Intervention de Jean-Pierre Godefroy

Comme vient de le rappeler M. Autain, l'amendement n° 13 est le deuxième que le Gouvernement a déposé pour réintroduire un article censuré par le Conseil constitutionnel.

Bien évidemment, nous ne le voterons pas, car nous avons quelques inquiétudes quant à l'utilisation du numéro de sécurité sociale, le NIR, comme numéro d'identification du dossier médical personnel, ou DMP.

Le dossier médical personnel a été institué pour offrir à chacun une chance d'être mieux soigné. Selon nous, le DMP ne doit pas comporter un risque accru d'atteinte à la protection des libertés individuelles pour parvenir à cet objectif. C'est la raison pour laquelle vous aviez vous-même envisagé un numéro d'identification spécifique pour le DMP en 2004.

L'utilité sociale du DMP et son acceptabilité ne seront assurées que si celui-ci recueille la confiance pleine et entière des patients. Or, à notre avis, l'usage du numéro de sécurité sociale comme identifiant du DMP ne pourrait que fragiliser cette confiance.

En effet, à la différence d'un numéro d'identification « santé » propre, ce numéro est « transparent » et facile à reconstruire à partir de simples informations portant par exemple sur la date et le lieu de naissance d'une personne. Jusqu'à présent, ses usages ont été très limités et encadrés par les pouvoirs publics et la CNIL, car il constitue l'outil idéal pour croiser des données et interconnecter des fichiers sur une même personne.

Voilà trente ans, la réaction de l'opinion publique avait permis le rejet du projet de « Système automatisé des fichiers administratifs et du répertoire des individus », ou projet SAFARI, visant à interconnecter des fichiers administratifs avec le numéro de sécurité sociale comme identifiant. Depuis, de nombreuses propositions d'extension de l'usage de ce NIR ont été régulièrement présentées, et rejetées. Créée en 1978 en réponse au projet SAFARI, la CNIL a été l'outil de la préservation d'une sphère privée en matière d'interconnexion des fichiers de gestion administrative.

Ce principe de non-rapprochement des données est l'un des fondements de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui protège la sphère privée en lui ménageant un espace vital vis-à-vis des acteurs publics ou privés, notamment l'État, les employeurs ou les assureurs.

La volonté de ne pas utiliser le NIR au-delà de la gestion des droits ouverts dans les organismes de sécurité sociale est devenue le symbole politique du droit des citoyens au respect de la sphère privée. La décision d'une extension importante de son utilisation à d'autres usages serait le symbole politique d'une rupture consistant à faire passer le respect de la sphère privée au second plan des préoccupations de l'État.

Dans un contexte où une politique de sécurité digne de ce nom en matière de données de santé informatisées est loin d'être atteinte, et sachant que les données de santé parmi les plus intimes et les plus sensibles d'une personne sont et demeureront extrêmement convoitées, il convient d'écarter tout risque d'usurpation ou d'accès non autorisé à ces données que l'usage du numéro de sécurité sociale pourrait favoriser ou renforcer.

La protection absolue des données personnelles est d'autant plus nécessaire que la politique de sécurité en matière de données de santé informatisées est régulièrement prise en défaut, comme en témoigne la récente révélation d'une faille de sécurité majeure chez l'un des hébergeurs lors des expérimentations du DMP.

En outre, et cela nous a été indiqué par plusieurs organisations, il existe une autre solution fiable pour identifier sans risque d'erreur le DMP et les autres dossiers personnels de santé. En effet, il semble bien qu'un identifiant « santé » propre à chaque personne puisse être créé à partir du NIR par un procédé de chiffrement irréversible. Avec cette anonymisation du NIR, on obtient alors un numéro d'identité « santé » non signifiant qui ne permet pas l'identification indirecte de la personne à laquelle il se rapporte par rapprochement avec d'autres données la concernant. Cette solution aurait le double avantage de fournir un identifiant « santé » totalement fiable et d'écarter tout risque de rapprochement non autorisé de données personnelles.

Depuis que le Gouvernement a présenté cet amendement, de nombreuses voix se sont élevées contre l'usage du NIR comme identifiant « santé » et en faveur de l'adoption d'un identifiant propre aux données personnelles de santé distinct du NIR. Ainsi, des milliers de personnes ont d'ores et déjà signé l'appel « Pas touche à mon numéro de Sécu ! ». Par ailleurs, dans un communiqué du 13 décembre 2006, le collectif interassociatif sur la santé, le CISS, déclare que le NIR « ne peut pas être une clé d'accès au DMP ». Il confirme de même la nécessité de créer un identifiant unique et fiable de patient, ou IUFP, distinct du NIR.

Considérant que l'information médicale doit demeurer un sanctuaire pour l'intimité de la personne, nous voterons contre le présent amendement. En effet, chaque individu est seul « propriétaire » légitime de cette information et doit pouvoir décider avec qui il veut la partager, notamment son médecin.

Mes chers collègues, dans cet esprit, nous ferions bien de refuser l'amendement, non pas pour manifester un rejet de principe du DMP, mais pour nous opposer à l'identifiant prôné par le Gouvernement.