Vous êtes dans : Accueil > Dossiers SIH > PMSI T2A FIDES

Les données du PMSI : quel anonymat pour quels risques ?

Me Omar YAHIA, publié dans le DSIH N°2 - Janvier 2011

Dans le contexte de la tarification à l’activité, le recueil des données médicales par les établissements de santé est une exigence légale et une absolue nécessité. Cette source de financement doit, en même temps, préserver l’anonymat des personnes hospitalisées. Techniquement, il est pourtant permis de douter de la fiabilité de l’anonymisation, ce qui permet d’identifier de potentielles sources de responsabilité. Maître Omar YAHIA, avocat au Barreau de Paris, nous expose les principaux enjeux de la question.

Omar YAHIA

Lors de la sixième Université AFCDP des Correspondants Informatique et Libertés, le 27 janvier 2012, portant sur l’anonymisation des données du Programme médicalisé des systèmes d’information (PMSI), la présentation faite par Monsieur Gilles TROUESSIN, expert consultant en sécurité des systèmes d’information, et le Docteur Dominique BLUM, praticien hospitalier responsable d’un département d’information médicale (DIM), portant précisément sur l’anonymisation des données de santé issues du PMSI, a provoqué une vive inquiétude dans la salle.

Les intervenants ont démontré, aux termes d’une démonstration saisissante, que cette anonymisation était un leurre, pour des raisons purement techniques.

Sollicitée sur un projet d’arrêté relatif au recueil et au traitement des données d'activité médicale et des données de facturation correspondantes produites par les établissements MCO et à la transmission d'informations issues de ce traitement, la CNIL a indiqué, par une délibération n°2008-051 du 21 février 2008, que « les agences régionales de l'hospitalisation (ARH) seront destinataires des résumés standardisés de facturation (RSF) des établissements privés et publics de leur ressort géographique, pour l'ensemble des prestations hospitalières et plus uniquement pour les séjours hospitaliers. Les fichiers transmis à l'ARH sont anonymisés. Une clé de chaînage permet de lier les séjours ou les prestations non suivis d'hospitalisation (résumés de sortie anonymisés - RSA) avec les fichiers de résumés standardisés de facturation (RSF). »

Ces établissements sont tenus, aux termes des dispositions de l’article L.6113-7 du code de santé publique, de procéder à l'analyse de leur activité, et, dans le respect du secret médical et des droits des malades, de mettre en œuvre des systèmes d'information « qui tiennent compte notamment des pathologies et des modes de prise en charge en vue d'améliorer la connaissance et l'évaluation de l'activité et des coûts et de favoriser l'optimisation de l'offre de soins. »

Aux fins de préserver le secret médical, l’Assurance maladie a, par le biais du Centre d’études des sécurités des systèmes d’information (CESSI), mis au point la « fonction d’occultation d’identifiant nominatif », dite procédure FOIN, réputée assurer un parfait anonymat des données PMSI.

L'originalité de cette méthode réside dans l'utilisation de la technique dite de fragmentation-redondance-dissémination de l'information. Elle est utilisée à deux niveaux : dans les hôpitaux avant de transmettre les données médicales des patients et avant l'archivage de ces données.

Cependant, l’efficacité de ladite procédure a été altérée, depuis 2001, par un dispositif de chaînage des résumés de sortie anonymes, mis en œuvre par l’Agence Technique de l’Information sur l’Hospitalisation (ATIH).

Le principe du chaînage anonyme consiste en la création d’un numéro anonyme commun à toutes les hospitalisations d’un même patient, quel que soit le secteur d’hospitalisation : public ou privé, MCO, soins de suite ou de réadaptation (SSR) ou psychiatrie. Les différentes hospitalisations d’un même malade peuvent ainsi être identifiées et reliées entre elles.

Or, M. TROUESSIN et le Dr. BLUM relèvent qu’il serait possible de retrouver 89 % des 10,5 millions de patients référencés dans la base, tandis que l’identité de 100 % des malades ayant été hospitalisés au moins deux fois au cours d’une même année (soit 2,7 millions de personnes en 2008) pourrait être retrouvée.

En effet, il serait possible de les retrouver via des informations telles que les durées d'hospitalisation (empreinte chronologique), les délais entre les hospitalisations, le code géographique ou encore l'âge. De ce fait, la base de données serait anonymisée mais pas anonyme et les trajectoires de soins, établies à partir de ce chaînage, "finissent par transpirer l'identité de la personne", selon M. TROUESSIN.

La faille évidente du système, qui n’est absolument pas niée par l’ATIH, est considérée comme d’autant plus préoccupante par les experts que d’une part elle n’est pas soupçonnée par la majorité des praticiens et d’autre part parce que les données du PMSI peuvent être confiées à des tiers extérieurs, non astreints au secret médical, tels que des journalistes ou bien des sociétés chargés de l’audit du PMSI en vue de l’optimisation du codage.

On assiste dès lors à une embarrassante contradiction, le code de la santé publique investissant le médecin DIM du rôle de garant de la confidentialité des données de santé alors qu’il est par ailleurs, statutairement ou contractuellement, tenu de déférer aux consignes de sa hiérarchie, qui lui demande de communiquer les données aux prestataires externes.

Saisie par un médecin DIM, la CNIL expliquait toutefois à ce dernier, que les données traitées « sont couvertes par le secret professionnel. » Elle lui
signifiait qu'il ne pouvait « pas les transmettre à des tiers non autorisés
dès lors qu'elles sont susceptibles d'identifier même indirectement un
patient (ce qui est notamment le cas avec les RSS). »

Si la possibilité de transmettre des données du PMSI indirectement
identifiantes existe, c'est « sous réserve notamment qu'elles ne comportent
ni le nom, ni le prénom du patient, ni son numéro de sécurité sociale. » La
transmission peut intervenir après avis de la CNIL, qui tient compte de la
nécessité de recourir à ces informations ainsi que sa « pertinence au regard
de sa finalité déclarée. »

En l’occurrence, la CNIL avait recommandé au médecin DIM de ne pas
transmettre à la société d'audit les données demandées faute d'autorisation,
et rappelé qu'en cas de transfert des données via Internet, la communication
devait être chiffrée.

Au-delà de cette illustration, les hypothèses de contentieux, dans lesquelles la fuite d’informations médicales se révèlerait préjudiciable, sont nombreuses : droit des successions dans le cas de la transmission d’un héritage conséquent, cas de divorce ou bien encore de mise sous tutelle, causes d’exclusion de garantie par des assureurs peu scrupuleux, révélations par la presse portant sur la santé d’une personnalité, etc.

Il serait incompréhensible, dans ces conditions, de faire peser la responsabilité de la violation du secret médical, sur les seules épaules d’un médecin, voire d’un établissement de santé, lorsque la faille trouve manifestement sa source dans le système d’information utilisé par l’Assurance maladie et par l’ATIH.

La transmission des données de santé issues du PMSI doit donc être entourée d’un certain nombre de garanties, à défaut de refonder le système d’information considéré comme défaillant.

Par Omar YAHIA
Avocat Associé
SCM SAINT MARC
Barreau de Paris

VIDAL