Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Intelligence artificielle (« IA ») et mégadonnées dans le domaine de la recherche et de la pratique médicales : les éléments clés à retenir du colloque organisé par le Conseil d’Etat, la CNIL et l’Alliance IHU France
Article Droit de la propriété intellectuelle, média et art | 14/02/23 | 10 min. | Roxane Blanc-Dubois
Sciences de la vie & Santé
La santé est indéniablement l’un des domaines où l’IA a déjà démontré le réel intérêt de son utilisation pour l’accompagnement de l’humain. L’IA peut par exemple être une aide au diagnostic en détectant des maladies sur de l’imagerie médicale grâce à une analyse plus fine que l’œil humain. Des montres connectées basées sur l’IA sont susceptibles de signaler une insuffisance cardiaque alors que, jusque-là, ce type de pathologie supposait, pour leur détection, un coûteux échocardiogramme, scanner ou IRM. L’IA, qui reste une discipline assez jeune, offre encore bien des promesses de futures révolutions que ce soit en termes de qualité et d’accessibilité du soin ou de mise au point de traitements.
Le Conseil d’Etat, la CNIL et l’Alliance IHU France ont organisé un colloque intitulé « IA et mégadonnées, comment vont-elles révolutionner la recherche et la pratique médicales de demain ? »
Ce colloque a réuni tant les académiques et les chercheurs que les régulateurs, les politiques ainsi que les industriels, lesquels ont échangé lors de tables rondes.
L’un des objectifs de ce colloque était résolument de confronter les attentes des uns (notamment en termes d’accès et d’utilisation ou de réutilisation des données de santé) avec les exigences des autres en matière de protection des données personnelles et de voir si un équilibre et des solutions satisfaisant l’ensemble des intérêts en présence pouvaient être trouvés ou s’envisager.
Sont présentés ci-dessous certains des thèmes abordés durant ce colloque, qui a également été l’occasion pour la CNIL de faire passer quelques messages :
- Transparence visà-vis de l’IA comme gage de confiance
L’IA suscite des craintes voire une hostilité chez les patients et citoyens qui proviennent bien souvent d’une incompréhension de ce qu’est et ce à quoi sert l’IA.
Pour Valérie Peugeot, commissaire responsable des données de santé à la CNIL, ces craintes peuvent être levées notamment grâce au RGPD, en respectant tout simplement l’obligation d’informer les personnes au sujet du traitement de leurs données personnelles (via l’IA). Cela devrait contribuer, selon elle, à donner confiance en l’IA puisque celle-ci sera mieux comprise des personnes concernées. Valérie Peugeot note en effet qu’à ce jour, de manière générale, le droit à l’information dans le milieu médical n’est pas correctement respecté (absence de remise de livret d’accueil par les établissements de santé, absence d’affichettes informatives dans les salles d’attente des médecins, manque de clarté, etc.).
- Volonté de la CNIL d’afficher une certaine souplesse pour adapter les règles et cadres d’analyse à l’IA si nécessaire…
Il existe en France un régime spécifique en matière de données de santé qui exige, pour un certain nombre de traitements de données personnelles de santé, d’obtenir une autorisation préalable de la CNIL avant leur mise en œuvre. Toutefois, la CNIL a élaboré des référentiels et des méthodologies de référence pour certains traitements qui, lorsque leur contenu est respecté, permettent aux responsables de traitement d’effectuer une simple déclaration de conformité auxdits référentiels et/ou méthodologies (exemples : les « MR001 » à « MR006 » relatives aux traitements de données personnelles mis en œuvre aux fins de recherches ou études dans le domaine de la santé ; le référentiel relatif aux entrepôts de données de santé pensé pour permettre l’IA, ou encore celui sur les traitement mis en œuvre aux fins de gestion des vigilances sanitaires). En revanche, si l’ensemble des principes et conditions contenus dans ces méthodologies de référence et référentiels ne sont pas respectés, une autorisation pour mettre en œuvre le traitement de données considéré doit être demandée auprès de la CNIL.
La CNIL a indiqué lors du colloque qu’elle restait à l’écoute des acteurs et que s’il y avait besoin d’adapter certaines règles et cadres d’analyse à l’IA pour répondre aux besoins des professionnels et/ou d’aller plus loin dans la simplification des démarches dans le domaine de la santé pour tenir compte des systèmes d’IA et nouveaux cas d’usage, alors la CNIL pourrait réévaluer et réviser les règles existantes (i.e. : les référentiels et méthodologies de référence) et/ou poursuivre le travail de simplification des formalités préalables en créant de nouveaux référentiels et méthodologies de référence dans le domaine de la santé (dispensant donc d’avoir à demander des autorisations dès lors que le contenu du référentiel ou de la méthodologie est respecté).
Par ailleurs, la CNIL a précisé avoir autorisé 10 projets de recherche utilisant de l’IA en 2022, avec un délai d’instruction moyen de 66 jours, soit une période relativement raisonnable. Ainsi, lorsqu’un acteur ne peut bénéficier d’une méthodologie pour son cas d’usage, cela ne signifie pas, de facto, que son traitement de données personnelles ne pourra être mis en œuvre.
