Scroll Top
regulation-de-l-IA
Partager l'article



*




La régulation de l’IA en santé : DPO, RSSI, DJ, DRCI… Tous concernés !

Article rédigé le 15 avril 2024  par Me Laurence Huin et Raphaël Cavan

 

Initié en avril 2021 et après plusieurs années de négociations au cours desquelles a émergé ChatGPT, le règlement sur l’intelligence artificielle (ou IA Act en anglais) sera adopté définitivement par les 27 Etats membres le 22 avril prochain, après son adoption par le Parlement européen le 13 mars dernier.
Que retenir de ce texte appliqué au secteur de la santé ? Les réponses varieront si l’on intervient en tant que professionnels de santé, juristes, DPO, professionnels de la sécurité des systèmes d’information ou encore au sein de la direction de la recherche clinique et de l’innovation. Qu’à cela ne tienne : petit tour d’horizon.

 

 

DPO et RSSI et autres gardiens de la conformité : la logique de la documentation continue

Pour les acteurs de la conformité, il convient de retenir tout d’abord la logique de ce texte. L’Union européenne, soucieuse de la protection des droits fondamentaux et de soumettre à la réglementation tout nouveau système d’intelligence artificielle qui serait développé, tel un nouveau ChatGPT, a retenu une définition large du système d’IA (SIA) à l’article 3.1 de l’IA Act :

un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats

De même, le règlement IA Act consacre une approche par les risques de la réglementation de ces systèmes d’IA : plus le risque (c’est-à-dire la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci) est élevé, plus l’usage de ce système sera réglementé. Ainsi, pour les SIA représentant un « risque inacceptable », ceux-ci seront frappés d’une interdiction. D’autres SIA seront réglementés en ce qu’ils sont « à haut risque » ou représentent un « risque systémique » ; dans ce cas des exigences légales supplémentaires sont imposées aux opérateurs économiques. Enfin, les SIA dits à « risque faible » ou « risque modéré » se verront imposer uniquement des obligations de transparence à l’égard des individus interagissant avec ces SIA.

On comprend que les usages des SIA dans le secteur de la santé devraient donc être peu concernés par les règles liées à des modèles d’IA à usage général (Article 3.63 de l’IA Act) présentant un « risque systémique » (c’est-à-dire un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur). A l’inverse, en matière de santé, lorsque le système d’IA est intégré à un dispositif médical, il sera considéré comme à « haut risque », tout comme pour les DM-DIV (combinaison de l’article 6 et Annexe 1 de l’IA Act). De même, compte tenu du risque encouru pour la santé des patients, les systèmes d’IA dans le domaine de la santé ont vocation à intégrer par nature la catégorie des SIA à haut risque.

Il conviendra donc en premier lieu pour les acteurs de la conformité d’identifier si l’outil envisagé ou bien une de ses briques/fonctionnalités répond à la définition du système d’intelligence artificielle et de catégoriser ensuite le SIA (à haut risque/ à usage général…) afin de déterminer les règles spécifiques qui lui sont applicables (par exemple pour les fournisseurs de modèles d’IA à usage général les obligations de documentation prévues à l’article 53 ou pour les SIA à haut risque l’ensemble des obligations prévues par le chapitre III de l’IA Act). La logique de l’accountability (documentation) du RGPD est ainsi reprise.

Autre point essentiel, les réglementations relatives aux dispositifs médicaux et aux DM-DIV continueront de s’appliquer en parallèle à ces nouvelles règles, tout comme d’autres réglementations. En effet, sur l’utilisation de données à caractère personnel, l’IA Act n’a pas d’incidence sur le RGPD (Article 2.7 de l’IA Act). Dès lors, toutes les recommandations de la CNIL pour le développement des systèmes d’intelligence artificielle (IA) et la constitution de bases de données utilisées pour leur apprentissage, qui impliquent des données personnelles, restent inchangées et devront être respectées.

Enfin, sur la partie sécurité qui intéresse les RSSI, l’article 15 de l’IA Act impose des exigences en matière de robustesse et de cybersécurité des SIA. Plus concrètement, l’élaboration de critères de référence et de méthodes de mesure pour examiner ces aspects techniques sera encouragée par la Commission européenne et devront apparaitre sur la notice d’utilisation pour les SIA à haut risque à laquelle le RSSI devra donc se reporter. Il est considéré que les solutions techniques redondantes, telles que des plans de sauvegarde ou des mesures de sécurité après défaillance, permettent de garantir la robustesse des systèmes d’IA à haut risque. Enfin, une vigilance particulière devra être portée aux SIA à haut risque qui continuent leur apprentissage après leur mise sur le marché ou leur mise en service : à ce titre, ils devront être développés de manière à éliminer ou à réduire dans la mesure du possible le risque que des résultats éventuellement biaisés n’influencent les données d’entrée pour les opérations futures (« boucles de rétroaction »).

 

Juristes : des obligations relativement familières

Conformément à l’approche par les risques retenue, les différents opérateurs impliqués dans le recours aux systèmes d’IA à haut risque (fournisseurs mais aussi utilisateurs [dénommés « déployeurs »] et également distributeurs, importateurs…) se voient imposer de nombreuses obligations parmi lesquelles un système de management et d’évaluation des risques, une gouvernance des données d’apprentissage, une documentation technique, un devoir de transparence à l’égard des déployeurs ou encore des obligations en matière de robustesse et de cybersécurité (l’ensemble de ces obligations sont prévues par le chapitre III de l’IA Act).

Ces obligations restent relativement familières pour les fournisseurs qui sont également des fabricants de dispositifs médicaux et DM-DIV car elles s’inscrivent pleinement dans une logique de sécurité des produits en application de laquelle on retrouve les obligations de conformité, certification, marquage CE et surveillance du marché.

