Anonymisation des données du PMSI : un écran de fumée ?

23.02.12 - 17:21 - HOSPIMEDIA 

Dépassant le simple fait de cacher l'identité du patient, anonymiser des données de santé requiert de maîtriser une technique irréprochable. Mais malgré les procédures mises en place, il existe un risque de ré-identification du patient, notamment pour les données contenues dans le PMSI.

Destiné à recueillir des informations standardisées sur l'activité médicale des établissements de santé (voir la définition), le Programme de médicalisation des systèmes d'information (PMSI) est aussi une base d'informations importante (23 millions de séjours par an environ y sont répertoriés), protégée et sécurisée. Une procédure appelée FOIN (lire l'encadré) a été élaborée dans le but d'anonymiser ces données. Elle est utilisée dans les établissements de santé publics et privés par les médecins du Département d'information médicale (DIM). Néanmoins, un dispositif de chaînage des résumés de séjour, introduit en 2001 par l'Agence technique de l'information sur l'hospitalisation (ATIH) dans le PMSI, vient semer le trouble chez certains professionnels, comme Gilles Trouessin, expert consultant en sécurité des systèmes d'information, et Dominique Blum, praticien hospitalier responsable de DIM, car elle permettrait de ré-identifier de manière claire les personnes hospitalisées.

PMSI : pas si anonyme

Le chaînage, comme l'explique l'agence sur son site, "permet de relier entre elles, grâce à un numéro de chaînage anonyme, les différentes hospitalisations d’un même patient", quel que soient le secteur d’hospitalisation et l'établissement. Mais l'introduction de cette empreinte, expliquent Gilles Trouessin et Dominique Blum, annihile le respect de l'anonymisation, notamment pour les patients ayant été hospitalisés à plusieurs reprises. En effet, il est possible de les retrouver via des informations telles que les durées d'hospitalisation (empreinte chronologique), les délais entre les hospitalisations, le code géographique ou encore l'âge. De ce fait, indique Gilles Trouessin, la base de données est anonymisée mais pas anonyme et les trajectoires de soins, établies à partir de ce chaînage, "finissent par transpirer l'identité de la personne". Grâce à l'empreinte chronologique, le mois du séjour, l'âge, le sexe, le code postal et le nom de l'établissement, selon Dominique Blum, 89% des 10,5 millions de patients contenus dans la base (année de référence 2008) sont ré-identifiables individuellement dans le PMSI. Avec les mêmes informations, 100% des patients (soit 2,7 millions de personnes en 2008) ayant effectué au moins deux séjours dans l'année sont identifiables, précise-t-il.

Utilisation erronée

Gilles Trouessin et Dominique Blum ne remettent pas en cause la méthode utilisée pour anonymiser les données de santé mais plutôt la manière dont elle est mise en œuvre et utilisée. La majorité des médecins DIM, par exemple, qui utilisent les outils fournis par l'ATIH, ne sont pas au courant de la possibilité de cette ré-identification. De même, le dispositif de chaînage n'est quasiment pas documenté. En outre, tous deux s'inquiètent de la transmission des données du PMSI à d'autres organismes comme les organes de presse* ou les cabinets de conseil travaillant sur ce programme. Le fait qu'il n'existe pas non plus de "registre" recensant l'ensemble des structures ayant accès à ces données est également préjudiciable, indique Dominique Blum. Et d'ajouter que le nœud du problème réside surtout dans le fait que "le dispositif de chaînage n'ait pas été validé par la CNIL".

Quelle surveillance ?

L'ATIH, contactée par Hospimedia, admet volontiers que les données du PMSI sont reconnues comme "indirectement nominatives" et qu'à partir de certaines informations, il est possible de retrouver un séjour dans la base. C'est pourquoi l'accès à ces données est strictement soumis à une autorisation de la Commission nationale de l'informatique et des libertés (CNIL), explique Françoise Bourgoin, chef du service de réponse aux demandes externes à l'agence. La commission vérifiera de son côté l'objet de la demande ainsi que l'utilisation prévue de ces données, précise à Hospimedia Daniéla Parrot, adjointe au chef de service des affaires juridiques de la CNIL. Des contrôles ont par exemple été réalisés auprès des structures utilisant ces données et des évolutions ont été demandées en cas de mauvais usage. De plus, il faut ajouter que le traitement des données de santé à caractère personnel est régi par la loi Informatique et libertés, notamment au chapitre 10. Par ailleurs, s'il semble effectivement difficile d'anonymiser une trajectoire de soins au regard des informations nécessaires pour l'établir, l'ATIH rappelle que le PMSI est utilisé pour édifier la tarification à l'activité et sert, à plus large échelle, aux politiques de santé publique et économique. Ré-identifier les patients n'est pas le but du PMSI.

Pour autant, l'accès à ces données reste possible et pourrait servir de mauvaises ambitions. Des médecins DIM, par exemple, ont déjà fait part de leur crainte de voir le traitement de données médicales nominatives externalisé dans certains établissements (lire les courriers entre le SNPHAR-E et la CNIL et notre brève du 07/06/2011).

Géraldine Tribault

* L'hebdomadaire Le Point pour réaliser son palmarès annuel s'appuie, entre autres, sur les données du PMSI (voir la méthodologie détaillée).

Qu'est-ce que la méthode FOIN ?

La méthode FOIN, pour Fonction d'occultation d'identifiant nominatif, a été élaborée à la fin des années 90 par le Centre d'études des sécurités des systèmes d'information (CESSI) de la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS) pour le PMSI. L'originalité de cette méthode réside dans l'utilisation de la technique dite de fragmentation-redondance-dissémination de l'information. Elle est utilisée à deux niveaux : dans les hôpitaux avant de transmettre les données médicales des patients et avant l'archivage de ces données.

G.T.