1. La numérisation et la centralisation des données de santé posent des problèmes de sécurité de ces données sensibles. Sommes-nous prêts pour aller plus loin en ce sens ?
En effet, les problématiques inhérentes à la sécurité des données de santé, et notamment de leur transfert vers des Etats ne bénéficiant pas d’une protection aussi importante que la France ou les Etats soumis au RGPD en application des règles, sont plus actuelles que jamais.
On peut notamment prendre l’exemple du Health Data Hub mis en service en avril 2020 pour les besoins de la crise sanitaire qui constitue une base de données précieuse pour le développement de l’IA dans le secteur de la santé.
En effet, le Health Data Hub ambitionne d’accueillir sur sa plateforme l’intégralité des données du système national des données de santé (SNDS), c’est-à-dire l’ensemble des données de santé associées à un remboursement de l’Assurance Maladie qu'elles aient été collectées à l'occasion d'une prise en charge à l'hôpital, d'une visite chez le médecin ou encore d'une participation à une cohorte de recherche.
En l’espèce, le Health Data Hub a fait le choix de recourir au service d’hébergement de la solution éditée par Microsoft qui offre de solides garanties en termes de sécurité en matière de stockage et de conservation des données.
Or avec l’arrêt « Schrems II » rendu le 16 juillet 2020 par la CJUE qui a invalidé le Privacy Shield en affirmant que le transfert des données personnelles depuis l’Union européenne vers les États-Unis était contraire au RGPD, le choix de la solution de Microsoft soumis au droit américain par le Health Data Hub a été remis en cause.
La Cour de justice a en effet estimé que la surveillance exercée par les services de renseignements américains sur les données personnelles des citoyens européens était excessive, insuffisamment encadrée et ne comportait pas de réelle possibilité de recours pour les personnes concernées.
Au regard de la position adoptée par la CJUE, le Gouvernement avait audacieusement annoncé la migration du Health Data Hub vers un nouvel hébergeur soumis cette fois au droit de l’UE dans un délai de 12 à 18 mois.
Toutefois, depuis 2020 le constat reste le même : Pour l’heure, aucun hébergeur européen n’est en mesure de s’aligner sur Microsoft en termes de sécurité.
La présidente actuelle du Health data hub Stéphanie Combes affirmait d’ailleurs en septembre dernier que malgré la mise en place d’un benchmark visant à faire le tour des hébergeurs de données afin de procéder à cette migration, il existe encore un écart très (trop) important concernant les fonctionnalités de sécurité notamment (gestion des logs, gestion des clés de chiffrement etc.) entre les hébergeurs européens et Microsoft.
Dès lors, malgré les risques de transferts inhérents à la surveillance du gouvernement américain, Microsoft demeure aujourd’hui le meilleur choix en termes de sécurité.
Cette affaire met en lumière un défi majeur qui doit être relevé, au niveau national certes, mais surtout au niveau européen dans les prochaines années pour rester compétitif dans le secteur des données de santé : proposer des serveurs d’hébergement suffisamment robustes et sécurisés à même de concurrencer les géants du secteur, tels que Microsoft.
En effet, bien qu’une nouvelle décision d’adéquation en cours de discussion afin de combler le vide juridique laissé par l’invalidation du Privacy Shield, il est impossible de dire si les dispositions adoptées par le gouvernement américain satisferont la CJUE.
L’avis rendu par l’EDPB est positif et salue les efforts du gouvernement américains pour s’aligner sur les exigences posées par le RGPD. Pour autant, il souligne le manque de clarté de certains principes consacrés par l’Executive Order et relève que certains aspects de ce nouveau cadre juridique qui demeurent inchangés par rapport au Privacy Shield.
Par ailleurs, l’association de Max Shrems (NOYB) a d’ores et déjà sous-entendu dans le cadre de ses précédentes déclarations que si la décision était adoptée dans sa version actuelle par la Commission européenne, elle déposerait un nouveau recours devant la CJUE aux fins de faire invalider cette décision.
Dès lors, il semble que l’adoption d’une décision d’adéquation susceptible de recueillir l’aval de la CJUE et permettant de faire appel aux systèmes d’hébergement édité pas des hébergeur soumis au droit américain soit encore compromise pour le moment.
Il devient donc fondamental d’accompagner les hébergeurs de données européens afin de les aider à mettre en place des outils capables de répondre aux exigences actuelles en termes de sécurité.
Le projet pilote de l’Espace européen des données de santé pourrait constituer une piste de réflexion intéressante.
2. Nous avons vu ces derniers mois que l’Intelligence Artificielle devient tangible pour tout un chacun, avec sa démocratisation dont l’exemple le plus marquant est ChatGPT. Peut-on d’ores et déjà envisager l’IA comme un élément central du système médical de demain, ou doit-on plutôt s’en méfier ?
L’IA est d’ores et déjà devenue incontournable dans l’ensemble des secteurs de la santé.
On ne compte plus en effet le nombre de secteurs dans lesquelles l’IA s’est imposée comme un allié de premier ordre pour les professionnels de santé, que ce soit en matière d’aide au diagnostic, d’aide à la décision, en matière d’aide à l’interprétation de résultats mais aussi dans le secteur de la robotique (je pense notamment aux opérations qui sont réalisées avec l’assistance d’une IA).
Et ce phénomène ne fait et ne fera que s’accélérer.
