À l’heure
où les outils d’IA connaissent une progression fulgurante dans un contexte de
forte concurrence et d’« empilement des normes », deux
avocats adressent une série de recommandations aux porteurs de projets dans le
domaine de la santé. Objectif : créer un outil performant et conforme aux
règles existantes et à venir.
Alors
que le 2 février dernier, les 27 États membres de l’Union européenne ont adopté
l’Artificial Intelligence Act, ou IA Act, première règlementation
d’envergure sur l’intelligence artificielle dans le monde, les avocats Anne-Charlotte
Andrieux et Stéphane Astier ont décrypté début mars la « roadmap
juridique » liée au lancement d’une IA en santé, lors d’un webinaire
organisé par le cabinet Haas.
Fil
rouge de leur présentation, la question suivante : comment parvenir aujourd’hui
à s’engager dans un projet de recherche d’IA en santé et engranger suffisamment
de data sensibles pour obtenir des résultats pertinents et « concurrentiellement
adéquats », dans un environnement juridique sécurisé, tout en
respectant les droits et libertés des patients ?
L’IA
Act : un texte conséquent qui s’ajoute aux normes déjà existantes
Comme
l’explique Anne-Charlotte Andrieux, en France et en
Europe, « l’IA en santé est à la croisée de plusieurs normes et n’a pas
attendu l’entrée en application prochaine de l’IA Act ».
En
effet, en santé, on présume un risque élevé des IA qui seraient déployées dans
le domaine médical, « d’où le régime de protection renforcé qui vient
apporter une garantie documentée de conformité de ces IA ». Le Code de
la santé publique en France, « avec un principe éthique et fondateur au
niveau médical », le règlement MDR de 2017 sur les dispositifs
médicaux, la loi Bioéthique de 2021, le règlement IA « qui ajoute une
surcouche par rapport aux autres règlements », dont le Règlement général
sur la protection des données (RGPD)… Autant de normes pour la protection des
droits fondamentaux et données privées des patients dont ne dépend pas la
concurrence étrangère, à l’instar du marché asiatique où la « règlementation
est bien moins importante » pointe pour sa part Stéphane
Astier.
Des
normes qui vont cependant se voir complétées par l’IA Act, auquel les porteurs
de projet et acteurs dans le domaine médical devront se conformer dans les deux
ans après sa parution au Journal officiel de l’Union européenne (JOUE).
Mais
si cet « empilement de normes » peut paraitre contreproductif
pour les acteurs dans la conception d’un projet « en toute sérénité »,
ces textes viennent toutefois mettre en balance deux impératifs semblant pourtant
contradictoires nuance Stéphane Astier : la nécessité de déployer des dispositifs
d’IA toujours plus importants et gourmands en données et en énergie, au plus
près des données des patients, tout en préservant leur vie privée.
L’enjeu de centraliser des masses de data pour un outil d'IA performant
Selon
une étude de l’Institut national de la santé et de la recherche médicale (Inserm)
sur l’emploi de l’IA dans le secteur de la santé, six domaines dans lesquels l’IA
va venir révolutionner le soin, la recherche et le rapport entre professionnels
de santé & patients ont été identifiés, indique Anne-Charlotte Andrieux. A
savoir : la médecine prédictive, de précision, de prévention, d’aide à la
décision, le robot compagnon et la chirurgie assistée par ordinateur.
Six domaines
où l’IA va donc s’appuyer sur des technologies de deep learning, et qui
vont « nécessairement impliquer d’avoir en entrée une quantité de
données importante » ajoute l’avocate. « Une étape qui peut notamment
s’avérer compliquée dans le domaine de la santé a fortiori lorsque l’on est sur
des maladie rares » illustre-t-elle.
L’un
des enjeux dans la création d’une IA efficace en santé réside donc dans cette
collecte de données sources et de leur préparation. Là-dessus, « la France
et l’UE sont proactives pour essayer de créer un écosystème de partage de la
donnée qui est la condition sine qua non du développement de l’IA, et d’une compétitivité
européenne et française, sur ce type d’innovation » rassure Stéphane
Astier. Il y a donc là un « réel enjeu de souveraineté numérique ».
Sur
le sujet, trois initiatives ont déjà été menées, avec le Health Data Hub,
plateforme en ligne regroupant les données issues des actes de soins, « matière
première précieuse et essentielle pour la recherche », le European
Health Data Space, qui créé un marché unique et un cadre cohérent des
données de santé en Europe, et le European Data Governance Act « qui
vient ouvrir la donnée des organismes du secteur public en instaurant des
services d’intermédiation des organismes d’altruisme en matière de données pour
permettre aux grands et petits acteurs d’accéder à la donnée afin de favoriser la
R&D et l’innovation française et européenne », explique Anne-Charlotte
Andrieux. À charge pour les porteurs de projet demandeurs de clairement indiquer
auprès de la CNIL l’utilisation qu’ils comptent faire de ces données et la
finalité qu’ils entendent atteindre grâce à celles-ci.
