WO2006030122A2 - Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees - Google Patents

Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees Download PDF

Info

Publication number
WO2006030122A2
WO2006030122A2 PCT/FR2005/002252 FR2005002252W WO2006030122A2 WO 2006030122 A2 WO2006030122 A2 WO 2006030122A2 FR 2005002252 W FR2005002252 W FR 2005002252W WO 2006030122 A2 WO2006030122 A2 WO 2006030122A2
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
data
individual
coded
local
Prior art date
Application number
PCT/FR2005/002252
Other languages
English (en)
Other versions
WO2006030122A3 (fr
Inventor
Olivier Cohen
Catherine Quantin
Original Assignee
Universite De Bourgogne
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universite De Bourgogne filed Critical Universite De Bourgogne
Priority to EP05802746A priority Critical patent/EP1787231A2/fr
Publication of WO2006030122A2 publication Critical patent/WO2006030122A2/fr
Publication of WO2006030122A3 publication Critical patent/WO2006030122A3/fr
Priority to US11/683,003 priority patent/US8229764B2/en

Links

Classifications

    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/60ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices
    • G16H40/67ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the operation of medical equipment or devices for remote operation
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records

Abstract

Procédé d'identification de données relatives à des individus pour réaliser des chaînages entre ces données, consistant à créer, dans un centre local (10) de recueil de données, un premier identifiant codé (l1) d'un individu à partir de données d'identification de cet individu, de son père et de sa mère, à transmettre ce premier identifiant (l1) à une unité centrale (12) et à créer dans cette unité centrale un second identifiant codé (l2) enregistré dans une base de données (24), et à réaliser des chaînages des données par comparaison des seconds identifiants (l2) enregistrés dans la base de données (24). L'invention s'applique au traitement de données à composante familiale des individus.

