PROTECTION DES DONNÉES PERSONNELLES : Comment protéger les données personnelles ? Quelles sont les stratégies de gestions des identifiants des patients/sujets enquêtés ?

By Anne Marie  Published On 20 juillet 2020

Nous avons dans notre précèdent article abordé le thème relatif à la collecte de données de santé : comment ces données sensibles devraient être collectées tout en tenant en compte des recommandations et conformités des organes en charge du respect de la procédure ; que vous pouvez consulter à via ce lien : https://www.cloudlyyours.com/2020/07/13/collecte-des-donnes-de-sante-ce-a-quoi-il-faut-faire-attention/.

Les outils libres relatifs à la collecte des données constitueront d’ailleurs le thème de notre prochain article. Mais avant d’y arriver, qu’en est-il de la protection de ces données auxquelles les patients ou sujets enquêtés nous donnent accès ? Comment en garantir la confidentialité ? Quels en sont les enjeux et dangers ?

Nuance entre Anonymisation/Pseudo anonymisation

Une donnée personnelle (nominative) est une donnée qui est liée à une personne physique donc aisément identifiable. En l’absence de nom, prénoms, une donnée reste quand même nominative lorsque le croisement entre plusieurs informations telles que l’âge, la profession, le lieu de naissance, d’habitation etc. permet d’identifier la personne. A contrario, une donnée anonyme, est une donnée qu’on ne peut pas relier à une personne physique. En effet, dans un processus d’anonymisation, les informations qui pourraient faciliter l’identification de l’individu sont soit supprimées ou modifiées rendant impossible toute ré-identification.

La pseudo anonymisation, elle est une technique qui permet de remplacer des données à caractère personnel par un pseudonyme. Dans ce cas de figure, il n’y a plus de nom, prénoms ou adresse qui figurent mais une ré-identification reste possible si une personne avisée ayant les droits d’accès procède à des croisements d’informations partielles à ou des combinaisons de données ; d’où une grande vigilance recommandée lorsqu’on a recours à ce procédé.

L’anonymisation permet donc de supprimer toutes les informations permettant l’identification d’un individu (action irréversible) alors que la pseudo-anonymisation ; elle permet plutôt de masquer les informations liées à une personne mais avec la possibilité que celle-ci soit ré-identifiée par un croisement des données.

Pseudo-anonymisation et chiffrement

Bien avant d’exposer les différentes stratégies qui permettent de protéger les données personnelles, il convient de rappeler que dans le processus de protection des données deux cas se présentent fréquemment. Dans le premier cas, le besoin de ré-identifier l’individu ne se ressent pas. On procèdera donc à une génération d’identifiants aléatoires uniques suivant ou non une logique de nommage ce qui conduit de manière explicite à l’utilisation d’algorithmes existants tels que : UUID, les Hash/empruntes SHA256, SHA512. Ces quelques liens permettront assurément de mieux approfondir la connaissance de ces algorithmes : https://fr.wikipedia.org/wiki/SHA-2  et https://fr.wikipedia.org/wiki/Universal_Unique_Identifier

Dans le deuxième cas de figure, le besoin de ré-identifier l’individu s’impose. On combine alors la première approche (génération d’identifiants aléatoires uniques) avec une table de correspondance entre l’identifiant « pseudo anonyme » et la vraie identité. Cette table de correspondance devra être logée dans une autre base de données et chiffrées de manière réversible (pseudo-anonymisation).

Nous recommandons fortement de suivre les standards les plus sûrs de nos jours tels qu’illustrés au travers de nos applications. En effet nous utilisons AES-256 avec des données toujours stockées chiffrées. Elles ne sont déchiffrées qu’à la volée dans l’application (en mémoire partie serveur) pour soit faire des traitements automatisés (envoi de mail ou de SMS…) ou pour une visualisation en mode « en clair » à la demande de l’utilisateur connecté si ce dernier a bien entendu les droits requis. Ce lien présente de manière concise les techniques de chiffrement recommandées : https://www.boxcryptor.com/fr/encryption/

Les techniques utilisées pour protéger les données sont donc liées au besoin de ré-identification ou non.

