Encore à l'état de proposition, l’Artificial Intelligence Act (AIA) va modifier le paysage règlementaire européen en matière d'intelligence artificielle. Frédéric Barbot nous explique à quoi il faut s'attendre dans le secteur de la santé, où les systèmes d'IA seront considérés comme "à haut risque".

Frédéric Barbot (source Inserm).

Par Frédéric Barbot, Praticien Hospitalier, Inserm CIC 1429, hôpital Raymond Poincaré APHP, Garches. Tech4Health. Réseau d’expertises F-Crin.

L’AIA est une proposition de règlement du parlement et du conseil européens dévoilée le 21 avril 2021, dont l'entrée en vigueur est programmée dans les prochaines années.

D'abord, le texte définit un système d’IA comme un logiciel, qui est développé au moyen d’une ou plusieurs des techniques et approches (plutôt larges) énumérées à l’annexe I (article 3.1). Trois catégories de techniques algorithmiques (Annexe I) sont concernées :

• les approches d’apprentissage automatique,
• les approches logiques et fondées sur les connaissances,
• les approches statistiques.

Un système proportionné fondé sur le risque

L’AIA établit de nouvelles règles harmonisées pour le développement, la mise sur le marché et l’utilisation de systèmes d’IA dans l’Union suivant une approche proportionnée fondée sur le risque.

Les règlements (UE) 2017/745 et 2017/746 relatifs aux dispositifs médicaux et dispositifs médicaux de diagnostic in vitro (respectivement RDM et RDIV) figurent dans la liste des actes d'harmonisation fondée sur le nouveau cadre législatif (annexe II section A, 11 et 12).

La plupart des systèmes d’IA en santé, autonomes ou embarqués dans un dispositif médical, seront considérés comme IA à haut risque, qu'il s'agisse d'algorithmes, de logiciels à base d’IA ou d’IA embarquée.

Une définition claire de ce que constitue un système d’IA à haut risque dans le secteur de la santé serait utile.

L’AIA apporte des règles sur la transparence algorithmique, l’explicabilité, l’interprétabilité, la qualité, l’intégrité, la sécurité, la robustesse, la résilience, la garantie humaine, l’auditabilité, et la traçabilité tout au long du cycle de vie d’un système d’IA.

On notera qu'un processus de gestion des risques avant et tout au long du cycle de vie du système d’IA sera mis en place (article 9). Tous les systèmes d’IA couverts par l’AIA devront se conformer aux obligations de suivi après commercialisation.

Des règles difficiles à respecter

L’auditabilité externe ou interne est intéressante. Elle évaluera le versant technique sur la performance du système d’IA et le versant éthique sur le respect de la vie privée et le caractère non discriminatoire de l’algorithme. Cependant, l’accès au code source et aux données d’entraînement ne sera pas simple, même aux auditeurs externes ou aux différents régulateurs.

L’explicabilité et l’interprétabilité seront des exigences difficiles à respecter pour certains algorithmes opaques et complexes tels que les réseaux de neurones.

En termes de qualité, les jeux de données d’entraînement, de validation et de test seront tenus d’être exempts d’erreurs (article 10(3)) : une exigence très compliquée voire impossible à mettre en place.

Une harmonisation qui promet d'être particulièrement complexe

L'articulation de l'AIA avec les autres règlements européens de santé RDM, RDIV, RGPD (protection des données), les différentes normes harmonisées et les nombreux documents d’orientation du MDCG représentent un immense défi. Le législateur européen devra s’assurer de la cohérence juridique de l’ensemble de ces différents règlements. Certains articles et définitions ne devront pas être en contradiction avec ces autres règlements de santé, même si de nombreux aspects de l’IA ne sont pas pris en compte dans le RDM ni dans le RDIV.

Par ailleurs, il existe déjà de nombreuses normes harmonisées ou non dans le cadre législatif des DM : ISO 14971/2019 (gestion des risques DM), AAMI 34971 (IA et apprentissage automatique), ISO 13485 (management de la qualité), IEC 62304 (cycle de vie du logiciel), IEC 82304 (sécurité des logiciels de santé) et ISO 2382 (technologies de l'information, vocabulaire). Ces dernières devront être adaptées en conséquence afin d’éviter la conception de nouvelles normes spécifiques à l’AIA.

