ofs dijon 20090504 - u-bourgogne.frinserm-u1231.u-bourgogne.fr/doc/ofs dijon_20090504.pdf2009/05/04...

1

Séminaires du LundiSéminaires du LundiDijon, 4 mai 2009Dijon, 4 mai 2009

©© 2009, Jaquet2009, Jaquet--ChiffelleChiffellep.1p.1

Expérience des données de santéExpérience des données de santépublique sécurisées en Suissepublique sécurisées en Suisse

Prof Dr DavidProf Dr David--OlivierOlivier JaquetJaquet--ChiffelleChiffelle



MotivationMotivation

•• CoûtCoût desdes soinssoins en milieuen milieu hospitalierhospitalier ::

17 milliards CHF en 199517 milliards CHF en 1995

(24 milliards CHF en 2006)(24 milliards CHF en 2006)

•• PourPour quellequelle sortesorte dede soinssoins ??

•• AA quelquel prix ?prix ?

•• OùOù peutpeut--onon économiseréconomiser ??

besoinbesoin dd’’uneune statistiquestatistique

2



HistoriqueHistorique

•• VESKA (association desVESKA (association des hôpitauxhôpitaux suissessuisses))–– statistiquestatistique interneinterne

–– statistiquestatistique nominative (pas denominative (pas de cryptagecryptage))

–– pendant plus de 20pendant plus de 20 ansans

•• OFS (officeOFS (office fédéralfédéral de lade la statistiquestatistique))–– LAMalLAMal ((validéevalidée par lepar le parlementparlement et par leet par le peuplepeuple en 1994)en 1994)

–– loiloi sursur lala statistiquestatistique ((ConseilConseil fédéralfédéral))

–– ordonnanceordonnance dudu 3030 juinjuin 1993 (1993 (exécutionexécution desdes relevésrelevésstatistiquesstatistiques fédérauxfédéraux))



Office Fédéral de la StatistiqueOffice Fédéral de la Statistique

Confidentiality andData Protection - PatientsHospitalized in Switzerland

ISSE 2001, LondonElectronic proceedings, Septembre 2001

J.-P. Jeanneret, D.-O. Jaquet-Chiffelle

3



Problème de baseProblème de base

•• RelevéRelevé desdes diagonosticsdiagonostics et deset des traitementstraitements pourpourtoutestoutes lesles personnespersonnes hospitaliséeshospitalisées en Suisse.en Suisse.

LaLa statistiquestatistique estest exhaustiveexhaustive..

•• BesoinBesoin dede pouvoirpouvoir reconnaîtrereconnaître lesles cascas dede

réhospitalisationréhospitalisation

–– dansdans lele mêmemême hôpitalhôpital

–– dansdans unun autreautre hôpitalhôpital

•• GarantirGarantir l’l’anonymatanonymat des patientsdes patients

Données

sensiblesDonnées

sensibles

Suivi d’un patient sur plusieurs années

Suivi d’un patient sur plusieurs années

Protection des données

Protection des données



Types de donnéesTypes de données

•• DonnéesDonnées identifiantesidentifiantes–– nom,nom, prénomprénom

–– date de naissancedate de naissance

–– domiciledomicile

–– etc.etc.

•• DonnéesDonnées épidémiologiquesépidémiologiques–– ageage (au lieu de la(au lieu de la date de naissancedate de naissance))

–– régionrégion (au lieu(au lieu dudu domiciledomicile))

–– etc.etc.

4



Solution trivialeSolution triviale

DonnéesDonnées identifiantesidentifiantes

(Nom,(Nom, prénomprénom, etc), etc)

•• MichelineMicheline CalmyCalmy--ReyRey

•• PascalPascal CouchepinCouchepin

•• DorisDoris LeuthardLeuthard

•• Ueli MaurerUeli Maurer

•• MoritzMoritz LeuenbergerLeuenberger

•• ......

Code personnelCode personnel

((NuméroNuméro uniqueunique aléatoirealéatoire))

•• 57234108465723410846

•• 72918371027291837102

•• 32156392723215639272

•• 62324982376232498237

•• 15236128111523612811

•• ......

