Entretien avec Cécile Crichton, doctorante à l’Institut droit et santé de l’Université Paris Cité et chargée d’enseignement au sein du Master droit de l’intelligence artificielle à l’Institut Catholique de Paris. Cécile Crichton est spécialisée sur les enjeux du droit de l’IA et la protection des données personnelles et rédige ponctuellement des articles pour Dalloz Actualité.
1. La loi de bioéthique, dans sa révision de 2021, est le seul texte qui encadre l’utilisation de l’IA en santé en France. Que prévoit cette loi et quelles sont ses limites ?
La loi bioéthique a mis beaucoup de temps à être adoptée aux vus de certains débats, notamment sur la GPA. L’intelligence artificielle est un petit peu passée à la trappe puisque les réflexions en la matière n’étaient pas encore abouties. A l’époque, on se demandait si tous les algorithmes devaient être inclus dans la définition de l’intelligence artificielle, ou s’il fallait se retreindre à l’apprentissage automatique. Finalement, la loi de bioéthique n’a inséré au sein du code de la santé publique qu’une disposition générale, qui s’applique donc à toutes les situations : l’article L. 4001-3. Cette disposition est surtout destinée à assurer une meilleure transparence des dispositifs médicaux comportant un traitement dont l’apprentissage a été réalisé à partir de données massives, entendu donc comme un système de machine learning.
Le champ d’application du texte reste très limité car il exclut les questions liées aux assurances, à la responsabilité civile, à la responsabilité du médecin, à la certification des dispositifs médicaux. Ces questions ont été complètement éludées par la loi bioéthique. Ce n’est pas forcément un mal, c’est une façon d’être prudent puisque l’utilisation de l’intelligence artificielle est tout de même assez récente. Donc non, la loi de bioéthique n’est pas suffisante, car elle ne répond pas à un certain nombre d’enjeux. En revanche, elle pose les bases d’une meilleure maîtrise et d’un début de réglementation.
On peut considérer que la loi est incomplète sur certains aspects mais il existe énormément d’autres textes pour traiter de certaines questions comme le consentement du patient par exemple, et qui sont applicables à toutes situations, même celles qui impliquent l’IA.
2. D’autres textes permettent-ils de combler ces lacunes ? Le règlement européen pour la protection des données, RGPD, par exemple ?
Le RGPD est effectivement applicable en matière d’IA en santé. Cependant, la réglementation en matière de protection des données ne règle pas certaines questions comme celle des biais. Les biais sont souvent liés à la sous-représentation de certaines populations dans les jeux de données. Le RGPD exige, lors d’un traitement, que les données soient exactes et tenues à jour. Mais l’exactitude d’une donnée n’équivaut pas à la représentativité. Par exemple, si un système d’IA est entraîné avec des données provenant de la population chinoise, le système chinois sera inefficient en France. Peu importe que les données soient exactes. Donc, il existe encore des lacunes.
Je pense également qu’en matière de responsabilité, on est encore loin. Mais toutes ces questions sont en cours de réflexion, notamment au niveau européen avec la proposition d’AI Act, ainsi qu’une directive sur la responsabilité du fait de l’IA et une possible adaptation de la directive sur les produits défectueux pour l’intelligence artificielle.
En France, il s’agira d’adapter les règles préexistantes : la responsabilité du fait des choses, du fait d’autrui, des produits défectueux etc. L’OMS a raison de demander la clarification des règles de responsabilité puisqu’on n’a pas encore de réponse claire. Pour le moment, il faut attendre des cas jurisprudentiels, ce qui mène à une insécurité juridique. C’est par exemple ce qui inquiète énormément les médecins qui doivent se fier à une machine sans forcément la comprendre, mais aussi les patients qui ne comprennent pas vraiment l’IA.
3. Vous l’avez dit, des discussions sont en cours au niveau européen et de nombreuses questions seront certainement répondues par l’AI Act, le projet de règlement européen sur l’intelligence artificielle. Comment ce règlement sera-t-il appliqué en France ? Comment cela va-t-il se concrétiser pour les développeurs d’IA ?
Ce texte est un règlement, directement applicable dans notre ordre juridique. L’AI Act prévoit des règles pour les systèmes d’IA à haut risque, ce qui inclut les systèmes d’IA embarqués dans des dispositifs médicaux, soumis à la certification européenne CE.
Pour ces dispositifs, les producteurs devront se mettre en conformité, de la même manière que pour le marquage CE. Les Etats membres vont donc devoir nommer des organes de contrôle pour s’assurer de la conformité des entreprises à ce règlement. En l’état, le texte laisse le choix aux Etats membres de soit créer un organisme spécifique à l’IA, soit de donner ces compétences à un organisme préexistant.
En France, la CNIL a déjà témoigné son intérêt pour cette position et fait tout pour être nommée. Elle s’est par exemple dotée d’un service dédié à l’intelligence artificielle et a publié plusieurs papiers démontrant que ses compétences initiales sont déjà en accord avec ces enjeux. Il est probable qu’elle soit désignée comme autorité compétente.
L’AI Act propose un régime de compliance (ou régime de conformité), comme pour le RGPD. Cela signifie qu’il adviendra au producteur du système d’intelligence artificielle de s’assurer que son système est en conformité avec le règlement. Les développeurs devront par exemple se munir d’un certain nombre de documents pour justifier de leur conformité, et seront dans l’obligation de fournir ces documents à l’autorité de contrôle si elle le demande.
4. Le développement de l’intelligence artificielle en santé pose aussi la question du stockage massif de données de santé, destinées entre autres, à l’entraînement d’algorithmes. En France et en Europe, le stockage de données de santé est un enjeu auquel les pouvoirs publics essayent de répondre afin de rendre ces données davantage disponibles pour la recherche. Quelles sont les implications de ces projets pour la protection des données personnelles ?
L’espace européen des données de santé étant encore à l’état de projet, je ne peux pas me prononcer à ce sujet. En revanche, du point de vue de la protection des données des personnes en France, certains aspects sont à revoir. Le projet du Health Data hub, hébergé par Microsoft, en est le parfait exemple. L’enjeu pour la recherche, c’est l’accessibilité aux données pour pouvoir entraîner les modèles de machine learning. C’est vrai qu’à ce titre, le RGPD est contraignant. Cependant il existe des exceptions pour la recherche qui permettent de s’exempter d’un certain nombre d’obligations.
Il est important de mettre l’accent sur la protection des données et notamment les risques en matière de cybersécurité puisque les hôpitaux sont la cible privilégiée des attaques en raison de la valeur élevée des données de santé. Même si le RGPD s’applique et que des mesures existent pour se protéger contre les cyberattaques, le risque zéro n’existe pas.
En outre, aujourd’hui, des entreprises essayent de développer des modèles de stockage de données conformes au RGPD. Des solutions existent donc pour s’assurer de l’accessibilité aux données, tout en protégeant les personnes. Des procédures simples à respecter peuvent être appliquées, comme la mise en place de mesures de cybersécurité, de consentement des personnes concernées etc. La donnée de santé est quelque chose de tellement important qu’elle nécessite au moins ces garanties-là.
Le seul moyen de se prémunir contre les risques liés au stockage à grande échelle des données de santé est d’interdire certaines pratiques posant un risque jugé inacceptable. Cela pourrait être le cas pour la collecte et le stockage des données génétiques.