Home SantéNormes d’échange de soins de santé : désidentification en tant que service

Normes d’échange de soins de santé : désidentification en tant que service

by Sophie Martin

La protection des données personnelles et leur utilisation à des fins de recherche nécessitent un équilibre délicat. Un nouveau modèle d’orchestration pour les services de désidentification, basé sur l’échange de données en masse plutôt que sur des requêtes individuelles, pourrait simplifier ce processus et garantir une meilleure conformité aux normes de confidentialité.

Le défi principal réside dans l’absence de standard universel pour définir une politique de désidentification efficace. Il ne s’agit pas d’une simple application d’algorithmes, mais d’une démarche complexe visant à la fois à préserver l’utilité des données et à empêcher toute réidentification des individus concernés. Comme l’explique l’IHE (Integrating the Healthcare Enterprise), une organisation qui promeut l’interopérabilité dans le domaine de la santé, la désidentification est un processus qui implique d’identifier les identifiants directs et indirects présents dans les données.

Les techniques courantes de désidentification incluent la suppression d’informations sensibles, la généralisation de données spécifiques (par exemple, remplacer une date de naissance précise par une tranche d’âge) et le remplacement de valeurs par des pseudonymes. L’IHE a publié un “Manuel de désidentification” qui guide les organisations dans la définition de ces politiques et l’évaluation de leur efficacité.

Si des schémas d’orchestration basés sur des requêtes individuelles sont envisageables, ils impliquent une complexité technique importante. L’idée serait qu’une application d’analyse de recherche envoie une requête à un service de désidentification, qui, après autorisation, transmettrait cette requête à un serveur de ressources. Le serveur renverrait les données complètes, qui seraient ensuite désidentifiées par le service avant d’être transmises à l’application. Cependant, cette approche nécessite une anonymisation en temps réel, ce qui est difficile à mettre en œuvre.

Une alternative plus pragmatique consiste à privilégier un échange de données en masse. Dans ce modèle, les données sont envoyées en bloc d’une source à un destinataire, avec le service de désidentification agissant comme intermédiaire. Ce service, qui intègre des profils IHE existants tels que MHD (Medical Health Document) et QEDm (Query for Existing Data with modifications), applique la politique de désidentification définie par un administrateur. L’avantage est que la politique de désidentification est centralisée et gérée de manière cohérente.

« La politique de désidentification doit être disponible pour le service de désidentification et doit être administrée par un administrateur de politique », souligne l’auteur de cette analyse. L’absence de norme pour cette politique représente toutefois un obstacle, ce qui implique que sa définition et sa gestion doivent être intégrées au sein même du service de désidentification.

Ce modèle permet une transition progressive, en commençant par le partage de documents et en évoluant vers des requêtes FHIR Rest (Fast Healthcare Interoperability Resources) anonymisées. En fin de compte, le service de désidentification agit comme une passerelle, utilisant les normes existantes tout en assurant la protection de la vie privée des patients.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.