Dans le domaine de l’imagerie médicale par exemple, des algorithmes sont en train d’être développés via la collecte de mégadonnées afin de permette, à terme, de détecter des lésions, de classer ces lésions (bénignes ou malignes) et même de prédire le pronostic pour les patients, en fonction des lésions détectées.
Ainsi, les systèmes d’IA s’inscrivent véritablement comme des outils révolutionnaires qui vont permettre à tous les acteurs de la santé de devenir encore plus précis, plus performants, plus rapide dans la réalisation de leur tâche.
Mais, comme n’importe quel outils, l’IA présente des failles. Des failles qu’il est impératif de connaître de façon à anticiper les dérives qui pourraient en découler.
Donc il ne faut pas, à mon sens, diaboliser l’IA mais plutôt l’appréhender pour ce qu’elle est, à savoir : un outil extraordinaire qui peut toutefois, s’il fait l’objet d’une utilisation malveillante, entraîner des conséquences désastreuses pour les droits et libertés des personnes.
Dans un cadre plus général, l’affaire Chat GPT constitue une parfaite illustration de l’importance de trouver cet équilibre.
En effet, le 31 mars dernier la CNIL Italienne a prononcé le blocage temporaire de l’application Chat GPT après avoir identifié plusieurs violations au RGPD.
Pour motiver sa décision la CNIL italienne avance notamment l’inexactitude des données traitées qui violerait le principe de loyauté du RGPD.
La CNIL française a également été saisie de deux plaintes à l’encontre de Chat GPT début avril qui reprennent les mêmes moyens soulevés par son homologue italienne dans le cadre de sa décision de blocage.
Les problématiques tant étiques que juridiques soulevées dans le cadre de l’affaire Chat GPT, sur la sécurité et la qualité des données collectées notamment, vont nécessairement impacter le développement des autres systèmes d’IA et, par conséquent, les systèmes d’IA développés dans le secteur de la santé.
En effet, dans un secteur aussi sensible que celui de la santé, la collecte massive de données est importante certes, mais la qualité et la pertinence des données collectées est fondamental pour assurer un traitement pertinent et performant des données par les algorithmes des IA.
Il est donc primordial de prendre ces problématiques à bras le corps de façon à développer des outils en mesure d’assurer un contrôle sur la nature des données collectées et aussi sur tous les aspects de leur traitement.
Et seule une réponse harmonisée sur le plan européen, à travers la construction d’une politique commune encadrant l’IA permettra constituer un rempart efficace contre les dérives inhérentes à utilisation malveillante de cet outil.
Il serait intéressant d’observer la nature des process en matière de contrôle et de sécurité des IA qui seront proposés in fine dans le cadre du règlement européen sur l’IA en cours de discussion, pour répondre à ces problématiques.
3. Pensez-vous que la France constitue un terrain favorable au développement des IA au vu de sa réglementation par rapport à d’autres pays ?
Pour se développer, l’IA a besoin de pouvoir amasser toujours plus de données afin d’affiner son algorithme et répondre de manière toujours plus pertinente aux besoins des acteurs.
En France, nous sommes régit par un encadrement particulièrement protecteur s’agissant de la collecte et du traitement des données de santé.
Comme vous le savez les données de santé ne sont pas des données comme les autres, dans la mesure où elles touchent ce qu’il y a de plus intime chez les personnes.
Elles ont juridiquement été qualifiées de donnée de « sensible » et bénéficient, à ce titre, d’une protection renforcée, par rapport aux autres données personnelles.
Et c’est au regard de la sensibilité particulière inhérente aux données de santé que le législateur français, sous l’impulsion de la réglementation européenne, a construit dans ce domaine un encadrement juridique particulièrement protecteur.
En témoigne d’ailleurs l’obligation d’information pesant sur les professionnels de santé utilisant un dispositif médical comportant un traitement de données algorithmiques pour réaliser un acte de prévention, de diagnostic ou de soin consacrée par le nouvel article L. 4001-3 du CSP dans le cadre de la loi relative à la bioéthique.
Cet article oblige en effet les professionnels de santé à informer préalablement les patients de l’utilisation de ce type de dispositif et de leur expliquer de manière claire le résultat obtenu.
Le régime juridique imposé par le législateur français peut apparaitre à première vue comme une contrainte pour les chercheurs et pour les entreprises qui ont besoin de collecter un maximum de données pour enrichir l’algorithme de leurs IA notamment au regard de la lourdeur procédurale imposée en la matière.
D’un autre côté, ce régime particulièrement protecteur permet de garantir la fiabilité, la qualité mais aussi la sécurité du traitement des données sensibles, ce qui est incontournable dans la mise au point d’algorithmes performants.
La mise en cause de Chat GPT par les différentes autorités européenne, notamment sur l’exactitude des données utilisées pour nourrir son algorithme est une illustration édifiante du besoin fondamental de bénéficier d’un stock de données de qualité afin de pouvoir développer des outils performants. A fortiori dans un secteur aussi sensible que la santé.
Toutefois au-delà de la règlementation française, c’est une harmonisation autour la réglementation sur l’IA au niveau européen qui permettra de créer un terrain favorable à son développement.
A cet égard, le projet-pilote de l’Espace européen des données de santé sur la création d’un espace européen de partage des données de santé à l’échelle européenne constitue une piste intéressante à exploiter. De même que le règlement européen sur l’IA qui est en cours de préparation.
