revenir sur la loi HPST et de passer sur un système d’opt-out concernant l’ouverture de ce dossier électronique.
Le projet de loi de santé public, attendu pour l’été 2014, reviendra-t-il sur l’un ou l’autre, ou ces deux points ?