«« DictionnaireDictionnaire »»



Solution trivialeSolution triviale

Base deBase de donnéesdonnées desdes personnespersonnes

•• MichelineMicheline CalmyCalmy--ReyRey 57234108465723410846•• PascalPascal CouchepinCouchepin 72918371027291837102•• DorisDoris LeuthardLeuthard 32156392723215639272•• Ueli MaurerUeli Maurer 62324982376232498237•• MoritzMoritz LeuenbergerLeuenberger 15236128111523612811•• ......

Base deBase de donnéesdonnées desdes traitementstraitements

•• 72918371027291837102–– TraitementTraitement 1,1, àà BE, le 18/2/2003BE, le 18/2/2003–– TraitementTraitement 2,2, àà ZH, le 22/6/2007ZH, le 22/6/2007–– etcetc

•• 15236128111523612811–– TraitementTraitement 1,1, àà LU, le 28/3/2004LU, le 28/3/2004–– TraitementTraitement 2,2, àà ZH, le 16/5/2006ZH, le 16/5/2006–– etcetc

•• ......

«« Deux bases de donnéesDeux bases de données séparées»séparées»

Légalement inadaptée en Suisse et trop vulnérableLégalement inadaptée en Suisse et trop vulnérable

5



Code personnel calculéCode personnel calculé

PropriétésPropriétés souhaitéessouhaitées::

•• LesLes donnéesdonnées identifiantesidentifiantes permettentpermettent dede calculercalculer facilementfacilement lelecode personnel.code personnel.

•• LeLe code personnelcode personnel nene permetpermet paspas dede retrouverretrouver lesles donnéesdonnéesidentifiantesidentifiantes..

•• LaLa mêmemême personnepersonne obtientobtient toujourstoujours lele mêmemême code personnel.code personnel.

•• DeuxDeux personnespersonnes différentesdifférentes obtiennentobtiennent presquepresque toujourstoujours desdescodescodes personnelspersonnels différentsdifférents.. Le «Le « presque toujourspresque toujours » introduit» introduitun léger bruit dans la base de donnéesun léger bruit dans la base de données

•• ce qui augmente encore le niveau de protection des donnéesce qui augmente encore le niveau de protection des données•• sans affecter les études statistiquessans affecter les études statistiques



CryptographieCryptographie

•• Cadre légal en SuisseCadre légal en Suisse–– Pas de restrictionPas de restriction

•• Cadre légal en FranceCadre légal en France–– Avant 1999Avant 1999

•• Autorisation nécessaireAutorisation nécessaire

–– Dès 1999 (décret no 99Dès 1999 (décret no 99--200 du 17 mars 1999)200 du 17 mars 1999)

•• UtilisationUtilisation d’algorithmes cryptographiques dispensée de touted’algorithmes cryptographiques dispensée de touteformalité préalable si la clé est inférieure à 40 bitsformalité préalable si la clé est inférieure à 40 bits

–– Après 2004Après 2004 (loi sur la confiance dans l’économie numérique(loi sur la confiance dans l’économie numériqueno 2004no 2004--575 du 21 juin 2004)575 du 21 juin 2004)

•• L’utilisationL’utilisation des moyens cryptographiques est libredes moyens cryptographiques est libre (art. 30 I)(art. 30 I)

6



Données identifiantes minimalesDonnées identifiantes minimales

•• PropriétésPropriétés souhaitéessouhaitées::

–– discriminantesdiscriminantes

–– indépendantesindépendantes dede l’hôpitall’hôpital

–– toujourstoujours disponiblesdisponibles

–– constantesconstantes dansdans le tempsle temps

•• ChoixChoix pratiquepratique: (: (compromiscompromis))

–– nom denom de famillefamille,, prénomprénom, date de naissance,, date de naissance, sexesexe

Au maximumAu maximum 5’000*5’000*(365,25*120)*2 =5’000*5’000*(365,25*120)*2 = 2’191’500’000’0002’191’500’000’000 possibilitéspossibilités(entropie inférieure à 41)(entropie inférieure à 41)



