Pourquoi un INS-C ?

Le “C” veut dire calculé. On a éliminé les acronymes INS-B pour bricolé, INS-D comme système D, INS-I comme intérimaire ainsi que l’INS-P (précaire).
L’INS-C est un intermittent de l’identification. Il doit faire patienter en attendant la conception, l’embryogenèse, et la naissance de l’identifiant pérenne prénommé INS-A. Celui-ci géré aléatoirement, non signifiant, sans doublon ou collision, par un système central, sera délivré à vie pour chaque bénéficiaire majeur ou mineur de l’assurance maladie. Un nouveau né pourrait en être doté, en moyenne 5 jours après sa naissance, lors de l’inscription à l’état civil. On ne sait d’ailleurs pas ce que signifie le “A” accolé à l’acronyme, mais comme cet INS-A va rester dans les limbes des systèmes d’information de santé pendant de nombreuses années, cela laisse du temps pour résoudre cette énigme sur sa dénomination [1]
A l’occasion de la 1ère journée nationale de l’identito-vigilance, le 27 janvier 2009 à Besançon , Jean-Yves Robin, le Directeur Générale de la future ASIP expliquait que « l’INS, s’il pouvait être disponible sous forme de téléservice d’ici 18 mois, ne sera pas disponible au niveau des LGC [2], des LDGO [3] et des SIH [4] avant 3 à 5 ans » en raison du cumul des délais de mise à disposition des téléservices, de l’évolution et du renouvellement du parc des logiciels des professionnel de santé.
La récupération des INS par téléservice via une requête des applications métiers après une lecture automatique des traits d’identité dans la carte Vitale ou récupérés dans le dossier du PS, semble plus réaliste que l’implantation directe de cet identifiant dans la carte Vitale. En effet mettre l’INS sur la carte Vitale 2 entrainera un « délai prévisible de l’ordre de plusieurs années » avec un « T0 non encore fixé » ! On voit que l’optimisme règne à l’ASIP !

L’INS-C (INS Calculé) est un identifiant transitoire calculé localement, c’est à dire par les progiciels des professionnels de santé, à la suite de la lecture de certaines informations stockées dans la carte Vitale. Il est constitué de 20 chiffres complété par une clé de contrôle sur 2 chiffres et par un préfixe de 3 caractères représentant un code national (code ISO de la France : 250).

La mission de cet identifiant temporaire est « de permettre le déploiement, au plus tôt et dans des conditions de sécurité acceptables, de projets régionaux ou nationaux mettant en œuvre de l’échange ou du partage de données. »
L’usage de l’INS-C sera cantonnée au secteur de la santé (Professionnels de santé, secrétaires médicales, personnel d’accueil en établissement), mais c’est une donnée à caractère personnel qui n’est pas une donnée de santé. Il n’est pas soumis aux règles spécifiques aux données de santé. Ainsi le décret confidentialité du 15 mai 2007 imposant l’usage de la CPS ne s’applique pas pour l’utiliser. Il peut être diffusé à d’autres personnes que des professionnels de santé impliquées dans la prise en charge des patients. Le consentement exprès du patient ne serait pas requis pour obtenir l’INS-C, mais celui-ci garderait un droit d’opposition à l’utilisation de l’INS-C.

Recette de l’INS-C :

L’INS-C est obtenu en appliquant un algorithme défini par le ministère de la santé avec le concours de la DCSSI [5] , à un nombre limité de traits d’identité de la personne concernée (NIR de la personne concernée, prénoms de la personne concernée et date de naissance de la personne concernée). Ces données sont lues dans la puce de la carte Vitale présentée par le patient.

 Presser une carte Vitale et en extraire les prénoms, date de naissance et NIR.

 Faire réduire les prénoms : Les caractères accentués sont substitués par des caractères majuscules non accentués. Les minuscules sont remplacés par de majuscules et les caractère exotiques comme les traits d’union par des espaces. « Si le patient a plusieurs prénoms, les prénoms sont susceptibles d’être séparés par un ou plusieurs espaces. Il s’agit dans une première étape de supprimer tous les espaces, puis de retenir les 10 premiers caractères de la chaine ainsi obtenue. Si la chaine résultante est constituée de moins de 10 caractères, elle est complétée à droite par des espaces (0x20). » Il est prévu le cas où le prénom comporte des chiffres. Même le robot R2-D2 de la saga Star War pourra avoir un INS-C.

 La date de naissance au format AAMMJJ, est déjà présente pour le mois et l’année dans le NIR. Quel est l’intérêt d’en rajouter une seconde dose ?

 Le calcul est abandonné si le NIR correspond à un NIR temporaire ou si la clé du NIR n’est pas la bonne. Cela voudrait donc dire que la clé du NIR sur la carte Vitale pourrait être incorrecte et qu’il existerait des cartes Vitale avec des NIR temporaires (NIR commençant par un 8) ?