Description

PROCEDE D'IDENTIFICATION DE DONNEES RELATIVES A DES INDIVIDUS POUR LA REALISATION DE CHAINAGES
DE CES DONNEES
L'invention concerne un procédé d'identification de données relatives à des individus pour la réalisation de chaînages de ces données au moyen d'un système de traitement de l'information comprenant des centres locaux de recueil de données, une unité centrale de regroupement des données et des moyens de transmission de données entre les centres locaux et l'unité centrale.
Les données relatives à des individus, sur lesquelles il faut réaliser des chaînages, peuvent être, en particulier mais non exclusivement, des informations médicales.
Actuellement, les centres médicaux sont équipés de systèmes informatiques comprenant des bases de données dans lesquelles sont enregistrées des données contenues dans les dossiers des patients et qui sont utilisées avec des logiciels plus ou moins complexes pour faire des recherches, des tris, des regroupements, des classements, des statistiques, etc. Ces traitements sont en général suffisants pour la gestion des dossiers des patients dans les centres médicaux et les hôpitaux, mais ne répondent pas aux besoins de certains centres spécialisés tels que les centres de génétique où les données à enregistrer sur un individu doivent comprendre une composante permettant de reconstituer une dimension familiale, essentielle pour l'étude des maladies génétiques, des maladies complexes multifactorielles et de la pharmacogénétique.
La reconstitution de ces dimensions familiales impose de réaliser de façon fiable et sûre des chaînages de données relatives aux individus d'une même famille. Il faut également pouvoir réaliser des chaînages des données relatives à un même individu et qui sont enregistrées dans des centres différents. II est aussi nécessaire de pouvoir coder ou crypter ces données de façon sûre pour assurer leur confidentialité, tout en respectant les règlements en vigueur permettant l'accès par des patients aux données médicales qui les concernent. La présente invention a notamment pour but de répondre à ce besoin.
Elle propose, à cet effet, un procédé d'identification de données relatives à des individus pour la réalisation de chaînages de ces données au moyen de serveurs, de bases de données et de moyens de transmission de données, caractérisé en ce qu'il consiste :
- à utiliser un système de traitement de l'information comprenant des centres locaux de recueil de données, équipés chacun d'un serveur et d'une base de données locale, une unité centrale de regroupement de données équipée d'un serveur et d'une base de données centrale, et des moyens de transmission de données entre les centres locaux et l'unité centrale, chaque centre local comprenant des moyens pour créer un premier identifiant codé d'un individu par application d'un algorithme de codage à des données d'identification de l'individu, telles que son nom, son prénom et sa date de naissance, et à des données d'identification du père et de la mère de l'individu, telles que leurs noms, prénoms et dates de naissance,
- à transmettre par les moyens de transmission précités ce premier identifiant codé avec un numéro d'ordre et un identifiant du centre local à l'unité centrale qui comprend des moyens pour créer un second identifiant codé de l'individu par application d'un algorithme de codage au premier identifiant codé et pour enregistrer dans la base de données centrale le second identifiant codé à la place du premier identifiant codé ainsi qu'une correspondance entre le second identifiant, le numéro d'ordre précité du premier identifiant et l'identifiant du centre local, - et à comparer les seconds identifiants dans l'unité centrale pour réaliser des chaînages individuels et familiaux des données. Dans le procédé selon l'invention, la création d'un identifiant d'un individu à partir de données d'identification de cet individu et de données d'identification de ses père et mère, permet la réalisation d'un chaînage familial des données concernant l'individu et de celles concernant ses père et mère à partir d'une simple comparaison des identifiants, ainsi qu'un chaînage individuel des données relatives à un individu, et cela de façon sûre et fiable en évitant les chaînages erronés.
On peut en effet considérer que les risques de confusion entre des individus différents sont nuls quand les identifiants des individus comprennent trois triplets de variables comprenant un triplet de données d'identification de l'individu, un triplet de données d'identification de son père et un triplet de données d'identification de sa mère.
Les données d'identification les plus fiables sont le nom de famille, le prénom et la date de naissance (le nom de famille étant dans ce cas le nom de naissance par opposition au nom d'usage ou de mariage, et le prénom étant le premier prénom de l'individu et non pas un second ou troisième prénom ou un surnom), comme cela a déjà été vérifié par plusieurs études.
Lorsque, conformément à l'invention, un identifiant d'un individu est créé à partir de son nom, de son prénom, de sa date de naissance et des noms, prénoms et dates de naissance de ses père et mère, la possibilité que deux individus différents aient le même identifiant peut être considérée comme nulle (en l'absence d'erreurs de saisie).
De plus, la création d'un premier identifiant codé dans le centre local de recueil de données assure l'anonymat des informations enregistrées dans la base de données de ce centre local, et la création d'un second identifiant codé à partir du premier identifiant codé, dans l'unité centrale, assure la protection des informations enregistrées dans la base de données de l'unité centrale et leur anonymat strict, même à l'égard des personnes ayant connaissance de l'algorithme de codage utilisé pour la création du premier identifiant, et également à l'égard des personnes ayant connaissance de l'algorithme de codage utilisé pour la création du second identifiant, puisque cet algorithme est appliqué au codage de données déjà codées et anonymes.
Selon une autre caractéristique de l'invention, le ou chaque algorithme de codage précité est mathématiquement irréversible.
Selon encore une autre caractéristique de l'invention, le procédé consiste à créer les premier et second identifiants de l'individu par application aux données d'identification précitées d'un algorithme de codage et d'une clé de codage déterminée de façon unique en fonction des données à coder.