990990

1’8001’800

96’03096’030

11

999999

990990

11

9090

2020

990990

9797

Nombre de possibilitésNombre de possibilités

de 01 à 97de 01 à 97

de 001 à 999de 001 à 999

de 001 à 990de 001 à 990

9999

de 01 à 90de 01 à 90

de 970 à 989de 970 à 989

de 001 à 990de 001 à 990

de 01 à 95, 2A, 2Bde 01 à 95, 2A, 2B

de 01 à 12, ou 20de 01 à 12, ou 20

de 00 à 99de 00 à 99

1 ou 21 ou 2

Valeurs possiblesValeurs possibles

11clé de contrôle modulo 97clé de contrôle modulo 9714, 1514, 15

999999numéro d’ordre de l’acte de naissance dansnuméro d’ordre de l’acte de naissance dansle mois et lacommune (ou le pays)le mois et lacommune (ou le pays)

11, 12, 1311, 12, 13TousTous

identifiant du pays de naissanceidentifiant du pays de naissance8, 9, 108, 9, 10

naissance hors de Francenaissance hors de France6, 76, 7CC

numéro d'ordre de la commune denuméro d'ordre de la commune denaissance dans le départementnaissance dans le département

9, 109, 10

département de naissance en outredépartement de naissance en outre--mermer6, 7, 86, 7, 8

BB

numéro d’ordre de la commune denuméro d’ordre de la commune denaissance dans le départementnaissance dans le département

8, 9, 108, 9, 10

98’82098’820

département de naissance métropolitaindépartement de naissance métropolitain(2A ou 2B pour la Corse)(2A ou 2B pour la Corse)

6, 76, 7

AA

1313mois de naissancemois de naissance4, 54, 5

100100deux derniers chiffres de l'année dedeux derniers chiffres de l'année denaissancenaissance

2, 32, 3

22sexe : 1 pour les hommes, 2 pour lessexe : 1 pour les hommes, 2 pour lesfemmesfemmes

11

TousTous

SignificationSignificationPositionsPositionsCasCas

Au maximumAu maximum 256’675’068’000256’675’068’000 possibilités (entropie inférieure à 38)possibilités (entropie inférieure à 38)

Numéro d'Identification au Répertoire en France (NIR)Numéro d'Identification au Répertoire en France (NIR)

7



Première transformation (T1)Première transformation (T1)

•• Si possible, laSi possible, la transformationtransformation T1T1 nene devraitdevrait paspasdépendredépendre d’uned’une cléclé secrètesecrète..

FonctionFonction cryptographiquecryptographique dede hachagehachage àà senssens uniqueuniquesanssans cléclé



Fautes d’orthographeFautes d’orthographe

•• JaquetJaquet--ChiffelleChiffelle

•• JaquetJaquet--ChiffeleChiffele

•• JaquetJaquet--ChifelleChifelle

•• JaquetJaquet--ChifeleChifele

•• JaquetJaquet--SchiffelleSchiffelle

•• JaquetJaquet--SchiffeleSchiffele

•• JaquetJaquet--SchifelleSchifelle

•• JaquetJaquet--SchifeleSchifele

•• JacquetJacquet--ChiffelleChiffelle

•• JacquetJacquet--ChiffeleChiffele

•• JacquetJacquet--ChifelleChifelle

•• JacquetJacquet--ChifeleChifele

•• JacquetJacquet--SchiffelleSchiffelle

•• JacquetJacquet--SchiffeleSchiffele

•• JacquetJacquet--SchifelleSchifelle

•• JacquetJacquet--SchifeleSchifele

8



Transformation robusteTransformation robuste

•• NeNe paspas différencierdifférencier lesles minusculesminuscules des majusculesdes majuscules

•• EliminerEliminer les accents, lesles accents, les espacesespaces, les traits, les traits d’uniond’union

•• RemplacerRemplacer toustous les “y” par des “i”les “y” par des “i”

•• ComprimerComprimer lesles doublonsdoublons–– “ff”“ff” devientdevient “f”“f”

–– ““ssss”” devientdevient “s”, etc.“s”, etc.

