Si les atouts de l'IA en santé sont considérables, les risques qu'elle entraîne n'en sont pas moins réels. D'où l’intérêt du concept de garantie humaine que Maître Cécile Théard-Jallu a présenté en septembre dernier à la Rentrée du DM à Besançon et qu'elle nous explique ici.

Maître Cécile Théard-Jallu (source De Gaulle Fleurance).

Par Maître Cécile Théard-Jallu, associée de la société d’avocats De Gaulle Fleurance & Associés

Parmi les enjeux liés à l’intelligence artificielle, l’éthique occupe une place majeure. En effet, de nombreux protagonistes partagent la volonté de préserver l’autonomie de l’homme et son contrôle sur la machine, cette dernière devant demeurer un outil lui permettant de prendre des décisions plus éclairées à des fins légitimes. Ce principe de garantie humaine est l’un des piliers de la politique européenne de développement de l’IA parmi 6 autres principes clefs : (i) robustesse technique & sécurité, (ii) respect de la vie privée & gouvernance des données, (iii) transparence, (iv) diversité, non-discrimination & équité, (v) bien-être sociétal & environnemental, (vi) responsabilité. Il est également au cœur du partenariat mondial pour l’intelligence artificielle lancé en juin 2020 par la France et le Canada en vue d’une compétitivité internationale durable. Ce partenariat a déjà permis de rallier près d’une quinzaine de pays dont les Etats-Unis, le Royaume-Uni ou la Corée du sud.

La garantie humaine est particulièrement légitime dans le secteur de la santé, tant s’y développe l’usage de l’IA tout au long du parcours du patient. Les atouts de l’IA sont considérables (médecine personnalisée dans la prévention, le diagnostic et le soin, plus grande fiabilité des actes médicaux grâce aux données de référence massives, optimisation des flux des établissements, etc.). Toutefois, les risques sont aussi réels, en particulier d'une perte d’autonomie du professionnel de santé dans sa prise de décision, d'une remise en cause du lien avec le patient ou de la présence de "boîte noire".

La France est pionnière sur le sujet sous l'impulsion d'acteurs de terrain comme les français David Gruson et Judith Mehl. Ainsi, le Comité consultatif national d’éthique s’en est emparé en publiant le 29 mai 2019, un avis n°130 posant les fondations de ce concept. Elles s'articulent autour de 12 recommandations qui appellent notamment à la responsabilisation des acteurs, à un contrôle indépendant et à la formation des professionnels. Le concept est désormais promu devant l’OMS dans le cadre d’une task force dédiée à la régulation de l’IA.

Une probable adoption du principe en droit français

Ayant presque achevé son parcours parlementaire après une adoption en seconde lecture par l’Assemblée nationale en juillet 2020, l’article 11 du nouveau projet de loi bioéthique préconise d’intégrer la garantie humaine dans un nouvel article L. 4001-3 du Code de la santé publique. Selon cet article :

« I. Lorsque, pour des actes à visée préventive, diagnostique ou thérapeutique, est utilisé un traitement algorithmique dont l’apprentissage est réalisé à partir de données massives, le professionnel de santé qui décide de cette utilisation s’assure que la personne concernée en a été informée au préalable et qu’elle est, le cas échéant, avertie de l’interprétation qui en résulte.

II. La traçabilité des actions d’un traitement mentionné au I et des données ayant été utilisées par celui-ci est assurée et les informations qui en résultent sont accessibles aux professionnels de santé concernés.

III. Un arrêté du ministre chargé de la santé établit, après avis de la Haute Autorité de Santé, la liste des types de traitements algorithmiques qui font l’objet de l’information mentionnée au I. Il détermine, après avis de la Commission nationale de l’informatique et des libertés, pour chaque type de traitement, la nature et la durée de conservation des actions et des données dont la traçabilité est prévue au II ».

Le concept repose donc actuellement sur :

• une information du patient en amont de l’usage et une fois les résultats générés, sous le contrôle du professionnel de santé ;
• une capacité des outils d’IA et de ses acteurs à tracer les traitements et les données et à assurer une transparence à l’égard du professionnel utilisateur ;
• le tout orchestré par un cadre règlementaire adopté sous le contrôle des autorités chargées de superviser soit l’activité de soins (ainsi que la prise en charge des outils par l’assurance maladie), soit la protection des données personnelles.

Le texte antérieur, imposant que la saisie de données soit réalisée sous la supervision du professionnel de santé ou que la décision médicale ne puisse pas reposer sur le seul outil d’IA, a disparu au cours des débats parlementaires. Il est vrai qu’il présentait notamment le risque de freiner l’adhésion à certains outils d’IA utilisés en autonomie par les patients, décourageant ainsi l’innovation. L’obligation de transparence, attribuée aux concepteurs, était quant à elle mentionnée de façon générique.

Un principe à prendre en compte dès la phase de conception du DM

Les dispositifs médicaux intègrent de plus en plus d’IA. Le fabricant est donc concerné par ce nouveau principe puisque l’exigence de traçabilité et de partage d’informations liées à l’IA devra être prise en compte dès la phase de conception puis tout au long du cycle de vie du produit. Cette prise en compte concerne d'ailleurs tous les acteurs du produit en question : fabricants, fournisseurs, prestataires, distributeurs, utilisateurs et assureurs, dont les polices devront être conçues en conséquence.

Un contrôle devra également être effectué, avec des procédures ciblées, prévues ou aléatoires, internes ou externes. A noter qu'un projet pionnier dans le domaine bucco-dentaire a déjà mis en place le premier collège de garantie humaine.

Le principe figure aussi dans la grille d’auto-évaluation des DM intégrant de l’IA, publiée le 14 octobre 2020 par la HAS. Il s’agit en quelque sorte d’instaurer une "garantie humaine by design", à l’instar du "privacy by design" insufflé par le RGPD, et de suivre son respect tout au long du parcours du dispositif médical, en se reposant sur les 3 niveaux de supervision recommandés par l’UE :

• Human-In-the-Loop (HITL) : intervention humaine dans chaque cycle de décision lié à l’outil d’IA,
• Human-On-the-Loop (HOTL) : intervention humaine dans la conception de l’outil d’IA et son fonctionnement,
• Human-In-Command (HIC) : capacité de superviser l’activité générale du système d’IA.

La garantie humaine doit encore être précisée dans ses contours, tant au regard des informations à partager par le professionnel de santé avec son patient qu’en ce qui concerne les traitements et les jeux de données à tracer et à contrôler. Le partage des données de référence pour consultation par les professionnels de santé pose aussi la question de la compatibilité du nouveau dispositif avec la protection de la propriété intellectuelle.

Quoi qu’il en soit, les premières expériences de terrain que j’ai pu observer montrent que certaines organisations se sont déjà emparées du sujet pour l’inclure dans leurs documentations juridiques et opérationnelles. Comme souvent sur le marché, il vaut mieux être leader que suiveur.

[lien vers une version de cet article en anglais]

www.degaullefleurance.com