Cela permet d'assurer la protection et l'anonymat des données codées contre toute tentative de décryptage, y compris ce que l'on appelle les « attaques par dictionnaire », qui consistent à appliquer un algorithme de codage à un grand nombre de données d'identification et à comparer les identifiants codés ainsi obtenus à un identifiant codé enregistré dans la base de données, pour retrouver l'identité de l'individu correspondant. La combinaison de cet algorithme de codage et d'une clé de codage qui varie d'un individu à l'autre, mais qui sera toujours la même pour un individu donné permet d'éviter qu'une personne qui a connaissance de l'algorithme de codage puisse accéder à l'identité d'un individu si elle ne connaît pas la clé de codage qui a été utilisée pour créer l'identifiant de l'individu. Comme dans le procédé selon l'invention, les premiers identifiants qui ont été codés au moyen d'un algorithme de codage et d'une première clé de codage, sont à nouveau codés au moyen d'un algorithme de codage et d'une autre clé de codage, l'anonymat des données enregistrées dans la base de données de l'unité centrale est protégée de façon totale et définitive.
Selon encore une autre caractéristique de l'invention, le procédé consiste à associer au premier identifiant codé transmis par le centre local de recueil de données, un nombre correspondant à un ordre de présentation des champs constituant ce premier identifiant et à créer le second identifiant de l'individu en codant les champs du premier identifiant dans l'ordre déterminé par le nombre précité associé à cet identifiant.
Le second identifiant de l'individu comprend des champs contenant des données codées correspondant aux données déjà codées du premier identifiant, et un champ supplémentaire contenant le nombre précité qui définit l'ordre de codage des champs du premier identifiant.
Dans un mode de réalisation préféré de l'invention, les premiers identifiants d'individus qui sont créés dans un centre local, sont enregistrés dans une base de données du centre local et sont transmis à l'unité centrale après sélection et validation par une personne autorisée. De préférence, la transmission des informations entre le centre local et l'unité centrale est faite en utilisant des moyens sécurisés.
Les premiers identifiants codés qui sont transmis à l'unité centrale sont enregistrés dans une base de données de cette unité centrale, puis font l'objet d'une sélection et d'une validation de sélection par une personne autorisée avant d'être traités en vue de la création des seconds identifiants codés.
Dans la pratique, il est prévu de remettre à chaque individu dont le premier identifiant codé a été créé dans un centre local, une carte comportant cet identifiant et/ou les données d'identification qui ont été utilisées pour créer cet identifiant, la carte pouvant être d'un type quelconque, par exemple à puce, à bande magnétique, à code barres, etc.
Lorsque, dans un centre local, on souhaite accéder à des données concernant un individu dont un identifiant a été enregistré dans la base de données de ce centre local, le procédé selon l'invention consiste à utiliser le premier identifiant codé de l'individu, figurant sur la carte remise à l'individu, ou bien à recréer cet identifiant à partir des données d'identification figurant sur cette carte.
Lorsqu'il faut, dans un centre local, accéder à des données concernant un individu, qui ont été enregistrées dans la base de données d'un autre centre local de recueil de données, le procédé selon l'invention consiste à recréer le premier identifiant codé de l'individu et à l'utiliser pour rechercher les données relatives à cet individu.
Lorsque un individu accompagné par un médecin souhaite accéder à des données relatives à cet individu qui ont été enregistrées dans la base
de données de l'unité centrale, le procédé selon l'invention consiste à envoyer le premier identifiant codé de l'individu, qui a été recréé ou saisi sur la carte remise à l'individu, à l'unité centrale avec une demande de génération du second identifiant codé dans un délai donné, à vérifier qu'aucune modification non anodine des données n'a eu lieu depuis la demande d'accès et, si oui, à informer le demandeur de la disponibilité des données et à lui demander de se reconnecter à l'unité centrale pour consulter les données.
Cette procédure permet de respecter la loi française du 4 mars 2002, relative aux malades et à la qualité du système hospitalier et selon laquelle un patient doit pouvoir accéder à des données le concernant, non seulement par l'intermédiaire de son médecin mais aussi directement, après un délai de réflexion de 48 heures entre la demande d'accès et la délivrance des informations, cette délivrance ne pouvant avoir lieu moins de 48 heures après une modification non anodine desdites informations.
Le procédé selon l'invention est applicable, non seulement au traitement de données médicales relatives à des individus, mais également au traitement de données administratives, fiscales, ou autres relatives à des individus, chaque fois qu'il est utile ou nécessaire d'utiliser une dimension familiale, par exemple dans le domaine des impôts, des assurances, de la gestion de patrimoine, etc. L'invention sera mieux comprise et d'autres caractéristiques, détails et avantages de celle-ci apparaîtront plus clairement à la lecture de la description qui suit, faite à titre d'exemple en référence aux dessins annexés dans lesquels :
- la figure 1 illustre schématiquement les principales étapes de création d'un premier et d'un second identifiant codés selon l'invention ;
- la figure 2 illustre schématiquement les principales étapes de l'accès à un dossier enregistré dans une base de données locale ;
- la figure 3 illustre schématiquement les principales étapes d'un accès à des données enregistrées dans une base de données centrale ;
- la figure 4 est un organigramme représentant schématiquement les principales étapes du procédé selon l'invention.
On se réfère d'abord à la figure 1 , dans laquelle la référence 10 désigne un centre local de recueil de données, qui est relié par des moyens de transmission d'informations tels par exemple qu'un réseau de télécommunication, à une unité centrale 12 reliée également par les moyens précités de transmission de données à une pluralité d'autres centres locaux 10 de recueil de données.