•• RemplacerRemplacer ““schsch”” ouou ““shsh” par “” par “chch””

•• RemplacerRemplacer–– ““aeae” par “a”” par “a”

–– ““ouou”” ouou ““ueue” par “u”” par “u”

•• EliminerEliminer les “h”les “h” saufsauf s’ilss’ils sontsont précédésprécédés de “c”de “c”

•• RemplacerRemplacer ““cqucqu” par “” par “ququ””

•• etc.etc.



Choix retenu pourChoix retenu pour T1T1

•• TransformationTransformation robusterobuste desdes donnéesdonnéesidentifiantesidentifiantes retenueretenue–– codecode SoundexSoundex dudu nom denom de famillefamille

–– codecode SoundexSoundex dudu prénomprénom

•• SHASHA--1 (1 (SSecureecure HHashash AAlgorithm)lgorithm)–– nene dépenddépend paspas d’uned’une cléclé secrètesecrète

•• CompressionCompression–– empreinteempreinte de 64 bitsde 64 bits

9



Validation (données réelles)Validation (données réelles)

•• TestTest réelréel sursur la base dela base de donnéesdonnées desdes HôpitauxHôpitauxUniversitairesUniversitaires dede GenèvesGenèves (HUG)(HUG) (Dr(Dr BorstBorst))

–– 222’000222’000 enregistrementsenregistrements

–– tauxtaux de collisionde collision < 0.3%< 0.3%

–– détectiondétection dede doublonsdoublons

•• EffetEffet positifpositif:: correction de la base decorrection de la base de donnéesdonnées desdesHôpitauxHôpitaux UniversitairesUniversitaires dede GenèveGenève



Transmission à l’Transmission à l’OFSOFS

HôpitalHôpital

DonnéesDonnéesidentifiantesidentifiantes

empreinteempreinte

T1T1

OFSOFS

empreinteempreinte

10



Vulnérabilités de T1Vulnérabilités de T1

•• La transformationLa transformation T1T1 nene devraitdevrait paspasdépendredépendre d’uned’une cléclé secrètesecrète..

•• CommeComme T1T1 nene dépenddépend paspas d’uned’une cléclé secrètesecrète,,l’empreintel’empreinte estest vulnérablevulnérable..–– AttaqueAttaque ponctuelleponctuelle

–– AttaqueAttaque parpar dictionnairedictionnaire

•• L’empreinte ne fait queL’empreinte ne fait que cachercacher l’identité.l’identité.

nécessiténécessité dede cryptercrypter lesles empreintesempreintes



Cryptage des empreintesCryptage des empreintes

IDEAIDEA

IInternationalnternational DDataata EEncryptionncryption AAlgorithmlgorithm

•• Algorithme de cryptage symétriqueAlgorithme de cryptage symétrique

•• CléClé de sessionde session secrètesecrète de 128 bitsde 128 bits

•• Entrée et sortie : blocs de 64 bitsEntrée et sortie : blocs de 64 bits

11



Code de liaison temporaireCode de liaison temporaire

HôpitalHôpital


empreinteempreinte

T1T1

Code de liaisonCode de liaisontemporairetemporaire


IDEA (128 bits)IDEA (128 bits)

OFSOFS



Clés de sessionClés de session

•• Utilisées par les hôpitaux pour crypter les empreintesUtilisées par les hôpitaux pour crypter les empreinteslors de leur transmission à l’lors de leur transmission à l’OFSOFS (codes de liaison(codes de liaisontemporairestemporaires))–– IDEA, clés de session de 128 bitsIDEA, clés de session de 128 bits

•• Transmises à l’Transmises à l’OFSOFS à l’aide d’un algorithme deà l’aide d’un algorithme decryptographie à clé publiquecryptographie à clé publique–– RSA, 1024 bitsRSA, 1024 bits

•• Permettent à l’Permettent à l’OFSOFS de retrouver les empreintes afin dede retrouver les empreintes afin decalculer les codes de liaison uniformes anonymescalculer les codes de liaison uniformes anonymes

12



Cryptographie à clé publiqueCryptographie à clé publique

HôpitalHôpital


empreinteempreinte

T1T1



IDEAIDEA

OFSOFS

Clé de session cryptéeClé de session cryptée

RSA, 1024 bitsRSA, 1024 bits empreinteempreinte



Choix retenu pourChoix retenu pour l’équivalentl’équivalentde T1 (en France)de T1 (en France)

