De Big docteur à Big Brother

2026, Melle Marianne Defrance lit son courriel : «A la candidate 2 06 12 75 005 008. Suite à votre entretien d’embauche, votre coefficient d’employabilité initial a été côté à 0,95. Conformément à la loi du 6 janvier 2018 relative à la constitution du profil individuel automatisé d’employabilité, notre DRH a contacté l’Agence Régionale d’Employabilité pour communication de votre profil prédictif de santé. Au vu de ce profil (Dossier médical personnel n° 2 06 12 75 005 008 indiquant la délétion partielle de la région w98dfy43 du chromosome 17 qui vous prédispose à une vulnérabilité accrue à l’infection par le Virus de l’Hépatite F12), votre score de santé prédictif a fait chuter votre coefficient final d’employabilité à 0,55.

Dans ces conditions, nous sommes au regret de vous informer que votre candidature ne peut être retenue, notre Conseil d’administration ayant décidé de relever le coefficient moyen d’employabilité de nos collaborateurs à 0,85 dans le contexte tendu de l’hypramondialisation .
NB : la loi du 6 janvier 2018 confie à la CNEIF (Commission nationale d’éthique pour l’interconnexion des fichiers) le soin de déterminer les conditions de rapprochement des données personnelles à l’embauche avec les données personnelles de santé afin d’optimiser l’adéquation rationnelle de l’employabilité personnelle pour chaque poste de travail. La CNEIF a, dans son avis du 30 décembre 2018, établi les conditions sécurisées de rapprochement de ces données respectives au moyen de l’identifiant universel des données personnelles (ex-numéro de sécurité sociale étendu en 2006 comme identifiant santé par la CNIL, autorité à laquelle la CNEIF a succédé en 2016).»

Science-fiction ? Sans doute. Un tel scénario pourrait-il se produire ? Nul n’ose y croire, mais qui pourrait l’écarter à 100%, tant les données personnelles de santé font l’objet d’une convoitise croissante de la part des assureurs, des banques, des employeurs ?

C’est pourquoi, l’initiative récente du gouvernement qui demande à la CNIL d’autoriser l’usage du numéro de sécurité sociale (NIR) pour se connecter à l’ensemble des dossiers médicaux informatiques d’une même personne et prochainement au dossier médical personnel (DMP) doit retenir toute notre attention.
Depuis trente ans la CNIL, instituée pour protéger les citoyens d’un rapprochement généralisé des fichiers portant sur les différents aspects de notre vie, a justement cantonné l’usage de ce NIR à la gestion des cotisations et des droits sociaux par les employeurs et la sécurité sociale. Elle a régulièrement refusé aux impôts, à l’éducation nationale, aux services de police, de constituer leurs propres fichiers à l’aide du NIR. Pour quelle raison ? Parce ce que ce numéro est le passe-partout idéal pour croiser les fichiers portant sur une même personne. La généralisation de l’usage du NIR dans les fichiers de multiples secteurs signerait la démission de l’État face aux tentations de procéder à des interconnexions tout azimuth. Le refus de le disséminer dans les différents fichiers représente l’engagement politique et démocratique le plus puissant pour protéger la sphère privée des personnes, en respectant le principe cardinal de « finalité » de la loi informatique et libertés : à chaque fichier son objectif, et pour des finalités différentes, des fichiers distincts.

On perçoit dès lors l’enjeu majeur lié aux données de santé et au DMP. “L’information médicale (…) est le sanctuaire de l’intimité la plus profonde de la personne humaine ” (Louise Cadoux, Sophie Vulliet-Tavernier – CNIL 1998). Associer au NIR les informations sur les maladies psychiatriques, l’infection par le VIH, le cancer, des antécédents d’IVG contrevient au sentiment d’appartenance que les personnes doivent avoir pour ces informations sensibles. Cette banalisation du NIR irait  de facto avec une dévalorisation du caractère secret des informations médicales. Bernard Tricot, dirigeant en 1975 la première commission informatique et libertés, indiquait en effet que : «Le traitement de ces données [de santé] doit être effectué en utilisant des identifiants distincts du numéro national [le NIR]. Non comme on l’a dit, que cette précaution constitue un obstacle technique infranchissable, mais parce que la présence d’un identifiant spécial contribuera à rappeler à ceux qui participent à ces traitements qu’il y a des informations particulièrement secrètes qui ne peuvent être livrées qu’à un nombre restreint d’utilisateurs qualifiés».

Refuser donc d’associer le NIR aux données de santé, c’est maintenir, aujourd’hui comme hier, la digue démocratique qui protège d’une atteinte à la légitime opacité de la vie privée (la privacy des anglo-saxons).

Si étroitement lié à l’intimité de cette vie privée, le DMP ne verra son utilité sociale et son acceptabilité assurées que s’il recueille la confiance pleine et entière des patients, laquelle serait grandement ébranlée si le NIR devait servir de clé d’accès au DMP.

On comprend d’autant moins l’initiative du gouvernement, relayée par les responsables du GIP-DMP, d’utiliser le NIR pour le DMP qu’il existe des alternatives fiables pour identifier sans risque d’erreur le DMP et les autres dossiers personnels de santé. Un identifiant santé, propre à chaque personne, peut être généré à partir du NIR par un procédé de chiffrement irréversible. On peut ainsi obtenir un numéro d’identité santé (NIS) non signifiant. De tels numéros anonymisés sont déjà utilisés par l’Institut de veille sanitaire pour les maladies à déclaration obligatoire, notamment pour les personne séropositives au Vih/sida ; les Hôpitaux ont recours au même procédé pour la réalisation du PMSI (programme médicalisé des systèmes d’information).

Tout cela est bien connu des pouvoirs publics, du GIP-DMP, de la CNIL.

La CNIL, mise en demeure par le gouvernement de choisir le NIR comme clé d’accès au DMP peut au contraire décider de «sanctuariser» le NIR en rejetant son usage comme identifiant santé. C’est la demande que plusieurs milliers de citoyens lui ont adressé en paraphant l’appel « Pas touche à mon numéro de sécu ». Elle peut ainsi imposer l’alternative de création d’un NIS par «anonymisation irréversible» du NIR, rendue aujourd’hui possible par l’état de l’art.

Pour préserver la confiance du corps social, pour que Big Docteur ne se confonde pas avec Big Brother, il convient de placer sur le même plan d’exigence l’utilité sociale du DMP et la préservation de la sphère privée des personnes.


Christian Saout (président de AIDES) , Pierre Suesser (collectif Delis - Droits Et Libertés face à l'Informatisation de la Société) et Alain Weber (Ligue des droits de l'Homme)