Chaque centre local 10 comprend un serveur 14 auquel sont connectés des terminaux 16 et une base de données locale 18.
L'unité centrale 12 comprend un serveur 20 auquel sont connectés des terminaux 22 et une base de données centrale 24.
Lorsqu'un patient 26 se présente à un centre local 10 de recueil de données, un premier identifiant codé 11 de cet individu est créé par saisie de données d'identification de l'individu sur un terminal 16 installé au bureau d'accueil de ce centre local 10. Les données d'identification de l'individu 26 comprennent son nom (il s'agit de son nom de naissance et non de son nom d'usage ou de son nom de mariage), son prénom (il s'agit de son premier prénom inscrit à l'état civil et non d'un surnom ou d'un second ou troisième prénom), et sa date de naissance, ainsi que les noms, prénoms et dates de naissance de son père et de sa mère.
De préférence, pour assurer la fiabilité de cette saisie, l'individu 26 remettra une fiche familiale d'état civil à la personne chargée de la saisie sur le terminal 16 ou tout autre document indiquant de façon certaine l'identité de l'individu 26 et celles de son père et de sa mère. Si l'individu 26 ne dispose pas de ce genre de document, il lui sera demandé de revenir avec le document en question ou de le faire parvenir au centre local 10 pour vérification des données qui ont été saisies.
De plus, la saisie des données sur le terminal 16 se fera par une procédure comprenant l'attribution d'un niveau de qualité aux données saisies, ce niveau de qualité tenant compte, par exemple, de la présentation ou de la non-présentation d'une carte d'identité de l'individu, de l'identité de la personne qui fait la saisie des données, de son niveau de compétence, etc.
Cela permet notamment, s'il y a risque de confusion entre deux individus, de consulter le niveau de qualité de la saisie des données d'identification pour déterminer la saisie la moins fiable et lancer une vérification des données saisies dont le niveau de qualité est le plus faible, avant de valider ou non un chaînage utilisant ces données.
On peut également prévoir, lorsque la saisie des données d'identification d'un individu a été faite sur le terminal 26, une impression des données saisies pour que l'individu puisse vérifier leur exactitude. Lorsque la saisie a été validée, le premier identifiant codé 11 correspondant à l'individu 26 est créé et une carte comportant cet identifiant ainsi qu'éventuellement les données d'identification correspondantes est remise à l'individu 26, cette carte étant par exemple une carte à puce, une carte à bande magnétique, une carte imprimée avec des données en clair ou sous forme d'un code barres, etc.
Le premier identifiant codé 11 est codé de la façon suivante : On applique un algorithme de codage et, de préférence, une première clé de codage aux trois triplets de variables formés par les données d'identification de l'individu et de ses père et mère. L'algorithme de codage est par exemple un algorithme de hachage tel que le SHA (Standard Hash Algorithm) qui est mathématiquement irréversible. Les trois données d'identification d'un individu (son nom, son prénom et sa date de naissance) sont hachées individuellement, pour conserver un niveau de sécurité élevé et aussi pour pouvoir repérer ultérieurement, lors d'un chaînage, des éventuelles erreurs de saisie et des données manquantes (par exemple en cas de non-connaissance de la date de naissance de l'individu).
Une première clé de codage est associée à cet algorithme et est déterminée en fonction des données à coder de façon à être unique pour ces données. Par exemple, cette clé de codage est obtenue à partir d'une matrice de caractères enregistrés dans un fichier appelé « fichier clé ».
Pour chaque donnée à hacher, la sélection dans ce fichier des caractères qui vont constituer la clé spécifique associée au hachage de la donnée, est faite par un algorithme qui tient compte de la longueur de la donnée et de la valeur et des positions des caractères constituant la donnée. Le fichier clé contenant les caractères à partir desquels la clé de codage est constituée, est généré de façon aléatoire.
La clé de codage K1 permet de brouiller l'algorithme de codage pour éviter les « attaques par dictionnaire », comme indiqué plus haut. Le résultat du codage correspond à la concaténation des résultats du codage des différentes variables formées par les données d'identification de l'individu, de son père et de sa mère.
La génération de l'identifiant codé 11 est réalisée sur le. terminal 16, puis un enregistrement des données saisies et validées est envoyé à la base de données locales 18 par l'intermédiaire du serveur 14, puis, lorsqu'une demande de fermeture du dossier est générée depuis le terminal 16, les données qui ont été transférées à la base de données 18 sont supprimées du terminal 16.
Ensuite, une personne responsable du centre local 10 demande, par exemple à partir d'un autre terminal 16a, la liste des données qui ont été enregistrées dans la base de données locale 18 et qui n'ont pas été transmises à l'unité centrale 12. Ces données sont transférées par le serveur 14 au terminal 16a du responsable, qui sélectionne les données à transférer à l'unité centrale 12 et valide sa sélection. Ensuite, le serveur 14 va chercher dans la base de données locale
18 les données relatives à chaque individu qui sont à transférer, et crée un fichier par individu. Ce fichier est transféré à l'unité centrale 12 par des moyens de transmission de données habituels, par exemple par un réseau de télécommunication, la transmission ayant lieu de préférence sous forme sécurisée. Les données relatives à un individu qui sont transférées à l'unité centrale 12 comprennent le premier identifiant codé 11 de l'individu, un numéro d'ordre qui est le numéro d'enregistrement de ces données dans la base de données 18, et un identifiant du centre local 10, cet identifiant pouvant être l'identité de la personne responsable du centre local. Les données médicales correspondantes sont bien entendu transférées avec ces données d'identification.
A réception de ces données, le serveur 20 de l'unité centrale 12 envoie un accusé de réception au serveur 14 du centre local 10 et enregistre dans la base de données centrale 24 les données qui viennent d'être reçues.
