Ré-identification et données de santé Le cas éclairant du PMSI Dominique Blum Parlons-nous du même risque? Parlons-nous du même risque? « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 Parlons-nous du même risque? « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Risque 100% « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Risque 100% Risque nul « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Noir ? Risque nul « 100% des patients ayant subi au moins deux hospitalisations dans l’année sont ré-identifiables dans la base nationale PMSI MCO » Journées Émois – Nancy – mars 2011 « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Noir ? blanc ? « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Noir ? blanc ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? Noir ? blanc ? … ou verre ? L’emballage de protection ne réduit pas la fragilité intrinsèque du contenu La base nationale du PMSI MCO en 2008 • Nombre total de séjours : 26 millions dont « venues pour séance » soit séjours analysés : : 9 millions 17 millions • Nombre de patients distincts : 10,6 millions : : 2,7 millions 7,9 millions dont ré-hospitalisés au moins une fois et hospitalisés une seule fois en 2008 (25,5%) (74,5%) « Critères de notoriété » potentiels • Sexe • Âge sexe du patient âge du patient calculé à l’entrée dans l’établissement • Fin. FINESS identification de l’établissement d’hospitalisation • d(F) dépt.(Finess) département de l’établissement d’hospitalisation • Géo. code géographique lieu de résidence du patient • d(G) dépt.(Géo) département du lieu de résidence • M. • MDS. mois mode de sortie celui de la date de sortie à la fin du séjour (retour domicile, transfert, décès) • Durée du séjour • Délai entre séjours consécutifs ces deux informations réalisent une sorte « d’empreinte » Les « fragilités » du PMSI vis-à-vis de l’anonymat • Un dispositif de chaînage qui comporte une « empreinte » très discriminante • durées des séjours • délais inter-séjours Les « fragilités » du PMSI vis-à-vis de l’anonymat • Un dispositif de chaînage qui comporte une « empreinte » très discriminante • durées des séjours • délais inter-séjours • Un recueil d’informations de plus en plus détaillées d’année en année • informations identifiantes • informations de santé Les « fragilités » du PMSI vis-à-vis de l’anonymat • Un dispositif de chaînage qui comporte une « empreinte » très discriminante • durées des séjours • délais inter-séjours • Un recueil d’informations de plus en plus détaillées d’année en année • informations identifiantes • informations de santé • Le caractère longitudinal du chaînage • « pseudonyme » permanent dans le temps Les « fragilités » du PMSI vis-à-vis de l’anonymat • Le caractère transversal du chaînage • « pseudonyme » identique partout en France • « pseudonyme » identique dans tous les champs (MCO, SSR, HAD, PSY) Les « fragilités » du PMSI vis-à-vis de l’anonymat • Le caractère transversal du chaînage • « pseudonyme » identique partout en France • « pseudonyme » identique dans tous les champs (MCO, SSR, HAD, PSY) • Documentation pertinente insuffisante • sur le chaînage • sur le contenu des bases de données • sur les processus en « boîte noire » alimentant la plateforme ePMSI et le SNIIRAM Les « fragilités » du PMSI vis-à-vis de l’anonymat • Le caractère transversal du chaînage • « pseudonyme » identique partout en France • « pseudonyme » identique dans tous les champs (MCO, SSR, HAD, PSY) • Documentation pertinente insuffisante • sur le chaînage • sur le contenu des bases de données • sur les processus en « boîte noire » alimentant la plateforme ePMSI et le SNIIRAM • La dissémination des copies des bases de données • CNIL : pas de registre exploitable • ATIH : engagement impossible à faire respecter par les détenteurs de copies Comment réduire le risque Risque intrinsèque Mesures techniques Risque extrinsèque Mesures de prévention Mesures de protection Comment réduire le risque Risque intrinsèque Mesures techniques Risque extrinsèque Mesures de prévention Mesures de protection Comment réduire le risque Risque intrinsèque Mesures techniques Risque extrinsèque Mesures de prévention Augmenter la résistance du verre • Trempe thermique • Trempe chimique Mesures de protection Comment réduire le risque Risque intrinsèque Risque extrinsèque Mesures techniques Mesures de prévention Augmenter la résistance du verre Limiter (en quantité) l’exposition à/de l’environnement extérieur • Trempe thermique • Trempe chimique • Manipulation par des spécialistes • Stockage dans des lieux adaptés • Stabilisation, prévention des chutes Mesures de protection Comment réduire le risque Risque intrinsèque Risque extrinsèque Mesures techniques Mesures de prévention Augmenter la résistance du verre Limiter (en quantité) l’exposition à/de l’environnement extérieur • Trempe thermique • Trempe chimique • Manipulation par des spécialistes • Stockage dans des lieux adaptés • Stabilisation, prévention des chutes Mesures de protection Limiter (en intensité) l’impact de/sur l’environnement extérieur • Amortir les chocs et dans le cas du PMSI Mesures techniques Adapter les bases de données • Jouer sur la granularité des données • Créer des jeux de données agrégées Supprimer les identifiants trop sensibles • Exclure le chaînage et dans le cas du PMSI Mesures de prévention Limiter (en quantité) l’exposition à/de l’environnement extérieur • • • • • Limiter la diffusion des données sensibles Contrôler l’accès aux données sensibles Tracer les accès aux données sensibles Dissuader efficacement les intrusions Documenter les processus et les données et dans le cas du PMSI Mesures de protection Limiter (en intensité) l’impact de l’environnement extérieur • ??? Limiter (en intensité) l’impact sur l’environnement extérieur • ??? « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Sans doute les mesures de dissuasion ont-elles une certaine efficacité ! « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Sans doute les mesures de dissuasion ont-elles une certaine efficacité ! Mais en pratique, comment un patient serait-il informé qu’il a été ré-identifié ? « La preuve que le risque de ré-identification est nul : aucun patient à ce jour ne s’est plaint d’avoir été ré-identifié » « Le Monde » – avril 2014 Merci pour votre attention Ré-identification et données de santé Le cas éclairant du PMSI Dominique Blum