Mais
l’enjeu écologique est également de mise dans la création d’une IA en santé,
pointe Stéphane Astier, avec cette massification de la data nécessaire qu’il
faut stocker, à l’heure où l’on parle de « sobriété numérique et de
réduction de son impact sur notre société et notre planète ». Toutefois,
« la course à la puissance technologique » n’est pas nécessairement
antinomique avec la sobriété numérique, puisqu’il est possible de « développer
des modèles qui encouragent les comportements respectueux de l’environnement »,
peut-on lire sur la plateforme pour créer des cas d’usage d’analyse sémantique
Golem.ai.
Normer
pour instituer une confiance dans les nouvelles technologies
Autre
enjeu dans la création d’une IA en santé, la confiance vis-à-vis de
l’utilisation de celle-ci par les médecins et les patients dans le traitement
de leurs données médicales. Car traiter ces data « très fines, au plus
proche de l’individu », mais nécessaires pour une IA performante, est
« potentiellement attentatoire à la vie privée. Il faut donc travailler
entre l’avancée et la recherche dans le secteur médical, et préserver la vie
privée du patient », prévient Stéphane Astier.
C’est
pourquoi la règlementation, « par des gardes fous », tente
d’imposer cette confiance, pointe Anne-Charlotte Andrieux, qui ajoute que
« l’IA Act essaie de répondre à tous ces défis avec une nouvelle réglementation
souverainiste pour créer un espace de confiance règlementé tout en favorisant
l’innovation au niveau français et européen ». L’IA Act est là pour
« établir un cadre cohérent, efficace et proportionné destiné à
garantir que l’IA soit développée de manière à respecter
les droits des personnes et à gagner la confiance de ceux-ci » est-il détaillé du côté de la
Commission européenne à l’origine du texte. Car « les dommages des
biais d’une IA en santé pourrait être une catastrophe » alerte
l’avocate.
Cet encadrement
juridique à l’échelle de l’Union européenne qu’est l’IA Act concourt ainsi à
donner confiance à la fois aux médecins et aux patients, le texte comportant
« un principe de sécurité et d’anticipation des biais et décisions
imprévisibles que pourrait prendre l’IA » pointe Anne-Charlotte
Andrieux.
L’avocate
recommande aux porteurs de projet « de faire de la prospective, un
principe qui va nécessairement s’interpréter au regard des nouvelles
dispositions qui vont entrer en vigueur en matière cyber », et d’anticiper
cela également au regard de ce qui existe déjà, notamment le RGPD.
« La
confiance réside également dans la conformité » soulève Anne-Charlotte
Andrieux. Les lourdes sanctions administratives prévues par l’IA Act et pouvant
aller jusqu’à 35 millions d’euros pour non-conformité aux pratiques interdites
peuvent ainsi rassurer les futurs utilisateurs mais également les patients, à
l’instar du marquage CE qui vient certifier une IA en santé.
Un
devoir de fiabilité, d’explicabilité, de surveillance et de confidentialité de
l’IA par le créateur
Par
ailleurs, l’IA Act dresse les quatre piliers essentiels pour assurer la
conformité de l’IA. Après un premier travail de contrôle de biais, de
documentation technique, de collecte et de préparation des données sources « qui
représente 80 % du travail dans le cadre d’un projet d’IA »,
selon le vice-président d’IBM Arvind Krishna, le créateur d’une IA en santé doit
s’assurer que le fonctionnement de son outil est compréhensible par les
professionnels de santé et les patients. Une obligation déjà introduite dans la
loi Bioéthique de 2021 et entériné dans l’IA Act, précise Anne-Charlotte
Andrieux.
Le
porteur de projet a également un devoir de surveillance avec la mise en place
d’un système de gestion des risques tout au long de la vie du produit. Il y a
une obligation de traçabilité, « il faut archiver pour surveiller l’IA
et son utilisation dans le temps » complète Stéphane Astier. A charge
également pour le créateur de remplir la case confidentialité, en garantissant
la robustesse, l’exactitude, la cybersécurité et la résilience de l’outil. Plusieurs
moyens techniques R&D dédié à la sécurité pour protéger contre les intrusions
externes et organisationnelles existent, à l’instar du référentiel ANSSI et ANS
et du Cyber Résilience Act (CRA) notamment.
Mais
plusieurs textes et doctrines restent encore à venir, et « de plus en
plus d’exigences vont peser sur les porteurs de projet » avertit Stéphane
Astier. C’est pourquoi s’emparer et se conformer à l’IA Act dès maintenant avant
son entrée en application définitive assure aux porteurs de projets et futurs
éditeurs d’outils d’IA en santé, une bonne base pour créer un outil fiable, qui
respecte les règles de conformité et ne porte aucunement atteinte à la vie
privée des patients. La version définitive de l’IA Act devrait être disponible
à compter du 22 avril, en vue d’une publication ultérieure au JOUE.
Allison Vaslin