•• Fonction d’anonymisation FOINFonction d’anonymisation FOIN (Fonction(Fonctiond’Occultation des Identifiants Nominatifs)d’Occultation des Identifiants Nominatifs)

•• Basée surBasée sur–– Le numéro de sécurité sociale d’assuréLe numéro de sécurité sociale d’assuré

–– La date de naissance du patientLa date de naissance du patient

–– Le sexe du patientLe sexe du patient

•• Fonction de hachage avecFonction de hachage avec clé secrète fixeclé secrète fixe

•• Clé secrète partagéeClé secrète partagée, mais, mais distribuée à tous lesdistribuée à tous leshôpitauxhôpitaux

13



Deuxième transformation (T2)Deuxième transformation (T2)

•• UtiliséeUtilisée parpar l’OFSl’OFS pourpour créercréer lele

code de liaison (code de liaison (uniformeuniforme)) anonymeanonyme

quiqui définitdéfinit lele code personnelcode personnel calculécalculé

•• DoitDoit dépendredépendre d’uned’une cléclé secrètesecrète KK

AA choixchoix ::

•• FonctionFonction dede hachagehachage avecavec cléclé secrète (F)secrète (F)–– “FOIN 2” en France“FOIN 2” en France

•• AlgorithmeAlgorithme dede cryptage (CH)cryptage (CH)



Choix retenu pourChoix retenu pour T2T2en Suisseen Suisse

IDEAIDEA

IInternationalnternational DDataata EEncryptionncryption AAlgorithmlgorithm

•• AlgorithmeAlgorithme dede cryptagecryptage symétriquesymétrique

•• CléClé secrètesecrète KK de 128 bitsde 128 bits

•• Entrée et sortie : blocs de 64 bitsEntrée et sortie : blocs de 64 bits

14



Code de liaison anonymeCode de liaison anonyme

HôpitalHôpital


empreinteempreinte

T1T1



IDEAIDEA

OFSOFS

Clé de session cryptéeClé de session cryptée

RSA, 1024 bitsRSA, 1024 bits empreinteempreinte

Code de liaisonCode de liaisonanonymeanonyme

T2T2IDEAIDEA

(clé(clé K)K)

Code personnelCode personnelcalculécalculé



Partage de secretPartage de secret

•• LaLa clé RSA privée de l’clé RSA privée de l’OFSOFS (utilisée pour décoder(utilisée pour décoderles codes de liaison temporaires) etles codes de liaison temporaires) et

•• lala clé secrète K de l’clé secrète K de l’OFSOFS (utilisée pour calculer les(utilisée pour calculer lescodes decodes de liaisonliaison uniformes anonymes à partir desuniformes anonymes à partir desempreintes, c’estempreintes, c’est--àà--dire les codes personnelsdire les codes personnelscalculés)calculés)

constituent ensemble unconstituent ensemble un secret sensiblesecret sensible..

Dans notre protocole,Dans notre protocole, ce secret est partagé.ce secret est partagé.

15



•• Bonne méthode:Bonne méthode:

•• MauvaiseMauvaise stratégiestratégie......

100101101110001011

100101101110001011

001100110100101101010011101001100100

111010110011000010

100101101110001011 secretsecret

aléatoirealéatoire

aléatoirealéatoire

XORXOR

PartsParts

Comment partager un secretComment partager un secret



Situation actuelleSituation actuelle

•• Tous les hôpitaux de Suisse ont homologué leursTous les hôpitaux de Suisse ont homologué leursmodules cryptographiques (en fait dès 1999)modules cryptographiques (en fait dès 1999)

•• Tous les hôpitaux de Suisse (actuellementTous les hôpitaux de Suisse (actuellement 321321hôpitaux) utilisent ce système pour transmettre leurshôpitaux) utilisent ce système pour transmettre leursdonnées à l’données à l’OFSOFS

•• D’autresD’autres organisationsorganisations s’intéressents’intéressent àà cece systèmesystème((exemplesexemples : assurances,: assurances, départementdépartement de justice etde justice etpolice, etc.).police, etc.).