 Ajouter dans une casserole sans séparateur les trois champs dans ce même ordre. L’ensemble concaténé constitue la “Graine” : Prénoms (10 caractères) + Date de naissance (6 caractères) + NIR (13 caractères).

 Faire cuire à feu doux, touiller et passer à la moulinette SHA-256 [6] la chaîne de caractères “Graine” .

 Filtrer le résultat obtenu, garder le “haché” c’est à dire une empreinte de 256 bits, et égoutter avec conversion au format numérique (chiffres de 0 à 9).

 La clé de contrôle est calculée selon la même règle que la clé du NIR. C’est le complément à 97 du reste de la division euclidienne du nombre de 20 chiffres par 97.

Une pierre dans le jardin du Dossier Pharmaceutique (DP) ?

La guerre des identifiants temporaires : INS-C contre NDP.
Pour le Dossier Pharmaceutique, en l’absence d’INS-A, B ou C, il a fallu créer un identifiant temporaire de 13 chiffres, le Numéro du Dossier Pharmaceutique (NDP). Ramenés par les API Sesam Vitale des progiciels, le nom, le prénom, la date de naissance, le rang gémellaire et le numéro de série de la carte Vitale servent à générer cet identifiant.
Or dans l’INS, le numéro de série de la carte Vitale n’est pas utilisé. En effet il « change si la carte est renouvelée. Un ayant droit peut être inscrit sur plusieurs cartes et se verrait de fait attribuer autant d’INS-C que de cartes dans lesquelles il est inscrit. C’est particulièrement le cas des mineurs de moins de 16 ans (12,5 millions). Dans le cas des familles nombreuses, l’ouvrant droit peut être inscrit dans plusieurs cartes. »
Et dire que les pharmaciens voulaient prêter leur NDP “breveté” au GIP-DMP...

Olivier Porte, le Directeur des Opérations du Dossier Pharmaceutique explique pour i-med que «  ce qui fait l’objet d’un brevet pour le NDP ce n’est bien entendu pas l’algorithme de génération du NDP mais le savoir-faire industriel dans la gestion des changements de traits d’identité. Ce savoir-faire industriel, nous l’avons développé à partir du moment où nous avons franchi le cap des 200 000 dossiers et où nous avons pu chercher sur la base des situations qui se présentaient effectivement sur le terrain les solutions automatiques les plus fiables pour la gestion des doublons et des collisions.
A ce titre :
 les changements de carte Vitale et de numéro de série sont gérés par un rapprochement automatique de NDP
 les changements de prénom sont également gérés par un rapprochement automatique de NDP (contrairement à l’INS-C)
 tous les bénéficiaires de l’assurance maladie quel que soit leur âge peuvent avoir un NDP et un DP (il y en aura 4 millions à la fin de la semaine et le NDP ne montre aucun signe de faiblesse) et pour nous l’INS doit évidemment posséder également cette propriété fondamentale » .

A la décharge de l’INS-A, il faut rappeler que le DP ne met à le disposition des seuls pharmaciens qu’une petite lucarne des 4 derniers mois de délivrance. L’INS-A lui est destiné à identifier des documents sur des durées beaucoup plus longues.

Le risque de collision !

Le véritable identifiant national de santé, c’est l’INS-A. C’est le certifié, le tatoué, généré aléatoirement et attribué par un système central. Lui seul offre les garantis d’un bon identifiant, c’est à dire attribuer la bonne donnée au le bon patient :
 identifiant sans collision, sans doublon, non signifiant et non prévisible.
Cet Identifiant National de Santé (INS) est institué par l’article L1111-8-1 du Code de la Santé Publique (Loi nº 2007-127 du 30 janvier 2007).

Mais le chantier de l’identifiant national est englué comme d’autres depuis de nombreuses années. Et faute de grives, il faut se contenter de merles. D’où cet identifiant précaire, calculé au coup par coup !

Selon les experts en accidentologie des identifiants, « pour un INS-C de 20 chiffres, la probabilité qu’une collision apparaisse après 137 millions d’INS-C est de 0,048%. Elle est de 0,024 % après 68 millions d’INS-C ». On est prié de les croire sur parole. La collision c’est le risque que deux personnes disposent du même identifiant. C’est embêtant car les données de deux patients risquent d’être entassées dans le même dossier.

Quant au risque de doublons, il existe aussi. En effet l’INS-C dérive d’un calcul à partir de 3 traits qui ne sont pas fiables totalement :
 Le NIR peut changer. Selon l’assurance maladie, il y a officiellement environ 0.03% de changements de NIR par an dans le RNIAM. En fait on lit plus loin dans l’argumentaire que les modifications sont de « de l’ordre de 30 000 par an sur les 100 000 000 de NIR inscrits dans le RNIAM ». En pratique c’est donc beaucoup plus que les « 0.03% » sur les NIR actifs !
 La date de naissance initiale peut-être erronée. Pour certains patients d’origine étrangère, la date de naissance est approximative ou erronée. Ainsi une patiente née au début 1966 en Turquie, dispose d’une carte Vitale indiquant une date de naissance administrative arrondie au 1 janvier 1972. D’ailleurs cette erreur d’âge a conduit lors d’une grossesse menée en 2005 à “l’oubli” de la pratique d’une amniocentèse systématique après 38 ans et à la naissance d’un enfant trisomique.
 Sur de nombreuses cartes Vitales, reflet des bases de données de l’assurance maladie, les prénoms sont incorrects.
En cas de correction ou modification d’un de ces trois traits, l’identifiant calculé est différent d’où risque de doublon et de collision.