Une personne responsable ou habilitée de l'unité centrale 12 demande au serveur 20, au moyen d'un terminal 22, la liste des données qui ont été reçues récemment et qui n'ont pas encore été traitées et reçoit en retour cette liste sur le terminal 22. La personne responsable ou habilitée sélectionne alors les données qu'elle veut traiter et valide sa sélection, cette validation entraînant la génération d'un nombre entier pour chaque individu concerné, ce nombre étant compris entre 0 et 999999 et correspondant à l'ordre de codage dans l'unité centrale des champs de données constituant le premier identifiant codé 11.
Lorsque cet identifiant comprend 9 champs de données (3 champs de données d'identification de l'individu, 3 champs de données d'identification de son père et 3 champs de données d'identification de sa mère), le nombre de combinaisons possibles de ces 9 champs est égal à 9 ! soit 362880. On utilise une table de correspondance entre chaque combinaison possible et un nombre à six caractères. L'initialisation de la table de correspondance est réalisée de façon aléatoire, ce qui permet d'utiliser toute la plage possible de nombres (entre 0 et 999999) sans se limiter aux nombres compris entre 0 et 362880.
La liste des individus sélectionnés et les nombres correspondants sont envoyés du terminal 22 à la base de données centrale 24 qui renvoie au terminal 22, pour chaque individu sélectionné, le premier identifiant codé
11 de cet individu et le nombre précité associé avec l'ordre des 9 champs à coder pour la génération du second identifiant 12 de cet individu.
Ce second identifiant 12 est généré à partir d'un algorithme de hachage qui peut être le même que celui utilisé dans le centre local 10 et d'une clé de codage K2 qui est disponible uniquement sur le terminal 22 de la personne responsable ou habilitée précitée, cette clé de codage K2 étant générée selon le même principe que la première clé de codage K1.
Le second identifiant codé 12 de l'individu comprend 10 champs de données, les 9 premiers champs contenant les données codées d'identification, et le dixième champ contenant le nombre entier qui définit l'ordre des 9 premiers champs.
Lorsque les seconds identifiants codés 12 sont générés sur le terminal 22, ils sont envoyés au serveur 20 de l'unité centrale avec les premiers identifiants codés 11 correspondants. Le serveur 20 écrase alors les valeurs des premiers identifiants codés 11 par les valeurs des seconds identifiants codés 12 correspondants. Ensuite, les données correspondantes sont supprimées du terminal 22 de la personne responsable ou habilitée. Une table de correspondance entre le numéro d'ordre du premier identifiant codé 11 (ou numéro d'enregistrement des données dans la base locale 18), l'identification du centre local 10 et le second identifiant codé 12 est créée pour faciliter une éventuelle correspondance avec le centre local 10 en cas de problème de chaînage.
Lorsqu'un second identifiant codé 12 a été enregistré dans la base de données centrale 24, il devient possible de réaliser des chaînages familiaux et individuels concernant cet identifiant par comparaison aux seconds identifiants codés déjà enregistrés dans la base de données 24.
Ces chaînages sont réalisés au moyen du serveur 20 et permettent de construire l'arbre généalogique d'un individu, d'un point de vue vertical,
c'est-à-dire en le reliant à ses ascendants et à ses descendants, et d'un point de vue horizontal, c'est-à-dire en le reliant à ses frères et soeurs éventuels par un tri sur la date de naissance des individus ayant les mêmes parents, à ses demi-frères et demi-sœurs éventuels en effectuant un tri sur la date de naissance des individus ayant un père ou une mère en commun, et également de déterminer les couples sans enfant (par la lecture des champs correspondant au conjoint dans l'identifiant de la famille, les fausses couches et la stérilité étant renseignées par les données médicales contenues dans les dossiers des individus).
Le chaînage individuel consiste à regrouper les données qui proviennent de plusieurs centres locaux différents et qui concernent un même individu. Lorsqu'on trouve le même identifiant associé à des données différentes, on peut procéder à la fusion de ces données, qui concernent en principe le même individu, mais après des vérifications qui permettront de détecter d'éventuelles erreurs de saisie et de les corriger.
Pour les chaînages individuels, les 9 champs de données constituant un identifiant codé ne seront peut-être pas tous utilisés, le choix de ces champs dépendant des données manquantes dans certains champs et aussi de la qualité des données enregistrées initialement.
Conformément aux lois en vigueur en France, un individu a un droit d'accès aux informations médicales le concernant, sous certaines conditions.
Lorsqu'un individu 26 se présente à un centre local 10 où il a été préalablement enregistré, il dispose en principe d'une carte et la présente à l'accueil (figure 2). Si son premier identifiant codé 11 figure sur la carte, cet identifiant est saisi au moyen du terminal 16 de l'accueil et est transmis au serveur local 14 qui va rechercher le dossier correspondant dans la base de données locale 18. Lorsque le serveur 14 a trouvé ce dossier, il transmet le dossier administratif correspondant au terminal 16 de l'accueil. Si le serveur 14 ne trouve pas le dossier correspondant, c'est qu'une erreur a été commise lors de la saisie de l'identifiant, si celle-ci a été faite manuellement. Si la carte détenue par un individu ne comprend pas son identifiant codé, mais uniquement des données d'identification de cet individu et de ses parents, ces données sont saisies, manuellement ou par lecture de code barres, et son premier identifiant codé 11 est à nouveau généré sur le terminal 16 et envoyé au serveur 14 qui va rechercher le dossier correspondant dans la base de données 18.
Lorsqu'un individu qui a été déjà enregistré dans un centre local 10 se présente dans un autre centre local 10 pour accéder à des données médicales le concernant, on procède à l'accueil dans cet autre centre à la création d'un dossier et d'un identifiant codé comme décrit en référence à la figure 1 , cet identifiant devant correspondre à celui qui a déjà été créé dans le premier centre. Les données recherchées sont obtenues par l'intermédiaire de l'unité centrale 12.