16



Utilisation en SuisseUtilisation en Suisse

•• 1998: Première utilisation du système à grande échelle1998: Première utilisation du système à grande échelle(environ 38% de(environ 38% de toustous lesles cascas d’hospitalisationd’hospitalisation).).

•• 2006:2006: LeLe systèmesystème aa permispermis auxaux hôpitauxhôpitaux dede transmettretransmettre1’240’6781’240’678 cascas ((statistiquestatistique exhaustive,exhaustive, 100% des100% des cascas).).–– CesCes 1’240’6781’240’678 cascas concernentconcernent seulementseulement 899’454899’454 patients.patients.



Hospitalisations multiples en Suisse

Année 2006 (statistique exhaustive)

Nb de séjours Nb de patientsTaux hospital.

multiplesNb de cas

1 692'252 77.8% 692'252

2 136'489 272'978

3 40'412 121'236

4 15'964 63'856

5 6'869 34'345

6 3’358 20'148

7 1’755 12'285

8 943 7'544

9 519 4’671

10 311 3’110

11+ 582

22,2%

8’256

Total 889'454 100% 1'240’678

Cas exclus (patients mal codés) : « 0000 » 127

Distribution statistique (2006)Distribution statistique (2006)

Donnéespubliées enmars 2008

17






•• 2007: Le système a permis aux hôpitaux de transmettre2007: Le système a permis aux hôpitaux de transmettre1’279’918 cas1’279’918 cas (statistique exhaustive,(statistique exhaustive, 100% des cas100% des cas).).–– CesCes 1’279’918 cas1’279’918 cas concernent seulementconcernent seulement 923’529 patients.923’529 patients.



Hospitalisations multiples en Suisse

Année 2007 (statistique exhaustive)

Nb de séjours Nb de patientsTaux hospital.

multiplesNb de cas

1 708’282 76.7% 708'282

2 141’047 282'094

3 42’330 126'990

4 16’670 66'680

5 7’192 35'960

6 3’600 21'600

7 1’886 13'202

8 1‘043 8'344

9 497 4’473

10 345 3’450

11+ 637

23,3%

8’843

Total 923'529 100% 1'279’918

Cas exclus (patients mal codés) : « 0000 » 112

Distribution statistiqueDistribution statistique (2007)(2007)

Donnéespubliées enmars 2009

18






•• 2007: Le système a permis aux hôpitaux de transmettre2007: Le système a permis aux hôpitaux de transmettre1’279’918 cas1’279’918 cas (statistique exhaustive,(statistique exhaustive, 100% des cas100% des cas).).–– CesCes 1’279’918 cas1’279’918 cas concernent seulementconcernent seulement 923’529 patients.923’529 patients.

•• Les codes de liaisonLes codes de liaison anonymesanonymes permettentpermettent dede décriredécriretrèstrès précisémentprécisément lala distribution desdistribution des hospitalisationshospitalisationsmultiplesmultiples sanssans révélerrévéler l’identitél’identité des patients.des patients.



ConclusionConclusion

•• Le code de liaison anonymeLe code de liaison anonyme–– permet de reconnaîtrepermet de reconnaître les cas d’hospitalisations multiplesles cas d’hospitalisations multiples

–– garantitgarantit l’anonymat des patientsl’anonymat des patients, avec un haut niveau de, avec un haut niveau desécuritésécurité

–– introduit un léger bruit dans les donnéesintroduit un léger bruit dans les données

•• ce qui augmente encore le niveau de protection des donnéesce qui augmente encore le niveau de protection des données

•• sans affecter les études statistiquessans affecter les études statistiques

–– estest adaptableadaptable à des contextes comparables (assurances,à des contextes comparables (assurances,système judiciaire, etc.)système judiciaire, etc.)

•• Tous lesTous les algorithmes utilisés sont publicsalgorithmes utilisés sont publics

19



[email protected]

Questions ?Questions ?

ofs dijon 20090504 - u-bourgogne.frinserm-u1231.u-bourgogne.fr/doc/ofs dijon_20090504.pdf2009/05/04...

Documents