Données de santé : anonymat et pseudonymat

09 juil. 2019 - 11:31,

Tribune

- Cédric Cartau
À l’occasion de plusieurs discussions professionnelles, j’ai pu me rendre compte de la confusion qui règne autour de ces notions : je vous propose donc une tentative de synthèse. Tentative seulement car ces concepts font appel à plusieurs réglementations (évidemment le RGPD, mais aussi le Code de la santé publique), et, si mes honorables lecteurs détectent une imprécision ou une erreur, je serai ravi de publier un correctif.

Une donnée personnelle – ou nominative – est une donnée qui se rapporte à un individu physique identifiable par des moyens simples. « Cédric Cartau, chroniqueur à DSIH Magazine » est une donnée personnelle qui permet de retrouver facilement votre serviteur. Mais l’absence de mention des noms et prénoms ne rend pas la donnée forcément moins nominative : « Le président de la République française en 2019 » est une donnée personnelle, on voit bien pourquoi. Autrement dit, une donnée devient très vite nominative, dès lors qu’il y a suffisamment d’éléments pour croiser et identifier sans risque la personne : son âge, sa profession, son lieu d’habitation et de naissance notamment.

À l’opposé, une donnée anonyme est une donnée par laquelle il est impossible de remonter à l’individu physique auquel elle se rapporte. « Un homme blanc que j’ai vu sur la plage de Pornic le 5 juillet dernier » est une définition trop vague pour remonter au bonhomme. La plupart du temps, on considère que seules sont véritablement anonymes les données agrégées, du type « 80 % des agents du CHU sont contents des plateaux-repas au self le midi ». En effet, les chercheurs considèrent qu’une donnée anonyme, croisée avec suffisamment d’autres sources de données (elles-mêmes anonymes), permet dans beaucoup de cas de remonter aux individus physiques. Par exemple, en croisant la ville d’habitation, le port ou non de lunettes, le niveau de diplôme et quelques autres sources de données, on arrive à resserrer suffisamment les mailles du filet pour retomber sur les bonnes personnes. La réglementation RGPD introduit cependant une notion intéressante, à savoir les moyens disproportionnés mis en œuvre pour retrouver les individus. Pour reprendre l’exemple de l’homme blanc de Pornic ci-dessus, que j’ai pu voir passer la semaine dernière et dont je ne veux pas communiquer l’identité, pas sûr que si l’on me met un pistolet sur la tempe je vais conserver longtemps son anonymat. Il faut donc retenir qu’une donnée est anonyme jusqu’à un certain point, et que les croisements de sources ainsi que les moyens mis en œuvre sont autant de coups de boutoir contre l’anonymat. En revanche, la donnée anonyme échappe au RGPD.

Mais entre le nominatif et l’anonymat, il existe toute une palette, que l’on appelle pseudonymat, hyperconfidentialité, donnée protégée, etc. Les noms varient selon les interlocuteurs (je suis tombé récemment sur un confrère qui nomme « anonyme » ce qui, dans les définitions du présent article est en fait une donnée protégée), mais qu’importe l’étiquette, ce sont les concepts qui sont essentiels. La notion de pseudonymat désigne une donnée nominative pour laquelle on a remplacé, dans le fichier source, l’identité de la personne par un code, la correspondance entre le code et l’identité réelle étant stockée à part dans un second fichier. Pour le détenteur du premier fichier, la donnée est anonyme (nonobstant les précautions ci-dessus), et seul le détenteur du second fichier sait de qui il s’agit. On a recours à ce genre de technique dans les protocoles de recherche, pour lesquels le promoteur (qui peut être un laboratoire privé) ne veut pas être embêté avec des recours juridiques et se contente de stocker le premier fichier, le second restant dans les mains de l’hôpital qui participe au protocole. Première remarque : le RGPD considère que le pseudonymat n’est pas un anonymat, mais juste une mesure technique pour protéger la vie privée des personnes, au même titre, par exemple, que le chiffrement. Le détenteur d’un fichier pseudonymisé est donc soumis au RGPD. On note une incohérence avec la doctrine des pouvoirs publics concernant la réglementation HDS, qui considère qu’une donnée pseudonymisée hébergée chez un tiers ne relève pas de l’HDS. En somme, dans un tel cas (donnée pseudonymisée), l’hébergement relèverait du RGPD, mais pas de l’HDS, ce qui selon nous est contradictoire. 

Enfin, les concepts d’hyperconfidentialité, de donnée protégée, etc. désignent des techniques ou des processus qui visent à restreindre l’accès à la donnée, mais la donnée à proprement parler reste totalement nominative. Par exemple, certains hôpitaux « taguent » le dossier patient d’une femme victime de violence conjugale afin que les personnels des admissions ou du standard ne révèlent pas la présence de cette femme dans les murs de l’hôpital, mesure de protection bien compréhensible. Il ne s’agit pas d’anonymat : le nom de la patiente est bien inscrit dans son dossier patient. De la même façon, certains DPI implémentent le concept d’hyperconfidentialité qui vise à restreindre en interne de l’établissement le dossier de certains patients, par exemple les VIP, les agents de l’établissement qui s’y font hospitaliser, les détenus, etc. Dans les deux exemples ci-dessus, le dossier « tagué » est une mesure à la fois technique et organisationnelle qui vise à la protection de la personne vis-à-vis de l’environnement extérieur, sans autres conséquences sur les soins. A contrario, l’hyperconfidentialité induit une perte de chance médicale pour le patient (des praticiens ne vont pas avoir accès aux données du séjour, ce qui peut induire un risque médical) : pour ces raisons, autant on peut automatiser le taggagedans le premier cas, autant il est interdit d’automatiser l’hyperconfidentialité (en particulier pour les détenus), ce qui relèverait de la décision automatisée proscrite par le RGPD.

Dernier point : la donnée médicale (dans le cas d’une hospitalisation) ne peut être anonyme que dans les cas prévus par la loi, et ils sont peu nombreux : accouchement sous X, IVG, violences conjugales, etc[1]. Un patient hospitalisé pour une appendicite ne peut pas obtenir l’anonymat. De la même façon, outre les cas précités, un patient ne peut pas demander l’anonymisation (et encore moins l’effacement) de son dossier médical. 

S’il y a des corrections à apporter, vous savez où écrire.


[1]    Article R. 1112-38 du Code de la santé publique : prise en charge des toxicomanes volontaires pour une cure de désintoxication ; article L. 3121-2-1 du Code de la santé publique : activités de prévention, de dépistage, de diagnostic et de traitement ambulatoire des infections sexuellement transmissibles ; articles R. 1112-28 du Code de la santé publique et 326 du Code civil : accouchement sous X ; article L. 132-1 du Code de la sécurité sociale : IVG des mineures.

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie