Locations
Toutefois, comme relevé par l’OMS en juin 2021 concernant l’IA en santé, ces « opportunités sont liées à des défis et à des risques, notamment une collecte et une utilisation contraires à l’éthique de données relatives à la santé, les biais introduits dans les algorithmes et les risques pour la sécurité des patients, la cybersécurité et l’environnement. » [1].
Quel état des lieux en France à ces égards ? Les conditions d’accès aux données massives de santé apparaissent encore fragmentées (1.) , et la réglementation applicable aux fournisseurs et utilisateurs d’IA encore en construction (2.).
1. Conditions d’accès aux données massives de santé
1.1. Réutilisation de données anonymisées
S’agissant des IA dites d’apprentissage profond (deep learning) appliqués à la reconnaissance visuelle, elles peuvent généralement être développées et alimentées à partir de données anonymisées, c’est-à-dire ne concernant pas une personne physique identifiable. Ces données ne constituent dès lors pas des données à caractère personnel, et ne présentent donc aucun risque d’atteinte aux « droits et libertés » des personnes.
Toutefois, pour être rendues anonymes, ces données doivent faire l’objet d’un traitement d’anonymisation, lequel doit être réalisé dans le respect de la réglementation.
Le premier défi technico-juridique est donc d’anonymiser les données, et plus particulièrement d’identifier les conditions dans lesquelles les données peuvent l’être.
Selon les termes de l’avis du G29 sur les techniques d’anonymisation [2], « l’anonymisation est le résultat du traitement des données personnelles afin d’empêcher, de façon irréversible, toute identification. Ce faisant, les responsables du traitement des données doivent tenir compte de plusieurs éléments, en prenant en considération l’ensemble des moyens « susceptibles d’être raisonnablement mis en œuvre » à des fins d’identification (soit par le responsable du traitement, soit par un tiers). ».
Ainsi, plusieurs techniques d’anonymisation peuvent être envisagées : il n’y a pas de normes prescriptives dans la législation de l’Union.
Il résulte de ce qui précède que, sur le plan technique, il convient d’adopter une approche « in concreto », fonction des données concernées, et des techniques utilisées, visant à démontrer que les risques de corrélation, d’individualisation et d’inférence entre les données sont résiduels. En effet, pour apprécier la validité d’une technique d’anonymisation, il faut tenir compte du facteur de risque qui lui est inhérent – et notamment des utilisations possibles des données « anonymisées » au moyen de cette technique – et évaluer la gravité et la probabilité de ce risque.
Sur le plan juridique, l’anonymisation est regardée comme un traitement ultérieur de données à caractère personnel, celle-ci étant « jugée compatible avec les finalités originales du traitement, à condition que le processus d’anonymisation soit de nature à produire des informations anonymisées au sens décrit dans le présent document » par le G29 susvisé, « aucune base juridique distincte de celle qui a permis la collecte n’étant alors requise ».
Toutefois, plusieurs interrogations demeurent : Quid d’un traitement d’anonymisation bénéficiant à un tiers au responsable de traitement initial ? Un responsable de traitement est-il légitime à anonymiser les données de santé pour les exploiter et/ou partager ? Peut-il alors seulement être regardé comme déterminant les finalités et moyens de ce traitement ? La réponse à cette dernière question devrait-elle vraiment être regardée comme impactante sur le plan juridique alors même que, s’agissant d’une anonymisation, elle est sans impact sur les risques d’atteinte aux droits et libertés des personnes concernées ?
Certaines clarifications sont annoncées.
Afin de favoriser le développement et l’utilisation de l’IA, l’anonymisation devrait être encouragée, la Cnil pouvant en outre, le cas échéant, proposer des cas d’usages et définir une certification de processus d’anonymisation [3].
1.2. Réutilisation de données pseudonymisées
Certaines IA ne peuvent être développées qu’à partir de données chaînées de patients afin d’établir des corrélations. Dans cette hypothèse, les données ne peuvent répondre aux exigences relatives à l’absence d’individualisation et à l’absence de corrélation, aussi les données constituent des données pseudonymisées, et donc des données à caractère personnel.
Il convient à cet égard de relever que la pseudonymisation est sans impact sur la qualification des données, mais constitue une mesure de sécurité au sens de l’art. 32 RGPD.
C’est notamment pour développer le potentiel de l’intelligence artificielle dans le domaine de la santé que la Loi relative à l'organisation et à la transformation du système de santé du 24 juillet 2019 a créé la plateforme des données de santé[4] en charge du Health Data Hub[5] destiné à rassembler à la fois les données médico-administratives [SNDS] et les données cliniques, et à constituer un dispositif de partage entre producteurs et utilisateurs de données de santé pseudonymisées. Le Health Data Hub attend une autorisation de la Cnil et un arrêté inscrivant d’autres bases de données à son catalogue.
Aux fins de mise en œuvre d’un projet mobilisant des données de santé, les utilisateurs de données peuvent ainsi s’adresser au Health Data Hub, guichet unique déclenchant l’instruction par le comité scientifique et éthique national, le CESREES, et par la CNIL, seule habilitée à autoriser le traitement. Ces deux étapes visent à garantir la sécurité des données de santé et la pertinence de leur utilisation, laquelle doit répondre à une finalité d’intérêt public. Si l’intérêt commercial n’est pas incompatible avec l’intérêt public, pour autant l’accès aux données du Health Data Hub n’est pas aisé pour les industriels. Les caractéristiques des projets retenus par le Health Data Hub gagneront à cet égard à être précisées et publiées à des fins de lisibilité et de sécurité juridiques.
Par ailleurs, les conditions de création d’autres bases de données pseudonymisées se sont peu à peu affinées, jusqu’à donner naissance à une terminologie consacrée et son régime juridique afférent : les « entrepôts de données de santé » (EDS).
Les EDS contiennent des données pseudonymisées destinées à être réutilisées au sein de projets de recherche. Ils peuvent être mis en place sur la base du consentement de la personne, d’une autorisation de la Cnil ou, désormais, d’une déclaration de conformité au référentiel adopté [6].
Ce référentiel susvisé « s’adresse aux responsables de traitement souhaitant, dans le cadre de leur mission d’intérêt publique, réunir des données en vue de leur réutilisation pour les finalités ». Le référentiel exclut notamment de son champ d’application « les entrepôts mis en œuvre par une société privée sur le fondement de son intérêt légitime ».
Ainsi, c’est sur la base d’un partenariat avec un producteur de données et dans le cadre des missions d’intérêt public de ce dernier, qu’un industriel pourrait participer à la création d’un entrepôt de données de santé en conformité avec ce référentiel, étant rappelé que la réutilisation des données à des fins d’étude, recherche ou évaluation supposera la conformité à une méthodologie de référence ou une autorisation Cnil.
Par ailleurs, un EDS peut également être créé sur la base du consentement des personnes concernées, sans préjudice des conditions de réutilisation susvisées. Il s’agit toutefois d’un cas d’usage plus résiduel pour des raisons évidentes.
Dans ce contexte, l’accès par les industriels aux données de santé reste complexe. Par ailleurs, le développement et l’utilisation de l’IA s’inscrivent à date dans un cadre juridique encore en construction.
2. Emergence d’une réglementation relative à l’intelligence artificielle
2.1. Cadre européen relatif à l’IA
L’adoption d’un règlement s’avère désormais nécessaire compte tenu de la rapidité des évolutions technologiques intervenues dans le domaine de l’IA et les risques en résultant pour les personnes et la société.
C’est ainsi que le 21 avril 2021, la Commission européenne a publié un projet de règlement [7] très attendu visant à établir un cadre juridique harmonisé dans le domaine de l’intelligence artificielle (IA), respectueux des libertés individuelles et des principes éthiques. Le projet, une fois adopté, sera applicable 24 mois après son entrée en vigueur et associé à un plan d’actions coordonnées.
Le projet de règlement prévoit des règles proportionnées aux risques spécifiques liés aux systèmes d’IA, différenciées selon que le risque est inacceptable, élevé ou faible. En matière de santé, compte tenu des enjeux concernant la vie et la santé associés aux systèmes d’IA, ces derniers doivent être considérés comme relevant des systèmes d’IA présentant un risque élevé [8].
Par ailleurs, et de la même façon que les différents règlements européens adoptés ces dernières années encadrant notamment les dispositifs médicaux [9], et la protection des données [10], ce projet de règlement se fonde sur une logique de responsabilisation, documentation, et approche par les risques tout en prévoyant un système d’amendes administratives très dissuasives pouvant aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel total, le montant le plus élevé étant retenu.
Le manquement à l’obligation pour le fournisseur de surveiller, détecter et corriger les biais par sa politique de gouvernance des données est même porté à 30 millions d’euros ou 6% du chiffre d’affaires annuel total.
La conformité des systèmes d’IA à haut risque aux exigences prévues par le projet de règlement doit par ailleurs être garantie au stade de sa conception et tout au long de son cycle de vie.
S’agissant des obligations pesant sur les fabricants de dispositifs d’IA, il résulte du projet de règlement que la conception et le développement des systèmes d’IA à haut risque doivent permettre la transparence de leur fonctionnement afin que les utilisateurs puissent interpréter les résultats du système et les utiliser de manière appropriée. [11] La conception et le développement des systèmes d’IA à haut risque doivent également permettre leur supervision effective par des personnes physiques pendant les périodes d’utilisations afin de prévenir ou de réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux. [12] Il s’agit du principe de supervision humaine, ou garantie humaine visant à s’assurer que l’IA ne remplace par l’utilisateur, mais l’assiste ou l’augmente.
