Autoriser l'usage du numéro de Sécu pour se connecter au dossier médical personnel est lourd de conséquences.

De big docteur à Big Brother

Libération - 29 décembre 2006
Christian SAOUT, Pierre SUESSER, Alain WEBER

Christian Saout président d'Aides, Pierre Suesser du collectif Délis-droits et libertés face à l'informatisation de la société et Alain Weber de la Ligue des droits de l'homme.

Texte original sur liberation.fr

En 2026, Melle Marianne Defrance, qui cherche un emploi, lit son courriel : «A la candidate 2 06 12 75 005 008. Nous sommes au regret de vous informer que votre candidature ne peut être retenue. Conformément à la loi du 6 janvier 2018 relative à la constitution du profil individuel automatisé d'employabilité, notre DRH a contacté l'agence régionale d'employabilité pour communication de votre profil prédictif de santé. Au vu de ce profil (Dossier médical personnel n° 2 06 12 75 005 008 indiquant la délétion partielle de la région w98dfy43 du chromosome 17 qui vous prédispose à une vulnérabilité accrue à l'infection par le virus de l'hépatite F12), votre score de santé prédictif a fait chuter votre coefficient final d'employabilité à 0,55, en deçà du minimum requis par notre conseil d'administration (0,85).

NB : la loi du 6 janvier 2018 confie à la Cneif (Commission nationale d'éthique pour l'interconnexion des fichiers) le soin de déterminer les conditions de rapprochement des données personnelles à l'embauche avec les données personnelles de santé.

La Cneif a, dans son avis du 30 décembre 2018, établi les conditions sécurisées de rapprochement de ces données respectives au moyen de l'identifiant universel des données personnelles (ex-numéro de Sécurité sociale étendu en 2006 comme «identifiant santé» par la Cnil, autorité à laquelle la Cneif a succédé en 2016).»

Science-fiction ? Sans doute. Mais qui pourrait écarter à 100 % un tel scénario, tant les données personnelles de santé font l'objet d'une convoitise croissante de la part des assureurs, des banques, des employeurs ?

C'est pourquoi l'initiative récente du gouvernement, qui demande à la Cnil (Commission nationale informatique et libertés) d'autoriser l'usage du numéro de Sécurité sociale (NIR) pour se connecter à l'ensemble des dossiers médicaux informatiques d'une même personne, et prochainement au dossier médical personnel (DMP), doit retenir toute notre attention.

Depuis trente ans la Cnil, instituée pour protéger les citoyens d'un rapprochement généralisé des fichiers portant sur les différents aspects de notre vie, a justement cantonné l'usage de ce NIR à la gestion des cotisations et des droits sociaux par les employeurs et la Sécurité sociale. Elle a régulièrement refusé aux impôts, à l'Education nationale, aux services de police, de constituer leurs propres fichiers à l'aide du NIR. Pour quelle raison ? Parce ce que ce numéro est le passe-partout idéal pour croiser les fichiers portant sur une même personne. La généralisation de l'usage du NIR signerait la démission de l'Etat face aux tentations de procéder à des interconnexions tous azimuts. Le refus de le disséminer dans les différents fichiers représente l'engagement politique et démocratique le plus puissant pour protéger la sphère privée des personnes, en respectant le principe cardinal de «finalité» de la loi informatique et libertés : à chaque fichier son objectif, et pour des finalités différentes, des fichiers distincts.

On perçoit dès lors l'enjeu lié aux données de santé et au DMP. Associer le NIR à des informations sur les maladies psychiatriques, l'infection par le VIH, le cancer, des antécédents d'IVG, c'est toucher à l'intimité des personnes, à qui ces données sensibles doivent appartenir. Cette banalisation du NIR irait de facto avec une dévalorisation du secret des informations médicales. Bernard Tricot, qui dirigeait en 1975 la toute nouvelle commission informatique et libertés, indiquait que «le traitement de ces données [de santé] doit être effectué en utilisant des identifiants distincts du numéro national [NIR]. Non, comme on l'a dit, que cette précaution constitue un obstacle technique infranchissable, mais parce que la présence d'un identifiant spécial contribuera à rappeler à ceux qui participent à ces traitements qu'il y a des informations particulièrement secrètes qui ne peuvent être livrées qu'à un nombre restreint d'utilisateurs qualifiés».

Refuser d'associer le NIR aux données de santé, c'est maintenir la digue démocratique. Si étroitement lié à l'intimité de la vie privée, le DMP n'aura d'utilité sociale que s'il recueille la confiance pleine et entière des patients, laquelle serait grandement ébranlée si le NIR devait servir de clé d'accès au DMP.

On comprend d'autant moins l'initiative du gouvernement pour utiliser le numéro de Sécurité sociale pour les dossiers personnels, qu'il existe des alternatives fiables pour identifier sans risque d'erreur les dossiers personnels de santé. Un identifiant santé, propre à chaque personne, peut être généré à partir du NIR par un procédé de chiffrement. On peut ainsi obtenir un numéro d'identité santé anonyme. De tels numéros sont déjà utilisés par l'Institut de veille sanitaire pour les maladies à déclaration obligatoire, notamment pour les personnes séropositives au VIH/sida ; les hôpitaux ont recours au même procédé pour la réalisation du PMSI (programme médicalisé des systèmes d'information). Tout cela est bien connu des pouvoirs publics, du GIP-DMP, de la Cnil.

La Cnil, mise en demeure par le gouvernement de choisir le numéro de Sécu comme clé d'accès au dossier médical personnalisé, peut au contraire décider de «sanctuariser» celui-ci en rejetant son usage comme identifiant santé. C'est la demande que plusieurs milliers de citoyens lui ont adressé en paraphant l'appel «Pas touche à mon numéro de Sécu». 

Pour préserver la confiance du corps social, pour que Big Docteur ne se confonde pas avec Big Brother, il convient de placer sur le même plan d'exigence l'utilité sociale du DMP et la préservation de la sphère privée des personnes.