Locations
Dans les secteurs sanitaire et médico-social, les solutions d’intelligence artificielle (IA) révolutionnent d’ores et déjà l’organisation des soins et les conditions de prise en charge. L’IA augmente les médecins et améliore tant la qualité que la sécurité des soins, tout en en réduisant les coûts. Toutefois, soulignait un rapport de l’Organisation mondiale de la santé en 2022, ces « opportunités sont liées à des défis et à des risques, notamment une collecte et une utilisation contraires à l’éthique de données relatives à la santé, les biais introduits dans les algorithmes et les risques pour la sécurité des patients, la cybersécurité et l’environnement ». Où en est-on en France et en Europe quant aux défis tenant aux conditions d’utilisation secondaire des données ? Et quelle réglementation s’applique aux systèmes d’IA ?
1. Données massives de santé et utilisation secondaire
L’utilisation secondaire des données de santé peut porter sur des données anonymes, ou des données pseudonymes, emportant des régimes juridiques distincts.
1.1. Utilisation secondaire de données anonymisées
S’agissant des IA dites « d’apprentissage profond » appliquées à la reconnaissance visuelle, elles peuvent généralement être développées à partir de données anonymisées, c’est-à-dire ne concernant pas une personne physique identifiable. Ces données ne constituent dès lors pas des données à caractère personnel, et ne présentent pas de risque d’atteinte aux « droits et libertés » des personnes.
Cependant, pour être rendues anonymes, ces données doivent faire l’objet d’un traitement d’anonymisation, dans le respect de la réglementation. Le défi technico-juridique est donc d’anonymiser les données, et plus particulièrement d’identifier les conditions dans lesquelles elles peuvent l’être. « L’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification […], en prenant en considération l’ensemble des moyens “susceptibles d’être raisonnablement mis en œuvre” à des fins d’identification (soit par le responsable du traitement, soit par un tiers) », selon le groupe de travail Article 29 sur la protection des données. Ainsi, sur le plan technique, il convient d’adopter une approche in concreto, en fonction des données concernées et des techniques utilisées, visant à démontrer l’absence de risque de réidentification et, sur le plan juridique, l’anonymisation, en constituant un traitement ultérieur de données à caractère personnel, doit être documentée et autorisée par le responsable du traitement s’il est réalisé par un sous-traitant.
1.2. Utilisation secondaire de données pseudonymisées
Certaines IA ne peuvent être développées qu’à partir de données chaînées de patients afin d’établir des corrélations, et ce faisant de données pseudonymisées, donc à caractère personnel. Différentes stratégies d’accès à des données pseudonymisées coexistent.
Sauf référentiel ou méthodologie de référence applicables, les industriels peuvent s’adresser à la Plateforme des données de santé (PDS), déclenchant l’instruction par le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (Cesrees) et par la Cnil, seule habilitée à autoriser le traitement. Ces deux étapes visent à garantir la sécurité des données de santé et la pertinence de leur utilisation, laquelle doit répondre à une finalité d’intérêt public.
Par ailleurs, les entrepôts de données de santé (EDS) constituent désormais de formidables viviers. Si les industriels ne peuvent constituer un EDS que sur la base d’une autorisation de la Cnil avant utilisation des données dans le cadre d’une étude autorisée par la Cnil ou mise en œuvre dans le respect de la MR004, il leur est également possible d’accéder, par le biais d’un partenariat, aux données d’un EDS constitué par un tiers ou de nouer des partenariats avec des producteurs de données de santé en dehors de tout EDS.
Toutefois, l’accès par les industriels aux données de santé reste complexe. Ainsi, le projet de règlement concernant l’espace européen des données de santé (EHDS) constitue une formidable perspective. Visant à établir un cadre de partage sécurisé spécifique à la santé, notamment pour une utilisation secondaire des données de santé non directement identifiantes dans le cadre de l’innovation, ce texte s’inscrit dans le prolongement du Data Governance Act4 (DGA), adopté en mai 2022, qui sera applicable en septembre 2023. L’EHDS est un défi pour les États membres, mais constituera le début d’une nouvelle ère des données de santé, avec des bénéfices individuels et collectifs exponentiels.
