Dans le domaine de la gestion des données de santé, la question de la désidentification des informations sensibles reste un défi majeur, notamment pour garantir leur utilisation à des fins de recherche tout en protégeant la vie privée des individus. Des discussions récentes explorent la possibilité de mettre en place un service de désidentification généralisé, adaptable aux standards de l’IHE (Integrating the Healthcare Enterprise).
Historiquement, l’un des principaux obstacles à une telle initiative réside dans l’absence d’une norme universelle définissant la « politique de désidentification ». Cet ensemble de règles, crucial pour guider le processus, doit permettre d’une part de prévenir toute tentative de réidentification des sujets, et d’autre part de préserver suffisamment de détails dans les données résultantes pour qu’elles conservent leur utilité dans un contexte donné. Si des normes existent sur le concept même de désidentification, la définition précise des politiques demeure un champ ouvert.
Il est essentiel de comprendre que la désidentification est avant tout un processus, et non un simple algorithme tel que le chiffrement ou les signatures numériques. La complexité réside dans la nécessité de trouver un équilibre délicat entre deux impératifs souvent opposés : l’exploitation des données, qui requiert une certaine fidélité informationnelle, et la protection de la vie privée des individus contre toute réidentification non autorisée.
Dans ce contexte, l’IHE a développé un « Manuel de désidentification » dont l’objectif est d’aider à définir une politique de désidentification appropriée et de souligner son caractère processuel. Ce guide permet d’identifier les identifiants directs et indirects au sein d’un jeu de données et propose diverses méthodes de modification, telles que la rédaction, la généralisation, la suppression ou le remplacement. Il offre également des outils pour évaluer l’efficacité de la politique choisie.
Un schéma d’orchestration abstrait a été proposé dans le cadre d’un tutoriel sur la sécurité et la confidentialité. Ce modèle envisage qu’une application d’analyse de recherche puisse formuler une requête, médiatisée par un service de désidentification. Si la requête est jugée recevable et appropriée, elle serait transmise à un serveur de ressources qui renverrait les données dans leur intégralité. Le service de désidentification interviendrait alors pour anonymiser ces données avant de les transmettre au demandeur. Cette approche, bien que conceptuellement réalisable, soulève des questions de conception de système, notamment la capacité à anonymiser les données en temps réel, une opération généralement effectuée sur des jeux de données complets et validée par des algorithmes comme la K-Anonymity.
Une alternative plus probable pour l’orchestration d’un service de désidentification impliquerait plutôt un flux de données par « PUSH » ou « FEED » (transmission en bloc), plutôt qu’une requête ponctuelle. Cela se traduirait par l’insertion d’un service de désidentification entre une source de données et un destinataire. Les deux acteurs initiaux communiqueraient alors de bout en bout, mais via cet intermédiaire. La politique de désidentification deviendrait alors une composante essentielle de ce service, administrée par un gestionnaire de politique dédié.
Actuellement, l’absence de norme reconnue pour la politique de désidentification rend difficile la définition formelle de ces acteurs intermédiaires. Ils doivent donc être considérés comme une fonctionnalité intrinsèque du service de désidentification lui-même.
Une proposition de schéma d’orchestration plus aboutie intègre cette notion. Les données sont d’abord reçues par le service de désidentification (MHD – Mobile Health Document Sharing). Ce dernier intègre alors un ensemble d’autres profils IHE (mXDE – Extended Deep Export) pour finalement permettre un accès aux données désidentifiées via FHIR Rest (QEDm – Query for Existing Data for Meaningful Use). Ce modèle ne fait pas abstraction de la politique de désidentification, mais l’intègre directement dans la conception du système. Bien que les exemples utilisent les normes MHD et QEDm, la flexibilité du service de désidentification réside dans sa capacité à s’adapter à d’autres normes, la « magie » de l’anonymisation opérant en interne.