Un médecin a la possibilité d'utiliser le terminal 16 de l'accueil d'un centre local 10 pour accéder à des données de ses patients qui sont enregistrées dans la base de données locale 18 de ce centre local. Au moyen du terminal 16, le médecin envoie au serveur 14 les données d'identification du patient, le serveur 14 cherche un dossier correspondant dans la base de données locale 18 et informe le médecin des résultats de la recherche sur le terminal 16 puis le médecin renvoie par le terminal 16 au serveur 14 une demande de consultation du dossier, qui lui est alors transmis par le serveur 14. .
Un individu 26 peut également avoir accès aux données médicales le concernant, qui ont été enregistrées dans la base de données 24 de l'unité centrale 12. Pour cela, comme représenté en figure 3, il peut être accompagné par un médecin 28 qui peut lui-même disposer d'un dossier familial concernant l'individu 26, enregistré dans la base de données 24 de l'unité centrale 12 et auquel le médecin peut avoir accès de façon classique.
Si le médecin ne dispose pas d'un tel dossier de son patient, il lui faudra utiliser un terminal 16 d'un centre local 10 pour générer de la façon précitée le premier identifiant codé 11 de l'individu 26 et le transmettre au serveur 20 de l'unité centrale 12 en adressant à la personne responsable ou habilitée de cette unité centrale une demande de génération du second identifiant codé 12 de l'individu 26 dans un délai qui est par exemple de cinq jours ouvrés au maximum et d'au moins 48 heures, à condition qu'aucune modification non anodine des données médicales concernant l'individu 26 n'ait été enregistrée après la demande d'accès et qu'aucune interdiction de consultation de ces données par l'individu n'ait été préalablement faite par un médecin.
La demande de consultation des données est transmise par le serveur 20 au terminal 22 de la personne responsable ou habilitée qui génère sur ce terminal l'identifiant codé 12 de l'individu 26 et l'envoie au serveur 20. Celui-ci vérifie qu'aucune modification non anodine des données médicales n'a eu lieu et que le dossier ne fait pas l'objet d'une interdiction de consultation par le patient après quoi il envoie au terminal 16 du centre local 10 une information de disponibilité du dossier et invite le médecin 28 à se reconnecter au serveur 20 dans un délai donné.
Le médecin 28 peut alors utiliser le terminal 16 du centre local 10 pour se reconnecter au serveur 20 et accéder au dossier du patient contenu dans la base de données 24. Lorsqu'un médecin se connecte au serveur 20 de l'unité centrale 12 sans être accompagné de son patient, il ne peut accéder en écriture qu'aux données relatives à son patient qu'il a lui-même transmises à l'unité centrale 12. Le médecin peut accéder aux autres données relatives à son patient, contenues dans la base de données 24, mais en lecture seule. Si le médecin désire accéder à d'éventuelles autres données relatives à son patient et transférées par d'autres centres locaux 10, il devra demander à consulter le chaînage individuel des données relatives à son patient à partir de son dossier.
Les principales étapes de génération du premier et du second identifiant codés d'un individu sont rappelées dans l'organigramme de la figure 4.
La première étape 30 consiste à générer le premier identifiant codé
11 sur le terminal 16 du centre local 10 à partir du nom, du prénom et de la date de naissance de l'individu 26, des noms, prénoms et dates de naissance de son père et de sa mère et de la clé de codage K1 associée à ces données.
La deuxième étape 32 consiste à enregistrer dans la base de données locale 18 des données saisies et validées et le premier identifiant codé 11 de l'individu.
La troisième étape 34 est une demande, par le responsable du centre local 10, d'une liste de données en attente de transfert vers l'unité centrale 12.
L'étape suivante 36 est l'envoi de cette liste par le serveur 14 sur le terminal 16a du responsable.
L'étape suivante 38 consiste en une sélection par le responsable des données à transférer et en une validation de la sélection.
L'étape suivante 40 est la création, par le serveur local 14, d'un fichier par individu, comprenant le premier identifiant codé 11 , un numéro d'ordre et l'identification du centre local 10 ou de son responsable, et l'envoi de ce fichier à l'unité centrale 12 par une connexion sécurisée. L'étape suivante 42 consiste en une réception du fichier par le serveur 20 de l'unité centrale 12 et l'envoi d'un accusé de réception au serveur local 14.
L'étape suivante 44 est une demande, par la personne responsable sur son terminal 22, de la liste des données reçues non encore traitées. A l'étape suivante 46, la liste est envoyée par le serveur 20 sur le terminal 22 de la personne responsable. A l'étape suivante 48, la personne responsable sélectionne les données qu'elle veut traiter, ce qui provoque la génération d'un nombre entier pour chaque individu concerné, ce nombre étant compris entre 0 et
999999 et correspondant à l'ordre de codage des 9 champs du premier identifiant codé 11.
L'étape suivante 50 est l'envoi d'une liste d'individus sélectionnés et des nombres associés du terminal 22 à la base de données 24 par l'intermédiaire du serveur 20.
A l'étape suivante 52, le serveur 20 envoie au terminal 22 le premier identifiant codé 11 de chaque individu sélectionné ainsi que le nombre associé représentant l'ordre de codage des champs de cet identifiant dans le second identifiant 12.
L'étape suivante 54 est la génération sur le terminal 22 du second identifiant codé 12 à partir de la seconde clé de codage K2 et des champs de données constituant le premier identifiant codé 11.
L'étape suivante 56 est l'envoi du second identifiant codé 12 et du premier identifiant 11 au serveur 20 qui remplace alors les valeurs de 11 par celles de 12 et qui supprime les données correspondantes du terminal 22 de la personne responsable et renseigne une table de correspondance entre l'ordre d'arrivée de 11, le centre local 10 qui a envoyé 11 et le second identifiant codé 12.
Après enregistrement de 12 et des valeurs de la table de correspondance dans la base de données 24, le serveur 20 de l'unité centrale 12 peut procéder automatiquement aux chaînages familiaux et individuels des données à partir de l'identifiant 12 nouvellement enregistré dans la base de données 24.
Pour plus de clarté, les références des principales étapes 30 à 56 du procédé selon l'invention on été reportées en figure 1.