2. Emergence d'un cadre relatif à l'intelligence artificielle en santé
2.1. Réglementation socle pour l'IA
Un règlement s’est avéré nécessaire compte tenu de la rapidité des évolutions technologiques intervenues dans le domaine de l’IA et les risques en résultant pour les personnes et la société. Le 21 avril 2021, la Commission européenne a publié un projet de règlement visant à établir un cadre juridique harmonisé dans le domaine de l’intelligence artificielle, respectueux des libertés individuelles et des principes éthiques.
Le projet devrait être soumis à un vote en plénière mi-juin 2023. Une fois adopté, le texte sera applicable 24 mois après son entrée en vigueur.
Pour mémoire, le projet prévoit des règles proportionnées aux risques spécifiques liés aux systèmes d’IA. En matière de santé, compte tenu des enjeux, les systèmes d’IA sont à haut risque. Le projet porte une logique de responsabilisation, de documentation, et d’approche par les risques, tout en prévoyant un système d’amendes administratives dissuasives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel total. Le manquement à l’obligation pour le fournisseur de surveiller, de détecter et de corriger les biais par sa politique de gouvernance des données est même porté à 30 millions d’euros ou 6 % du chiffre d’affaires annuel total.
La conception et le développement des systèmes d’IA à haut risque doivent permettre la transparence de leur fonctionnement, afin que les utilisateurs puissent interpréter les résultats du système et les utiliser de manière appropriée, et la supervision humaine visant à s’assurer que l’IA ne remplace pas l’utilisateur, mais l’augmente. Sur le plan national, la France a pris un peu d’avance avec la loi de bioéthique ayant introduit les premières obligations à la charge des concepteurs et des utilisateurs d’IA en santé, les premiers devant s’assurer de l’explicabilité de son fonctionnement, afin de permettre aux seconds d’exercer un contrôle sur le résultat.
2.2. Modernisation du régime de responsabilités
Fin septembre 2022, la Commission a publié une proposition de révision de la directive sur la responsabilité du fait des produits afin d’adapter le régime de responsabilité de l’UE à l’ère numérique. Dans ce cadre, les systèmes d’IA et les biens dotés d’IA constituent des « produits » soumis au régime de responsabilité sans faute. Toute personne physique qui subit un dommage causé par un produit défectueux a droit à réparation. Un produit est considéré comme défectueux lorsqu’il n’offre pas la sécurité à laquelle le grand public peut légitimement s’attendre compte tenu de toutes les circonstances, notamment :
- les instructions d’installation, d’utilisation et d’entretien ;
- l’utilisation ou la mauvaise utilisation raisonnablement prévisible du produit
- l’effet sur le produit de toute capacité à poursuivre son apprentissage après le déploiement
- l’effet sur le produit d’autres produits dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés en même temps que le produit
- les exigences en matière de sécurité des produits, y compris les exigences de cybersécurité pertinentes ;
- les attentes spécifiques des utilisateurs auxquels le produit est destiné.
La défectuosité du produit est notamment présumée lorsque le fournisseur n’a pas respecté l’obligation de divulguer les éléments de preuve pertinents dont il dispose ou lorsque le demandeur établit que le produit n’est pas conforme aux exigences de sécurité obligatoires prévues par le droit de l’Union ou le droit national. Une directive supplémentaire a été proposée pour cibler les dommages spécifiques causés par un système d’IA, afin notamment de faciliter l’accès des victimes de dommages aux éléments de preuve détenus, par les fournisseurs, sur un système d’IA à haut risque soupçonné d’avoir causé un dommage, les juridictions nationales devant être habilitées à en ordonner la communication.
Si ces textes n’ont pas encore été adoptés, le paysage réglementaire de l’intelligence artificielle se précise, au titre duquel le non-respect d’une exigence réglementaire constitue une présomption de responsabilité.
Le cadre de la quatrième révolution industrielle, au bénéfice des patients, des professionnels de santé et de notre économie, prend forme !
Article publié également dans le numéro 39 - mai 2023 de DSIH.