L’objectif de la CNIL était indéniablement de rassurer sur le fait que la réglementation et le régulateur français ne sont pas un frein à la recherche et l’innovation. Cette volonté affichée de rassurer provient du fait que le domaine de l’IA est extrêmement concurrentiel et que tout retard en la matière de la France (et l’UE) ne pardonnera pas. Or, la CNIL ne veut visiblement pas être désignée comme responsable d'un tel retard. A ce propos, Renaud Vedel, directeur de cabinet du ministre délégué chargé de la transition numérique et des télécommunications a clôturé le colloque en précisant dans son discours que « le monde ne nous attendra pas » et que l’agence américaine en charge d’autoriser la commercialisation des médicaments et dispositifs médicaux aux Etats-Unis (la « FDA » / « Food and Drug Administration ») avait déjà autorisé 520 dispositifs médicaux intégrant de l’IA. Les textes européens en cours de discussion ont d’ailleurs vocation à permettre à l’UE de demeurer concurrentielle en allant dans le sens d’une circulation de la donnée notamment à des fins de recherche et d’innovation et découlent d’une stratégie européenne pour les données.
- … mais également une certaine fermeté visà-vis des éditeurs de solutions et fournisseurs de cloud
La CNIL, par la voix de Valérie Peugeot, a enjoint les établissements de santé à faire pression sur les éditeurs et fournisseurs pour qu’ils proposent des outils et des solutions de cloud conformes au RGPD, au référentiel de sécurité et proposant un hébergement des données sur le territoire européen, et ce, en utilisant le levier de la commande et l’achat.
- Le terme de « mégadonnées » ne s’oppose pas au concept de minimisation des données du RGPD
L’utilisation d’importantes quantités de données est au cœur du développement et de l’utilisation des systèmes d’IA. A cet égard, la CNIL a souligné que le principe de minimisation des données issu du RGPD (qui consiste à ne traiter que les données pertinentes, adéquates et limitées à ce qui est nécessaire pour la réalisation de la finalité du traitement) ne s’oppose pas au concept de mégadonnées et qu’il faut comprendre la « minimisation » comme la simple exigence de ne traiter que des données utiles/adéquates (et non pas le moins de données possible). Cela peut être « minimisé [au sens du RGPD] alors que paradoxalement il y a énormément de données traitées ».
- L’épineuse question de la localisation des données de santé électroniques du projet de règlement européen sur l’espace européen des données de santé
Ce colloque a été l’occasion pour Antonios Bouchagiar, membre du service juridique de la Commission européenne, de présenter les grandes lignes du projet de règlement européen relatif à l’espace européen des données de santé, dévoilé par la Commission européenne le 3 mai 2022. L’un des objectifs de ce règlement est de permettre un partage des données de santé aux fins d’une réutilisation à des fins notamment de recherche et d’innovation.
Valérie Peugeot, au nom de la CNIL, l’EDPB et l’EDPS[1], a saisi l’occasion pour alerter Antonios Bouchagiar sur le fait que le projet de règlement ne comportait aucune exigence « d’avoir les données de santé uniquement dans des solutions localisées en Europe » alors qu’il est indispensable de leur point de vue d’inscrire cela dans le projet de texte européen[2].
Antonios Bouchagiar a répondu sur ce point en indiquant qu’il y avait actuellement des discussions très intéressantes relatives à la localisation des données de santé dans le cadre de ce projet de règlement (si le stockage devait se faire seulement dans l’Union européenne ou non) et a ajouté que « ces discussions étaient compliquées à cause des obligations de l’UE en ce qui concerne l’Organisation mondiale du commerce » (sans toutefois donner plus d’éléments à cet égard). Il a complété son propos en précisant que pour les données personnelles, « il y a des raisons assez valables pour justifier ce genre de localisation, qui n’existent peut-être pas pour les données qui ne sont pas à caractère personnel, mais c’est un débat plus large ». Il sera intéressant de suivre l’évolution de ce texte sur ce point.
- L’anonymisation, un concept dont les contours restent à clarifier
Plusieurs intervenants ont souligné la difficulté de bien cerner le concept d’anonymisation (la frontière avec la pseudonymisation n’étant pas simple), sachant que cela peut avoir beaucoup d’incidences dans la mesure où la réglementation sur la protection des données personnelles ne s’applique pas aux données anonymisées.
La CNIL a elle-même reconnu qu’il y avait souvent des débats en interne sur la qualification de la donnée (telle donnée est-elle anonymisée ou pseudonymisée ?) et indiqué que des « choses pouvaient encore être faites » dans ce domaine pour plus de sécurité juridique.
[1] European Data Protection Board / European Data Protection Supervisor
[2] L’EDPB et l’EDPS ont rendu un avis conjoint le 12 juillet 2022 sur ce projet de règlement qui mentionne ce point, sections 100 à 111 (EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space - en anglais)