Claims

REVENDICATIONS
1. Procédé d'identification de données relatives à des individus pour la réalisation de chaînages entre ces données au moyen de serveurs (14, 20), de bases de données (18, 24) et de moyens de transmission de données, caractérisé en ce qu'il consiste :
- à utiliser un système de traitement de l'information comprenant des centres locaux (10) de recueil de données, équipés chacun d'un serveur (14) et d'une base de données locale (18), une unité centrale (12) de regroupement de données équipée d'un serveur (20) et d'une base de données centrale (24), et des moyens de transmission de données entre les centres locaux (10) et l'unité centrale (12), chaque centre local (10) comprenant des moyens pour créer un premier identifiant codé (11) d'un individu par application d'un algorithme de codage à des données d'identification de l'individu, telles que son nom, son prénom et sa date de naissance, et à des données d'identification du père et de la mère de l'individu, telles que leurs noms, prénoms et dates de naissance,
- à transmettre par les moyens de transmission précités ce premier identifiant codé (11) avec un numéro d'ordre et un identifiant du centre local à l'unité centrale (12) qui comprend des moyens pour créer un second identifiant codé (12) de l'individu par application d'un algorithme de codage au premier identifiant codé (11 ) et pour enregistrer dans la base de données centrale (24) le second identifiant codé (12) à la place du premier identifiant codé (11) ainsi qu'une correspondance entre le second identifiant (12), le numéro d'ordre précité du premier identifiant (11) et l'identifiant du centre local,
- et à comparer les seconds identifiants (12) dans l'unité centrale (12) pour réaliser des chaînages individuels et familiaux des données.
2. Procédé selon la revendication 1, caractérisé en ce que le ou chaque algorithme de codage précité est mathématiquement irréversible.
3. Procédé selon la revendication 1 ou 2, caractérisé en ce qu'il consiste à créer les premier et second identifiants (11 , 12) de l'individu par application d'un algorithme de codage précité et d'une clé de codage (K1 ,
K2) déterminée de façon unique en fonction des données à coder.
4. Procédé selon la revendication 3, caractérisé en ce qu'il consiste à utiliser le même algorithme de codage et des clés de codage (K1 , K2) différentes pour créer les premier et second identifiants (11 , 12) précités.
5. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à associer au premier identifiant (11) transmis par le centre local (10) un nombre correspondant à un ordre de présentation dans le second identifiant (12) des champs de données de l'identifiant (11 ), et à créer le second identifiant (12) en codant les champs du premier identifiant (11 ) dans l'ordre déterminé par le nombre précité associé à cet identifiant.
6. Procédé selon la revendication 5, caractérisé en ce que le second identifiant (12) comprend des champs contenant des données codées correspondant aux données déjà codées du premier identifiant (11) et un champ supplémentaire contenant le nombre précité qui définit l'ordre de codage des champs dans le second identifiant (12).
7. Procédé selon l'une des revendications précédentes, caractérisé en ce que les premiers identifiants (11) créés au centre local (10) sont enregistrés dans la base de données (18) du centre local et sont transmis à l'unité centrale (12) après sélection et validation par une personne autorisée.
8. Procédé selon l'une des revendications précédentes, caractérisé en ce que les premiers identifiants (11 ) transmis à l'unité centrale (12) sont enregistrés dans la base de données centrale (24) puis font l'objet d'une sélection et d'une validation de sélection par une personne autorisée avant d'être traités en vue de la création des seconds identifiants (12).
9. Procédé selon l'une des revendications précédentes, caractérisé en ce que la transmission d'informations entre le centre local (10) et l'unité centrale (12) utilise des moyens sécurisés.
10. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à remettre à l'individu dont un premier identifiant (11) a été créé, une carte comportant cet identifiant et/ou les données d'identification utilisées pour créer cet identifiant (11 ).
11. Procédé selon l'une des revendications précédentes, caractérisé en ce que, pour accéder dans un centre local (10) à des données concernant un individu dont un identifiant (11) a été enregistré dans la base de données de ce centre local, il consiste à utiliser le premier identifiant (11) de l'individu figurant sur une carte remise à cet individu lors de la création de son identifiant (11), ou à recréer cet identifiant (11) à partir des données d'identification de cet individu et de celles de son père et/ou de sa mère par application de l'algorithme de codage précité ou à utiliser les données d'identification de l'individu.
12. Procédé selon l'une des revendications précédentes, caractérisé en ce que, pour accéder dans un centre local (10) à des données concernant un individu dont un identifiant a été enregistré dans une base de données locale (18) d'un autre centre local (10), il consiste à recréer le premier identifiant (H) de l'individu et à l'utiliser pour rechercher par l'intermédiaire de l'unité centrale (12) des données concernant cet individu enregistrées dans ledit autre centre local (10).
13. Procédé selon l'une des revendications précédentes, caractérisé en ce que, pour accéder à des données concernant un individu qui ont été enregistrées dans la base de données (24) de l'unité centrale (12), il consiste à envoyer le premier identifiant (11) de l'individu recréé ou figurant sur la carte remise à l'individu, à l'unité centrale (12) avec une demande de génération du second identifiant (12) dans un délai donné, à vérifier qu'aucune modification non anodine des données n'a eu lieu depuis la demande d'accès aux données et, si oui, à informer le demandeur de la disponibilité des données et à lui demander de se reconnecter à l'unité centrale (12) pour consulter les données.
14. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il consiste à associer un niveau de qualité aux données d'identification saisies dans un centre local (10) pour la création d'un premier identifiant codé (11) d'un individu, à comparer les niveaux de qualité des informations saisies en cas de risque de confusion et à vérifier les données saisies dont le niveau de qualité est le plus faible.
PCT/FR2005/002252 2004-09-09 2005-09-09 Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees WO2006030122A2 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP05802746A EP1787231A2 (fr) 2004-09-09 2005-09-09 Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees
US11/683,003 US8229764B2 (en) 2004-09-09 2007-03-07 Method of identifying data relating to individuals in order to chain said data

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0409584A FR2875033B1 (fr) 2004-09-09 2004-09-09 Procede d'identification de donnees relatives a des individus pour la realisation de chainage de ces donnees
FR0409584 2004-09-09