A l’inverse, ce texte impose un effort plus grand d’appropriation pour les juristes des entités qui sont « déployeurs », c’est-à-dire utilisateurs de systèmes d’intelligence artificielle, tels que les établissements de santé car ils devront s’inscrire dans la logique de documentation. A ce titre, ces déployeurs devront veiller par exemple à la formation des personnes physiques en charge du contrôle humain des SIA à haut risques ou encore le contrôle sur les données d’entrées afin que ces dernières soient suffisamment représentatives.

Par ailleurs, sur l’évaluation du risque qui intéresse les juristes, on ne peut s’empêcher de comparer ce texte avec le règlement sur la protection des données personnelles (RGPD) notamment avec la mise en place d’un système d’amendes basé sur le chiffre d’affaires annuel mondial allant, selon l’infraction commise, de 1% (article 99.5 de l’IA Act) pour la communication d’informations inexactes aux autorités nationales compétentes à 7% pour les violations des applications d’IA interdites (article 99.3 de l’IA Act).

Enfin, contrairement à ce que l’on peut lire par ailleurs, l’IA Act ne constitue pas l’alpha et l’oméga de l’arsenal juridique européen en matière d’intelligence artificielle. Il ne faut pas oublier qu’au côté de ce règlement se trouvent également deux directives encadrant la responsabilité en matière d’IA, soit qui relèverait d’une faute extracontractuelle (par exemple d’un comportement fautif de la part d’une personne intervenant dans la conception de l’IA) dans le cadre de la proposition de Directive sur la responsabilité en matière d’IA, soit qui relèverait du fait d’un produit défectueux, sans faute dans le cadre de la directive sur la responsabilité du fait des produits défectueux mise à jour en décembre 2023.

 

Professionnels de santé : des obligations de transparence déjà entrées en vigueur

Pour les utilisateurs de systèmes d’IA appliqués dans le secteur de la santé, de nouvelles obligations vont s’appliquer en matière de transparence et dont la mise en œuvre sera assurée en grande majorité par les acteurs de la conformité.

Toutefois, les professionnels de santé ne seront pas dupes : les obligations de transparence prévues par l’IA Act ont été anticipées, sur un périmètre plus restreint, dès la loi de bioéthique de 2021, reprises dans le code de la santé publique. D’ores et déjà « Le professionnel de santé qui décide d’utiliser, pour un acte de prévention, de diagnostic ou de soin, un dispositif médical comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives s’assure que la personne concernée en a été informée et qu’elle est, le cas échéant, avertie de l’interprétation qui en résulte »(article L.4001-3 du code de la santé publique). De même, conformément à ces dispositions déjà en vigueur, les concepteurs du traitement algorithmique « s’assurent de l’explicabilité de son fonctionnement pour les utilisateurs ».

Les professionnels de santé, utilisateurs de SIA, ou encore les éditeurs de telles solutions devront avec l’IA Act s’assurer du maintien et de la mise à jour de ces obligations.

 

DRCI : la véritable révolution juridique la réutilisation des données.

Les directions de la recherche clinique et de l’innovation seront moins intéressées par les dispositions de l’IA Act que par la proposition de loi visant à encadrer l’intelligence artificielle par le droit d’auteur, déposée le 12 septembre 2023 devant l’Assemblée nationale. Cette dernière propose de compléter le code de la propriété intellectuelle pour permettre aux artistes une meilleure prise en compte de leurs droits face au développement des IA génératives. A ce titre, ce projet de loi propose d’exclure les résultats générés par une IA de la protection du droit d’auteur « Lorsque l’œuvre est créée par une intelligence artificielle sans intervention humaine directe, les seuls titulaires des droits sont les auteurs ou ayants droit des œuvres qui ont permis de concevoir ladite œuvre artificielle ». Ainsi, la participation à l’élaboration d’un système d’intelligence artificielle par des agents d’un établissement de santé devra donc faire l’objet d’une attention particulière au regard des droits de propriété intellectuelle des agents.

Néanmoins cette proposition de texte ne doit pas empêcher la valorisation de systèmes d’intelligence artificielle, notamment lorsqu’il y a eu mise à disposition de bases de données. Cette valorisation devra toutefois se concevoir dans le nouveau contexte relatif à l’utilisation secondaire des données, et en premier lieu, des données de santé.

En effet, la réutilisation des données, consacrée par le règlement sur la Gouvernance des données (DGA règlement n°2022/868) pour tous les secteurs d’activité, se voit reprise, pour le secteur de la santé spécifiquement au sein du règlement sur l’espace européen des données de santé (EHDS) prévoyant l’utilisation secondaire des données de santé, y compris celles issues des essais, des études et des recherches cliniques respectivement, selon le règlement (EU)536/2014, le Règlement SOHO, le règlement (EU) 2017/745 et le règlement (EU) 2017/746. Ce règlement EHDS, qui a fait l’objet d’un accord par le Parlement européen et le Conseil le 15 mars dernier, met en place des mécanismes pour faciliter la réutilisation secondaire des données de santé en contrepartie de redevances dont notamment l’obligation de mettre à disposition les données à des fins secondaires sur demande et la communication au responsables de l’accès aux données de santé (HDAB) – très certainement la Plateforme de données de santé (HDH) en France – d’une description des jeux de données détenus.

 

L’IA Act ne doit pas être l’arbre qui cache la forêt de la réutilisation des données de santé. Les directions de la recherche clinique et de l’innovation mais également plus généralement les directions générales devront concentrer leurs efforts sur l’EHDS pour appréhender au mieux les enjeux liés à la valorisation des solutions innovantes que constituent les systèmes d’intelligence artificielle.

 

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant que juriste au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.