Concernant ce projet de règlement, la CNIL, les autorités européennes de protection des données ainsi que le Contrôleur européen de la protection des données ont rendu un avis soulignant (i) la nécessité d’élargir le champs des systèmes d’IA interdits et de clarifier leur définition (en particulier en matière de biométrie et reconnaissance faciale), (ii) l’enjeu majeur d’articulation du règlement sur l’IA avec le RGPD et la directive « Police-Justice », (iii) la nécessité de préciser la gouvernance du « Comité européen de l’intelligence artificielle » et de désigner les autorités nationales de protection des données comme autorités de contrôle national de l’intelligence artificielle, et (iv) la nécessité pour le règlement de permettre le soutient de l’innovation et la conception de systèmes d’IA conformes aux valeurs et aux principes européens.
2.2. Principes formulés par l’OMS concernant l’IA dans le secteur de la santé
En juin 2021, afin de limiter les risques liés à l’utilisation de l’IA dans le domaine de la santé, l’OMS propose la mise en place d’une réglementation et d’une gouvernance reposant sur six principes [13] :- Protéger l’autonomie de l’être humain ;
- Promouvoir le bien-être et la sécurité des personnes ainsi que l’intérêt public ;
- Garantir la transparence, la clarté et l’intelligibilité ;
- Encourager la responsabilité et l’obligation de rendre des comptes ;
- Garantir l’inclusion et l’équité ;
- Promouvoir une IA réactive et durable.
Au niveau national, c’est la Loi de bioéthique [14] qui pose les premières obligations à la charge des concepteurs et utilisateurs d’IA en santé, ainsi transposées dans le code de la santé publique [15].
« Le professionnel de santé qui décidé d’utiliser, pour un acte de prévention, de diagnostic ou de soin, un dispositif médical comportant un traitement de données algorithmique dont l'apprentissage a été réalisé à partir de données massives s’assure que la personne concernée en a été informée et qu’elle est, le cas échéant, avertie de l’interprétation qui en résulte » [16].
« Les professionnels de santé concernés », s’entendant certainement comme ceux intervenant dans le cadre de la prise en charge du patient, doivent également être informés du recours à ce traitement de données et avoir accès aux données du patient utilisées dans ce traitement et aux résultats qui en sont issus.
Enfin, les concepteurs d’un traitement algorithmique doivent s’assurer l’explicabilité de son fonctionnement pour les utilisateurs.
Il en résulte une obligation pour les fabricants une obligation d’information sur les modalités d’actions (logique de fonctionnement et critères retenus pour classer et hiérarchiser les informations analysées dans les données) du traitement algorithmique, afin que l’utilisateur professionnel de santé puisse effectivement exercer un contrôle sur le résultat dans le respect de la garantie humaine. En ce sens, les bornes et marge d’erreurs doivent être renseignées.
Il en résulte également une obligation de traçabilité dans le dossier médical du patient.
Perspectives
Nul doute que nous assistons à la 4ème révolution industrielle pour le plus grand bénéfice des patients, des professionnels de santé et de notre économie. Il nous appartient désormais de simplifier les conditions d’accès aux données de santé dans le respect du secret médical, de stabiliser les conditions de développement et d’utilisation de l’IA dans le secteur de la santé, et de statuer sur les règles de responsabilité y afférentes.
A suivre…
[1] Rapport OMS Juin 2021 IA en Santé
[2] Avis 05/2014 G29 sur les techniques d'anonymisation
[3] Loi Informatique et libertés art. 8 I 2° i)
[4] Art. L. 1462-1 du Code de la santé publique
[5] Disponible en ligne sur le site du Health Data Hub : [https://www.health-data-hub.fr]
[6] CNIL, Délibération n° 2021-118 du 7 octobre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé disponible en ligne : [https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044243098?init=true&page=1&query=entrep%C3%B4t+de+donn%C3%A9es+de+sant%C3%A9&searchField=ALL&tab_selection=cnil&timeInterval]
[7] Proposition de règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union du 21 avril 2021
[8] Règlement, art. 6 I + Annex II, section A, 11 & 12
[9] Règlement 2017/745 relatif aux dispositifs médicaux (RDM)
[10] Règlement 2016/679 relatif à la protection des données (RGPD)
[11] Règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, article 13
[12] Règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, article 14
[13] OMS first-global-report-on-ai-in-health-and-six-guiding-principles-for-its-design-and-use
[14] Loi n° 2021-1017 du 2 août 2021 relative à la bioéthique
[15] L4001-3 CSP
[16] Article L. 4001-3 du Code de la santé publique