Le caractère innovant de l’Intelligence Artificielle (IA) vient se confronter à la rigidité de la réglementation, notamment en matière de protection des données. Mais si le RGPD est synonyme d'obligations pour les sociétés développant une IA en santé, il leur permet d’anticiper les évolutions internationales à venir pour devenir un argument de compétitivité.

Pierre Malvoisin (source iliomad Health Data)

Par Pierre Malvoisin, co-fondateur d’iliomad Health Data

L’IA est sur toutes les lèvres depuis plusieurs mois maintenant. En ce qui concerne le domaine de la santé, son développement est source d’interrogations pour les sociétés, qui sont confrontées à l’environnement complexe relatif à la protection des données personnelles.

Au centre de cet environnement : le "règlement général sur la protection des données" UE 2016/679 dit RGPD. Une législation à laquelle vont bientôt s’ajouter le Data Governance Act, concernant l’accès aux données, et le EU AI Act qui ambitionne d’être la première réglementation régulant les algorithmes d’intelligence artificielle (IA). Ces deux textes renvoient au RGPD pour la protection des données, ce qui en fait la réglementation majeure pour les années à venir.

Artificial Intelligence Act : un nouveau règlement européen à suivre de près

Depuis 5 ans, le RGPD accroît les obligations des sociétés, qui se voient désormais tenues de produire des documents attestant de la conformité (contrats, analyse de risques…), dans le but de garantir les droits des personnes dont les données sont traitées. Les sociétés développant une IA sont bien sûr soumises à ces obligations, puisque l’IA nécessite un traitement massif de données personnelles. Dans le domaine de la santé, l'IA soulève des difficultés particulières à l’égard de certains des principes énoncés par le RGPD. Cet article se limite à ces derniers tout en présentant des solutions pour les résoudre.

À noter que le RGPD est la matrice des nouvelles réglementations concernant la protection des données, adoptées (Suisse, Chine) ou à venir (Etats-Unis). Son respect devient donc un atout réglementaire pour le développement international.

Qui fait quoi ?

Deux principaux rôles sont attribués par le RGPD : le responsable de traitement, qui détermine le pourquoi et le comment d’un traitement de données, et le sous-traitant, qui agit pour le compte du responsable de traitement. Ces rôles définissent les obligations de chacun et ce qui peut être fait des données. Le responsable de traitement est tenu par davantage d’obligations mais dispose de plus de latitude dans l’utilisation des données.

La particularité d’une société développant une IA est qu’elle agit alternativement comme responsable de traitement pour le développement de son IA et comme sous-traitant lorsqu’elle commercialise son produit.

La clé de la conformité réside donc dans chaque contrat conclu avec les prestataires ou les clients, qui doit précisément définir les rôles, leurs limites et les droits de chacun afin d’user du bon langage.

Par exemple, il est utile de prévoir que le fournisseur de données (hôpital, clinique…) ait la charge de l’information des personnes dont les données sont utilisées. La société, en tant que responsable de traitement, se dispense ainsi d’une obligation relativement complexe à mettre en œuvre.

Cette rigueur juridique protège la société et valorise son actif, c’est-à-dire son algorithme. En effet, la pérennité de l’utilisation des données est scrutée avec attention par les investisseurs lors d'une due diligence mais aussi par les potentiels partenaires ou clients.

Licéité, équité et transparence de l’IA

La licéité [conformité à la loi, ndlr] du traitement de données concerne en premier lieu la collecte de ces données par la société. Cette collecte, qui peut être directe auprès de la personne ou indirecte (réutilisation), doit être fondée sur l'une des bases légales prévues par le RGPD.

Plusieurs bases peuvent être retenues par une société développant une IA (consentement, contrats, intérêt légitime). Il est recommandé d’utiliser l’intérêt légitime de la société développant une IA, cette base permettant un usage des données le plus en adéquation avec les besoins de l'entreprise.

L’équité du traitement de données renvoie à la question du biais algorithmique et des résultats possiblement discriminatoires d’une IA. Cette problématique se pose lors du développement du modèle.

Le RGPD ne prescrit pas de mesures opérationnelles à cet égard. Cependant, le récent Data Governance Act souhaite mettre à disposition des données équitables via des espaces sécurisés. L’espace dédié à la santé, en cours de création, pourra devenir à terme une source de données de qualité respectant les fondamentaux du RGPD pour les sociétés d’IA.

Le EU AI Act prévoit des tests de biais pour les IA à hauts risques. Ces nouvelles obligations vont venir concrétiser les obligations du RGPD en la matière. L’anticipation de ces nouvelles réglementations peut devenir un avantage comparatif pour le futur déploiement de la solution.

La transparence renvoie à la connaissance par la personne de l’utilisation de ses données par une IA. La difficulté, ici, réside dans l’explicabilité d’une IA qui s’ajoute à l’information "RGPD" des personnes dont les données sont traitées. Lorsque des données pseudonymisées sont réutilisées, l’information, bien que difficile, reste à la charge de la société développant l’IA. Dans ce contexte, la création d’une page d’information des patients sur un site internet dédié est une piste de conformité pour la société.

En tout cas, c’est à travers des éléments concrets et documentés que les sociétés d’IA en santé pourront naviguer en eaux calmes.

www.iliomad.fr