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US11/683,003 Continuation US8229764B2 (en) 2004-09-09 2007-03-07 Method of identifying data relating to individuals in order to chain said data

Publications (2)

Publication Number Publication Date
WO2006030122A2 true WO2006030122A2 (fr) 2006-03-23
WO2006030122A3 WO2006030122A3 (fr) 2006-05-04

Family

ID=34950564

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002252 WO2006030122A2 (fr) 2004-09-09 2005-09-09 Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees

Country Status (4)

Country Link
US (1) US8229764B2 (fr)
EP (1) EP1787231A2 (fr)
FR (1) FR2875033B1 (fr)
WO (1) WO2006030122A2 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050131735A1 (en) * 2003-12-15 2005-06-16 Degeorge Michael P. Computerized system and method for identifying and storing time zone information in a healthcare environment
US8917165B2 (en) * 2007-03-08 2014-12-23 The Mitre Corporation RFID tag detection and re-personalization
US10755812B1 (en) * 2015-07-31 2020-08-25 Iqvia Inc. System and method for timely notification of treatment

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4852165A (en) * 1987-06-12 1989-07-25 National Computer Print, Inc. Secure system and method for providing personal identifier
WO1994012943A1 (fr) * 1992-12-03 1994-06-09 Frost Frank E Systeme d'attribution de numero unique et d'extraction de donnees genealogiques
DE4402903A1 (de) * 1994-02-02 1995-08-03 Deutsche Telekom Mobil Verfahren zur paketweisen Datenübertragung in einem Mobilfunknetz
WO2001009701A1 (fr) * 1999-08-03 2001-02-08 Amr Mohsen Systeme reseau de gestion d'informations pour la creation, la production, la delivrance et la fourniture de medicaments sur ordonnance et d'autres produits et services complexes
US6449621B1 (en) * 1999-11-03 2002-09-10 Ford Global Technologies, Inc. Privacy data escrow system and method
AU7182701A (en) * 2000-07-06 2002-01-21 David Paul Felsher Information record infrastructure, system and method
US20020033415A1 (en) * 2000-09-19 2002-03-21 Cummins Pamela Robin Secondary security measure for transaction cards
US20020042879A1 (en) * 2000-10-10 2002-04-11 Gould Terry A. Electronic signature system
US7555425B2 (en) * 2001-10-18 2009-06-30 Oon Yeong K System and method of improved recording of medical transactions
US20040044730A1 (en) * 2002-09-03 2004-03-04 Holger Gockel Dynamic access of data

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of EP1787231A2 *

Also Published As

Publication number Publication date
WO2006030122A3 (fr) 2006-05-04
US20070204066A1 (en) 2007-08-30
EP1787231A2 (fr) 2007-05-23
US8229764B2 (en) 2012-07-24
FR2875033A1 (fr) 2006-03-10
FR2875033B1 (fr) 2015-12-11

Similar Documents

Publication Publication Date Title
US11637802B2 (en) Private data sharing system
CN1833398B (zh) 安全数据解析器方法和系统
CN103636160B (zh) 安全文件共享方法与系统
CN103270516B (zh) 用于安全保护虚拟机计算环境的系统和方法
CN103178965B (zh) 使用多因素或密钥式分散对数据进行保护的系统和方法
CN102932136B (zh) 用于管理加密密钥的系统和方法
CN106452737A (zh) 用于安全多租户数据存储的系统和方法
CN103959302A (zh) 用于安全分布式存储的系统与方法
CN103563325A (zh) 用于保护数据的系统和方法
CN101689230A (zh) 改进的磁带备份方法
CN103229165A (zh) 用于数据的安全远程存储的系统和方法
US20100005299A1 (en) Method for manufacturing a product, system for manufacturing a product, and product
CN106411909A (zh) 对移动中数据进行保护的系统和方法
CN104079573A (zh) 用于安全保护云中的数据的系统和方法
FR2738934A1 (fr) Systeme de comptabilisation anonyme d'informations a des fins statistiques, notamment pour des operations de vote electronique ou de releves periodiques de consommation
EP2166484A1 (fr) Procédé d'accès à des données nominatives, tel qu'un dossier médical personnalisé, à partir d'un agent local de génération
FR2953614A1 (fr) Systeme et procede pour fournir un service de reseau social simple sur une base hors ligne
EP3449410B1 (fr) Système d'authentification biométrique basé sur les réseaux veineux et des codages uniques et non falsifiables de structures arborescentes et procédé associé
EP2001196A1 (fr) Gestion d'identité d'usager pour accéder à des services
WO2006030122A2 (fr) Procede d'identification de donnees relatives a des individus pour la realisation de chainages de ces donnees
FR3073643A1 (fr) Procede d'obtention d'une identite numerique de niveau de securite eleve
EP1738292A2 (fr) Systeme de generation automatique d'un message d'informations medicales
EP3709274B1 (fr) Système de vote électronique sur internet
EP4241190A1 (fr) Procede d'authentification securise par le decouplage structurel des identifiants personnels et de services
CA3165757A1 (fr) Procede et dispositif d'evaluation de correspondance d'ensembles de donnees structurees protegees par le chiffrement

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 11683003

Country of ref document: US

REEP Request for entry into the european phase

Ref document number: 2005802746

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2005802746

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2005802746

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 11683003

Country of ref document: US