L'exigence des 18 identifiants
La règle de confidentialité de HIPAA (45 CFR Section 164.514) spécifie la méthode de dé-identification Safe Harbor : pour dé-identifier les informations de santé protégées, 18 catégories d'identifiants spécifiques doivent être supprimées. La méthode Safe Harbor est l'une des deux approches de dé-identification HIPAA ; elle est plus couramment utilisée car la conformité est déterministe — si toutes les 18 catégories sont supprimées, les données sont dé-identifiées en vertu de la loi.
Les 18 catégories :
- Noms
- Données géographiques (plus petites que l'état — y compris l'adresse, la ville, le comté, le code postal)
- Dates (sauf l'année) liées à l'individu — naissance, admission, sortie, décès
- Numéros de téléphone
- Numéros de fax
- Adresses e-mail
- Numéros de sécurité sociale
- Numéros de dossier médical (MRNs)
- Numéros de bénéficiaire de plan de santé
- Numéros de compte
- Numéros de certificat/licence
- Identifiants de véhicule et numéros de série
- Identifiants de dispositif et numéros de série
- URLs Web
- Adresses IP
- Identifiants biométriques (empreintes digitales, empreintes vocales)
- Photographies de face complètes et images comparables
- Tout autre numéro ou code d'identification unique
La plupart des outils de détection PII détectent de manière fiable les catégories 1, 4, 6 et 7 — noms, numéros de téléphone, adresses e-mail et numéros de sécurité sociale. Ils échouent systématiquement sur les catégories 8, 9, 10, 11, 13 et 18.
L'écart de détection des MRN
Les numéros de dossier médical sont explicitement listés comme un identifiant PHI (catégorie 8). Les formats de MRN sont spécifiques à chaque institution — il n'existe pas de format national standardisé. L'hôpital A utilise un entier à 7 chiffres. L'hôpital B utilise "PT-YYYYNNNN" où YYYY est l'année et NNNN est un numéro de séquence. L'hôpital C utilise une chaîne alphanumérique de 8 caractères. L'hôpital D utilise "MRN: " suivi d'un numéro à 9 chiffres.
Un outil de détection PII générique qui ne connaît pas le format MRN de l'hôpital B ne détectera pas "PT-2024-8847" comme un identifiant PHI. Le document contenant ce MRN sera traité comme dé-identifié après un traitement standard — alors qu'il ne l'est pas.
Cela crée un mode de défaillance de conformité qui est invisible pour l'organisation : la dé-identification semble complète car l'outil n'a signalé aucune violation. La détection manquante est le problème.
La solution d'entité personnalisée
Les organisations de santé qui ont besoin de détection de MRN ont trois options. Premièrement, implémenter la détection dans Presidio directement — nécessitant une expertise en programmation Python et un entretien continu à mesure que les formats de MRN évoluent. Deuxièmement, maintenir une étape de révision manuelle spécifiquement pour les MRN — créant un maillon faible systématique dans le pipeline de dé-identification. Troisièmement, utiliser un système qui fournit une création d'entité personnalisée assistée par IA sans nécessiter de code.
L'approche d'assistance par modèle IA : l'équipe d'informatique clinique fournit 5 valeurs MRN d'exemple (SVHS-0012345, SVHS-0987654, SVHS-1122334, SVHS-4455667, SVHS-8899001) et demande un modèle de détection. L'IA génère une regex — SVHS-d{7} — et la valide par rapport aux exemples fournis. Le modèle est enregistré dans le préréglage de conformité HIPAA de l'équipe. Toutes les sessions de dé-identification suivantes détectent automatiquement ce format MRN.
La même approche s'applique à d'autres identifiants spécifiques à l'institution : formats de numéros de bénéficiaire de plan de santé, formats de numéros de série d'équipement, et tout code d'identification propriétaire spécifique à l'organisation.
Sources :
- HHS : méthode de dé-identification Safe Harbor HIPAA, 18 catégories d'identifiants (45 CFR 164.514)
- Shaip : Dé-identification dans les soins de santé et types d'identifiants PHI
- HHS OCR : directives de l'OCR sur la dé-identification mises à jour en 2024 pour les risques de ré-identification assistée par IA