La sécurité des soins suppose de pouvoir garantir qu’une personne est bel et bien le patient connu du système d’information. Les règles d’identitovigilance, désormais posées par le référentiel national d’identitovigilance, ont été élaborées à cette fin. Elles restent toutefois d’application délicate. Le Graal de l’identité qualifiée – supposant notamment le recours à « un dispositif à haut degré de confiance » – est en effet loin d’être systématiquement atteint.
De récentes décisions militent, malgré cette difficulté, en faveur de l’application de critères aussi stricts, en matière de protection des données.
Dans une décision du 10 juillet dernier, la “CNIL islandaise » a ainsi rappelé que le seul nom de la personne concernée ne suffit pas à garantir une identification personnelle sûre dans les transactions bancaires. Consécutivement, elle a rejeté la plainte d’une personne contestant le traitement du « numéro de sécurité sociale » local à des fins d’identification des personnes (APD islandaise, 10 juillet 2023, Landsbankinn hf, n° 2021061295). Si la généralisation de cette solution est exclue en France depuis l’affaire SAFARI, le principe sous-jacent n’en demeure pas moins vrai.
Inversement, le seul identifiant national de santé ne peut suffire à identifier une personne. Ici, c’est l’autorité de protection des données lettonne qui l’a rappelé à son service national de santé, auquel était demandée la communication de données concernant un patient (DVI, 22 mai 2023, n° Nacionālajam veselības dienestam). Là encore, le principe est unanimement accepté et transposé dans le droit de la santé français.
Partant, qu’il s’agisse d’un patient ou d’une personne concernée, l’identité doit impérativement être vérifiée en fonction de différents traits. Seule la concordance de ces traits doit ainsi permettre de verser un document au dossier médical (GPDP, 23 janvier 2023, Rovigo Hospital, n° 9861289), de communiquer des données… et, pourquoi pas, de répondre à une demande de la personne concernée.