Si une personne se voit attribuer plus d’un INS-C, « selon l’usage qui est fait de l’INS-C, les impacts sont divers : la personne est susceptible de se voir attribuer plusieurs dossiers, le professionnel de santé accède à une vue partielle des données de santé de la personne, il peut y avoir des difficultés de rapprochement. »

Rappelons que l’INS-C est calculé à la volée et au coup par coup par l’application médicale théoriquement à partir de la carte Vitale. Or il n’est pas prévu de procédure l’homologation des logiciels pour ce calcul !

Des patients de plus en plus nombreux ne disposent pas de cartes Vitale (perte, bug IGEA 440, changement d’affiliation, etc.). En effet le passage à la version 2 ayant considérablement augmenté la durée d’obtention, il faut parfois plusieurs mois pour qu’elle soit délivrée. En attendant que fait-on ? Y aura-t-il calcul de l’INS-C à partir des données locales de l’application métier avec donc le risque d’erreur et de génération d’un INS-C incorrect ?

Question subsidiaire, comment va t-on ensuite agréger les données de patients en cas de doublons ?

L’INS-C ne semblant pas d’une sécurité totale (risque de doublon et de collision), on prévient que ses «  limitations peuvent être compensées par l’identito-vigilance (informatiquement assistée ou non) au sein des différentes structures médicales ». Comment ? Par vérification de«  la cohérence du nom, cohérence du contenu du dossier ». Pas très rassurant tout cela. On se demande donc à quoi sert l’INS-C de 25 caractères si il faut, en plus, vérifier l’identité des patients !

D’autant plus que l’INS-C n’est pas calculable pour les mineurs ou les ayant-droits majeurs sans carte Vitale. En effet, le NIR est censé être lu sur la carte Vitale où on ne trouve que le numéro de l’ayant-droit. Et bien l’INS-C « ne gère qu’une partie de la population. De l’ordre de 71% début 2009 du fait de l’absence de NIR d’ayants-droit dans les cartes Vitale ». « Les traits nécessaires au calcul de l’INS-C sont disponibles en carte Vitale pour 47 millions de personnes et pourront l’être d’ici fin 2009 pour 4,3 millions de personnes supplémentaires sous réserve de la mise à jour de leur carte (passage au mapping V1ter de la carte vitale, le passage au mapping V1ter n’impose pas le changement de la carte) ». Selon la CNAMTS, pour les 14,9 autres millions de bénéficiaires du régime général et des régimes hébergés, le NIR ne sera pas disponible en carte avant le deuxième semestre 2010.

La crise économique est là. On annonce un million de chômeurs de plus à la fin de l’année et donc une paupérisation générale. Le risque est important de vols ou de prêts d’identité médicale afin de bénéficier de meilleurs remboursements par les mutuelles ou la CMU. Le problème est identique avec un INS-A d’ailleurs.
Mais si on ne fait reposer l’identification formelle des données que sur un identifiant unique, comment en cas d’erreurs (collisions) ou de fraudes pourra t-on nettoyer les dossiers ?

L’INS-C est-il utile ?

Compte-tenu des ses limites, il ne dispense pas de maintenir des données identifiantes dans les dossiers médicaux et les différents documents médicaux échangés.

En dehors de la position dogmatique de la CNIL sur le sujet, il serait certainement moins couteux et plus facile d’autoriser l’usage du NIR en attendant l’INS-A.

C’est d’ailleurs ce qui se pratique couramment aujourd’hui par exemple pour l’envoi de la biologie en HprimNet ou par Apicypt. Dans les centaines de milliers de messages électroniques circulant sur le net chaque jour, le numéro de sécurité sociale est dans l’en-tête Hprim. Et cela ne fait pas tousser la CNIL.
Après dix-huit ans de bons et loyaux services, Jeanne Bossi vient de quitter cette institution où elle suivait particulièrement les dossiers liés aux systèmes d’information de santé. Elle a été nommée au secrétariat de la nouvelle ASIP. Elle y sera confrontée au principe de réalité.

Sources

 1ère journée nationale de l’identito-vigilance - Mardi 27 janvier 2009 - Besançon : L’Identifiant National de Santé : cible et trajectoire

• Déclaration de conflit d'intérêts
• Plan du site
• Espace privé
• Bonjour et meilleurs vœux à tous