Quelques conseils aux fabricants

Les fabricants de DM concernés doivent, dès maintenant, documenter, tracer et qualifier leurs modèles d’apprentissage automatique en santé (cf annexe IV). Il faut garder en tête le caractère probabiliste du modèle et avoir conscience de ses limites et de ses possibles erreurs. Le choix du jeu de données d’entrainement est un élément clef du modèle qui se doit d’être représentatif et non-biaisé de la population cible. Le choix du modèle et des données d’entrainement doit éviter un sous- ou un sur-apprentissage. Enfin, l’optimisation du "compromis biais/variance" reste une question fondamentale lors du développement de modèles d’IA.

Voici quelques éléments à prendre en compte dans un modèle d’apprentissage automatique...

Prétraitement des données brutes

• Qualité et quantité des données, rétrospectives ou prospectives ou étiquetées.
• Confidentialité des données (chiffrement…).
• Nettoyage des données (valeurs aberrantes ou manquantes, transformation des variables...).
• Représentativité des données de la population cible (sous-groupe en fonction de l’âge, du sexe, de l’origine ethnique…). Cela permet de diminuer les biais algorithmiques.
• Conformité de la protection des données avec le RGPD : pseudonymisation ou anonymisation des données, réutilisation des données, risque de réidentification des données, utilisation de données sensibles (art 9 du RGPD), consentement libre et éclairé, information et IA explicable aux patients.
• Segmentation des données en deux jeux de données : données d’entraînement (80 %) et données de validation (20 %).

Description du système d’IA

• Choix du type d’apprentissage, supervisé, non supervisé, par renforcement.
• Choix du type d’algorithme : régression linéaire, arbre de décision (interprétable) ou forêt aléatoire, réseaux de neurones (effet "boîte noire").
• Choix des hyperparamètres couplés aux données d’entraînement. Cela influence la conception du système d’IA et permet d’obtenir un modèle avec des performances optimales. Attention au sous- ou sur-apprentissage.
• Choix du type de validation croisée. Cela permet de sélectionner un modèle qui ne s’appuie pas trop sur le jeu de données d’entraînement.
• Choix des techniques de régularisation afin d’éviter un sur-apprentissage et de réduire la variance du modèle.
• Choix des métriques et validation des performances du modèle. Par exemple pour un système de classification (matrice de confusion (score F1, précision, sensibilité, spécificité), coefficient de corrélation de Matthews, courbe ROC et AUC, et pour un système de régression (Cp de Mallows, AIC, BIC R2 ajusté).
• Transparence du processus de modélisation (description des données entrantes et de sortie, architecture de calcul utilisé, différentes versions accessibles, accès au code source...).
• Test du modèle d’IA sur données externes et bien entendu en vie réelle pour anticiper les possibles variations de la performance du système d’IA.

Enfin, concernant la description des modifications tout au long du cycle de vie du système d’IA, il faut prendre en compte la mise à jour et le suivi du modèle au fil du temps, le système d’IA n’étant pas toujours verrouillé. Cela permet d’améliorer les performances prédictives du système d’IA. La question reste de savoir s'il y aura une possibilité de mise à jour régulière sans certification répétée.

Les systèmes d’IA en santé nécessitent une évaluation solide afin de garantir leur performance et leur sécurité. S’agissant d’un nouveau règlement européen ambitieux, il est fort probable qu’un lobbying intense sera mis en œuvre pour le modifier.

Il y a néanmoins un risque de contraintes règlementaires excessives qui va principalement toucher les start-up et les PME européennes. Un point fondamental à noter : tout système d’IA de santé hors de la communauté européenne devrait toutefois se conformer à ce nouveau règlement pour avoir accès au marché européen de la santé, ce qui serait logique et rassurant.

tech4health.fr