Par Nathalie Boudet-Gizardin, Marine Vanhoucke, associées,
IA et Santé : quid de la protection des données personnelles ?
Les nouvelles technologies et l’intelligence artificielle (IA) ont le pouvoir d’améliorer considérablement le quotidien des médecins et le pronostic des patients lorsqu’elles s’appuient sur les données personnelles de santé des patients. L’essor des interventions chirurgicales assistées, des robots compagnons, des prothèses intelligentes et des traitements personnalisés, grâce au recoupement de ces données personnelles, en témoignent.
Cependant, l'utilisation de l'IA dans le domaine de la santé soulève également des questions juridiques et éthiques importantes, notamment en ce qui concerne la gestion des données personnelles des patients, leur confidentialité et la transparence des algorithmes. L’enjeu est alors de combiner l’usage de l'IA avec une approche responsable et éthique.
L'intelligence artificielle au service du diagnostic médical
L'une des applications les plus importantes de l’IA est l'aide au diagnostic médical. L’IA peut en effet être formée à la reconnaissance des signes précurseurs de maladies. En imagerie médicale notamment, les professionnels de la santé peuvent utiliser des algorithmes d'apprentissage automatique pour analyser les images médicales, afin de détecter les anomalies et de diagnostiquer de façon précoce les pathologies.
L'IA peut également être utilisée pour analyser les données biologiques et antécédents médicaux des patients, en les comparant à une base de connaissances pour fournir des recommandations ou suggestions de traitement. L'IA peut également analyser de grandes quantités de données cliniques et permettre de prédire les résultats de traitements ou d’interventions.
Enfin, elle peut être utilisée pour extraire des informations pertinentes à partir de dossiers médicaux électroniques, de manière automatisée, accélérant ainsi le processus d'analyse et permettant aux professionnels de santé de prendre des décisions éclairées plus rapidement.
Dans ce cadre, plusieurs projets ont vu le jour, tels que le projet français « Traitement automatique des résumés de passages aux urgences », dit « TARPON » visant à analyser l’origine des traumatismes subis par les patients se présentant aux urgences, afin de les informer sur leurs risques éventuels, tels que ceux liés à la prise de certains médicaments. L’IA analyse les informations annotées sur les comptes rendus cliniques des patients, afin de classer les visites aux urgences pour cause de traumatismes, et à terme de mettre en place un système de surveillance des traumatismes quasi exhaustif.
Aux Etats-Unis, un modèle prédictif, NYUTron, a été développé en utilisant des millions d'observations médicales provenant des dossiers de patients traités dans les hôpitaux affiliés à l'Université de New York (rapports médicaux, notes sur l'évolution de l'état des patients, images radiologiques…), entre janvier 2011 et mai 2020. NYUTron a été capable d’identifier par avance 95% des patients décédés dans les hôpitaux ainsi que 80% de ceux qui ont été réadmis moins d'un mois après leur sortie.
Le défi juridique de l'intelligence artificielle dans le domaine de la santé : la protection et la sécurité des données personnelles des patients
L'un des principaux défis de l’IA en santé concerne la gestion massive des données de santé qu’elle utilise.
Selon le Règlement général sur la protection des données (RGPD)1, les données à caractère personnel concernant la santé sont « l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».
Compte tenu de la masse de données de santé traitées par l’IA dans le cadre des différents projets existants, il est essentiel de veiller à l’application du RGPD.
Lorsque l'IA implique la collecte et l'utilisation de données personnelles de santé à des fins de recherche ou d'amélioration des algorithmes, il est alors crucial d'obtenir le consentement éclairé des patients pour l'utilisation de leurs données dans le cadre de tels projets . A ce titre, conformément à l’article 32 du RGPD, le responsable de traitement (par exemple l’établissement de santé) est tenu de mettre en œuvre, dès la phase de conception du système d’IA, toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données de santé adapté au risque. Par ailleurs, une analyse d’impact sur la protection des données (AIPD) est obligatoire lorsque le traitement des données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Il s’agit alors d’étudier les risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que les impacts potentiels pour les personnes concernées, afin de déterminer les mesures appropriées de protection et de réduction des risques.
Le traitement de données de santé par l’IA comporte un risque indiscutablement élevé : les données sont sensibles, elles sont collectées à grande échelle et utilisées par des algorithmes dont on ne connait pas toujours la fiabilité. L’analyse d’impact est donc non seulement obligatoire mais indispensable.
Consciente de l’importance de ces enjeux, la CNIL a rappelé dans une communication intitulée « IA : comment être en conformité avec le RGPD ? » du 5 avril 20222, les grands principes de la loi Informatique et Libertés et du RGPD à suivre, ainsi que ses positions sur certains aspects plus spécifiques. Une déclaration commune et un plan d’action sur l’IA générative ont été récemment adoptés par les autorités de protection des données des pays du G7 réunies du 19 au 21 juin 2023, à Tokyo, afin de contribuer au développement de l’IA tout en respectant les droits fondamentaux3.
L’Assemblée Nationale s’est également dotée d’une mission d’information relative à l’IA et la protection des données personnelles en mai 2023, sous la direction des rapporteurs, Messieurs Philippe Pradal et Stéphane Rambaud4.
Si l'IA offre des perspectives extrêmement prometteuses pour l'amélioration des services de santé et la vie quotidienne des patients, il demeure crucial d’en combiner les avantages avec une approche responsable et éthique, afin de garantir la protection et la sécurité des données tout en s’assurant de la transparence des algorithmes et de l’absence d’effets discriminatoires qu’ils sont susceptibles de générer.
1 - Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
2 - CNIL, IA : comment être en conformité avec le RGPD ?, 5 avril 2022
3 - CNIL, IA générative : le G7 des autorités de protection des données adopte une déclaration commune, 23 juin 2023
4 - Assemblée nationale, Missions d'information des commissions, Intelligence artificielle et protection des données, M. Philippe Pradal, M. Stéphane Rambaud
Nathalie Boudet-Gizardin
Associée
Nathalie Boudet-Gizardin a développé une expertise dans le conseil et l’assistance des professionnels de santé (médecins, pharmaciens, biologistes, vétérinaires, chirurgiens-dentistes, sages-femmes), tant pour structurer juridiquement leur activité et négocier leurs contrats et partenariats avec des établissements de santé.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.