Le numéro d’inscription au répertoire national d’identification des personnes physiques, plus connu sous le nom de « numéro de sécurité sociale » ou NIR, identifie chaque individu de manière unique dans les fichiers des organismes français de protection sociale. Attribué à la naissance, il suit chacun tout au long de sa vie. Son usage est néanmoins strictement encadré par la loi et limité au domaine social et fiscal. Mais contrairement à certaines idées reçues, le NIR n’est pas pour autant considéré comme une donnée de santé sensible.
Composé de 13 chiffres correspondant au sexe, à la date et au lieu de naissance ainsi qu’à un numéro d’ordre, le NIR ne révèle rien de l’état de santé de la personne. Il permet certes d’identifier les assurés sociaux et de chaîner entre elles les informations personnelles détenues par les organismes de protection sociale, mais n’est pas en lui-même une donnée médicale. La CNIL a d’ailleurs toujours distingué clairement le NIR des données de santé proprement dites, qui elles renseignent directement sur la situation médicale de l’individu.
Ainsi, si le NIR figure sur la carte Vitale et sert de lien entre les remboursements, prestations et informations médicales d’un patient, il n’en demeure pas moins un identifiant administratif et non une donnée relative à la santé du titulaire de la carte. Son usage ne peut d’ailleurs se faire que dans le cadre fixé par la loi, tout détournement ou utilisation frauduleuse étant passible de sanctions pénales.
Les données médicales telles que diagnostics, résultats d’examens, antécédents, traitements suivis, etc. sont, elles, considérées comme sensibles et à ce titre soumises à une protection et une réglementation renforcées. Leur traitement requiert notamment le recueil du consentement exprès du patient, et leur hébergement doit se faire sur des serveurs agréés « hébergeur de données de santé ». Rien de tel pour le simple NIR, qui n’entre pas dans cette catégorie.
Il existe une exception notable: l’INS, ou identifiant national de santé, qui est dérivé du NIR et sert à identifier les patients de manière unique entre tous les professionnels de santé. Contrairement au NIR de base, l’INS est bien considéré par la CNIL comme une donnée de santé, dans la mesure où il est utilisé au sein même du système d’information de santé.
Selon la CNIL, une donnée de santé est une information relative à la santé physique ou mentale, passée, présente ou future, d’une personne physique. Cette définition englobe divers types d’informations, y compris les données génétiques et les échantillons biologiques.
Données de santé par nature: Antécédents médicaux, maladies, résultats d’examens, traitements, handicap, etc.
Données de santé par croisement: Informations qui deviennent des données de santé lorsqu’elles sont croisées avec d’autres données, comme le poids et le nombre de pas.
Données de santé par destination: Informations qui deviennent des données de santé en raison de leur utilisation au plan médical.
Les données collectées à des fins exclusivement personnelles, sans connexion extérieure, ne sont pas considérées comme des données de santé. Par exemple, une application mobile qui collecte des données localement sur votre smartphone.
Un régime juridique particulier s’applique aux données de santé en raison de leur sensibilité. Il peut inclure diverses législations comme la loi Informatique et Libertés, des dispositions sur le secret, l’hébergement des données de santé, etc.