Cas pratiques sur les techniques de protection des données

Nous vous résumons, sous forme de tableau, des cas pratiques résultant de notre collaboration avec nos clients et partenaires

CAS PRATIQUES

ENQUETES / SONDAGES TELEPHONIQUES

TEST DE DEPISTAGE  ET SENSIBILISATION TERRAIN

ENQUETE DE MENAGES

IDENTIFICATION ET SUIVI DE PATIENTS DIABETIQUES

TECHNIQUES DE PROTECTION DES DONNEES

· Collecte de données téléphoniques via un Serveur Vocal Interactif( numéro vert ) pour donner son avis sur le niveau de satisfaction dans le système

· Aucune information personnelle dans le formulaire téléphonique

· Numéros remplacés par :*******

· Un identifiant unique d’appel est généré à la volée via l’approche UUID dans le système de méta-données d’appels (Call Detail Record)

 

· Identifiants pseudo aléatoires générés automatiquement par les tablettes et composés de données issues du formulaires (Initiales enquêteur, site/lieu de collectes, combinaisons diverses d’autres infos, une partie aléatoire + horodatage)

· La partie aléatoire est très importante pour éviter que l’on puisse remonter à l’individu en connaissant la logique de construction de l’identifiant. Ex : ZTPA08IDNNEA22A20180911

 

· Poser des questions personnelles à l’individu et « composer » avec ces dernières l’identifiant.

· Cette technique a l’intention de forger des identifiants dont on peut se rappeler mais c’est justement sa faiblesse.

· Une personne tierce peut deviner les réponses aux questions personnelles à partir du moment où cette personne connaissait suffisamment le sujet et sait qu’il a « un compte/nos données » sur le système en question


·Le sujet concerné peut également, après quelques temps, ne plus se rappeler des réponses exactes qu’il avait pu donner lors de son enrôlement pour diverses raisons

 

· Un code barre en 2 dimensions https://fr.wikipedia.org/wiki/Code_QR qui permet de cacher l’information qui peut être retrouvée rapidement avec un scanner

· Cette approche est rapide, supprime la nécessité de se rappeler de l’identifiant ou même d’avoir nécessairement une logique « compréhensible » de construction (quoique cela peut toujours être utile pour pouvoir visuellement avoir un 1er niveau d’information en regardant cette donnée)

· Possibilité de la combiner à toutes les précédents car le QR Code va juste venir encoder et présenter l’identifiant construit ou généré sous la forme d’un code barre à 2 dimensions

· Avantage non-négligeable : ce code pourra être distribué, conservé sur divers supports : carte plastique format identité ou fidélité, carte papier, bracelet… et son exploitation via les logiciels (surtout application mobile) est rapide et pratique.

En ajout au tableau ci-dessus concernant le QR Code, nous recommandons d’anticiper les cas de pertes et d’oubli en étant à même de retrouver le patient ou sujet à partir de ses informations personnelles via une recherche sur une table de correspondance sécurisée par exemple ; et donc pouvoir produire de nouveau son QR Code. Dans ce contexte, il sera important d’évaluer si les patients/sujets sont en mesure de conserver le QR Code et quel est le support le plus adapté à leurs profils, âges et lieu d’usage. Il conviendra en toutes circonstances d’anticiper la perte de ce support et mettre en place les moyens adéquats et sécurisés pour le reproduire en cas de perte. Le QRCODE, permet au-delà des avantages cités, d’éviter toute erreur de saisies d’identifiant qui pourrait engendrer des problèmes de suivis (patients, sujets de recherches…) et de cohérence des données car les croisements seraient difficiles voire même impossibles.

Avec certains de nos clients, nous avons en effet eu des problèmes de saisies sur l’identifiant incluant des erreurs de Majuscule, minuscule, des espaces par erreur, ou un saut d’un caractère… Il a fallu corriger cela à posteriori avec des algorithmes afin de pouvoir retomber sur l’identifiant vrai malgré ces erreurs de saisies humaines.

Il ne faut donc en aucun cas céder à la tentation d’un identifiant facile à retenir ni facile à deviner par autrui. Il est primordial de s’assurer que la méthode retenue garantie l’unicité sinon les données collectées seront non fiables qualitativement parlant avec des conséquences graves ; liées dans certains cas à des diagnostiques à faire (l’automatisation via l’outil informatique et l’exploitation d’algorithme garantie sans collision permet d’éviter les doublons tout en ayant une approche rigoureusement identique pour tous).

Il n’y donc pas d’approche universelle mais une association de techniques diverses ou un choix unique suivant le contexte, le public cible, le lieu de collectes d’informations.

Restez informé ! Abonnez-vous pour recevoir nos prochains articles.
Abonnez-vous

2 Comments


COLLECTE DES DONNEES DE SANTE : Quels outils libres et comment les comparer ? – Cloudly Yours
3 août 2020 at 15 h 28 min

[…] et https://www.cloudlyyours.com/?p=7634  , la customisation de la plateforme, le paramétrage et des coûts d’opération (après avoir […]


RGPD et Analyse d’impact – Cloudly Yours
5 août 2020 at 20 h 31 min

[…] données à caractère personnel ( cf notre précédent article sur la protection des données : https://www.cloudlyyours.com/2020/07/20/protection-des-donnees-personnelles-comment-proteger-les-don… ) lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé […]