Qualifiées de « particulières » [1] tant leur impact sur la vie des personnes peut être majeur, les données de santé sont également source d’opportunités sur le plan de la recherche et de l’innovation. Reflet de cette nature antinomique, les données de santé font l’objet d’un cadre règlementaire particulièrement riche et complexe visant à protéger sans trop entraver.
Plusieurs textes se juxtaposent à la fois en droit interne et communautaire, notamment : le règlement européen sur la protection des données (RGPD), les dispositions du Code de la santé publique, la loi informatique et libertés, mais également les règlements européens sur les essais cliniques, les dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro.
Cet arsenal juridique devrait bientôt s’enrichir de nouvelles dispositions issues de deux projets de textes :
- La proposition de règlement relatif à l’espace européen des données de santé
- La proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle, qui vient d’entrer dans la phase finale du processus législatif après adoption par le Parlement ce 14 juin de sa position de négociation à large majorité.
Que faut-il en attendre ? Dans le secteur de la santé, ces textes poursuivent plusieurs objectifs s’attachant à préserver un équilibre délicat entre libération du plein potentiel des données de santé et respect des droits et libertés des citoyens de l’Union européenne.
Améliorer l’accès des personnes à leurs données de santé et renforcer leur contrôle sur ces données
Le chapitre II de la proposition de règlement encadre l’utilisation dite « primaire » des données de santé. Il s’agit de l’utilisation initiale des données faite dans un environnement de soins et généralement partagées par les patients eux-mêmes, à des fins de diagnostics, actes médicaux ou prescriptions.
S’agissant de cette utilisation primaire, plusieurs dispositions visent à favoriser l’accès aux données et leur contrôle.
Le droit d’accès prévu par le RGPD est renforcé. Les personnes physiques devront désormais pouvoir accéder à leurs données de santé électroniques de façon « immédiate ». [2]
Elles pourront par ailleurs davantage contrôler leurs données de santé, avec notamment la possibilité d’ajouter des informations (données provenant d’une application e-santé ou d’une montre connectée par exemple) dans leur propre DME. [3] Ces informations seront signalées comme ayant été ajoutées par la personne afin d’éviter toute confusion avec celles produites ou vérifiées par un professionnel de santé (comptes-rendus d’analyses, prescriptions…).
Ce souhait d’offrir plus de contrôle aux citoyens se perçoit également dans la réaffirmation du droit de rectification, la possibilité pour les personnes d’obtenir des informations sur les prestataires et professionnels de santé qui ont eu accès à leurs données, ainsi qu’au droit de donner accès et partager leurs données de santé avec un professionnel de leur choix, y compris dans un autre Etat membre.
Ce partage pourra se faire via le format européen d’échange des dossiers médicaux électroniques, prévu à l’article 6 du projet de règlement et favorisant l’interopérabilité.
Soutenir la recherche et l’innovation en facilitant la réutilisation des données de santé
L’utilisation « secondaire » des données de santé est encadrée par le chapitre IV du projet de règlement. Il s’agit de la réutilisation des données de santé, notamment à des fins de recherche scientifique ou pour des raisons d’intérêt public.
L’enjeu est ici crucial en termes de santé publique et d’innovation. En effet, la réutilisation des données de santé fait aujourd’hui l’objet d’un traitement très hétérogène au sein de l’Union européenne. Si certains Etats membres se sont saisis de la question et ont mis en place des plateformes dédiées (Health Data Hub en France), il n’existe pas de lien entre ces dernières qui permette de voir émerger des projets transfrontaliers.
L’ambition du texte est donc de créer un cadre commun pour l’utilisation secondaire transfrontalière des données de santé.
Tout d’abord, le projet de règlement dresse une liste des données destinées à une utilisation secondaire. A noter que cette liste vise notamment les « données de santé électroniques générées par la personne, dont celles générées grâce aux dispositifs médicaux, aux applications de bien-être ou aux autres applications de santé numériques » [4], en contradiction avec l’avis conjoint du CEPD et du contrôleur européen de la protection des données, lequel avait souligné les risques inhérents au traitement de ce type de données : manque de fiabilité et inexactitude des données générées, caractère invasif de ces dispositifs et applications.
Le projet fixe également les finalités pour lesquelles les données de santé pourront être réutilisées et au contraire celles pour lesquelles l’utilisation secondaire sera interdite. Il est ainsi possible de réutiliser des données de santé pour des motifs d’intérêt public dans le domaine de la santé, la production de statistiques officielles, ou la recherche scientifique. Au contraire, l’utilisation secondaire ne pourra servir à la prise de décisions préjudiciables telles que, par exemple, l’exclusion du bénéfice d’un contrat d’assurance.
Les Etats membres devront désigner un organisme responsable de l’accès aux données de santé. Les organismes souhaitant procéder à une réutilisation devront nécessairement obtenir une autorisation préalable auprès de cet organisme. Une fois octroyée, cette autorisation fera l’objet d’une reconnaissance mutuelle au sein de l’UE et les données seront mises à disposition dans un environnement sécurisé, de façon anonymisée (ou pseudonymisée si la finalité ne peut pas être poursuivie autrement). L’utilisateur des données devra se conformer strictement aux conditions énoncées par l’autorisation sous peine de sanctions pouvant aller jusqu’à l’interdiction de tout accès pendant 5 ans.
Le projet prévoit aussi la mise en place d’une infrastructure dédiée à la réutilisation transfrontalière des données de santé (HealthData@EU), sous la supervision de la Commission européenne.
Encadrer l’utilisation de l’intelligence artificielle dans le domaine de la santé, selon une approche par les risques
Les algorithmes d’intelligence artificielle (IA) trouvent une application particulièrement prometteuse dans le secteur de la santé. Dans le domaine de l’imagerie par exemple, l’IA est capable d’exploiter et d’analyser des centaines d’informations fournies par une radiographie mais non visibles par l’homme ce qui permet notamment la classification de lésions (cancer, lésions bénignes…) et la prédiction de leur évolution.
Un consensus existe sur les bénéfices pouvant être apportés par l’IA dans le secteur de la santé et c’est ainsi que sur l’année 2022, ce n’est pas moins de 10 projets de recherches utilisant de l’IA qui ont été autorisés par la CNIL, portant par exemple sur le développement d’un algorithme d’IA pour l’interprétation de mammographies. [5]
A noter que le projet de règlement sur l’espace européen vise explicitement l’IA parmi les finalités autorisées dans le cadre de l’utilisation secondaire des données de santé. La réutilisation pourra ainsi concerner la formation, le test et l’évaluation des algorithmes « entre autres dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numérique ». [6]
En ce domaine comme dans d’autres, il s’agit de respecter un juste équilibre. C’est l’objectif du projet de règlement sur l’IA qui vise à promouvoir le développement et l’utilisation d’une IA digne de confiance tout en tenant compte des risques pour les libertés individuelles et la sécurité des utilisateurs.
Pour ce faire, le projet de règlement retient une approche par les risques plutôt que sectorielle. Ainsi, un système d’IA peut présenter 4 niveaux de risques : inacceptable et par principe interdit, haut risque et soumis au respect d’exigences spécifiques, risque limité ou enfin risque minimal.
Les dispositifs médicaux (DM) et les dispositifs médicaux de diagnostic in vitro (DMDIV), qui occupent une place très importante dans le secteur de la santé, sont classés pour certains dans la catégorie à « haut risque ».
En effet, l’article 6 considère les systèmes d’IA comme étant à haut risque lorsque les deux conditions suivantes sont remplies :
- Le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par les actes législatifs d’harmonisation de l’Union énumérés à l’annexe II, ou constitue lui-même un tel produit ;
- Le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément aux actes législatifs d’harmonisation de l’Union énumérés à l’annexe II.
Or, les règlements 2017/745 et 2017/746 relatifs aux DM et DMDIV figurent dans la liste de l’annexe II. Tous les DM et DMDIV soumis à une procédure d’évaluation de la conformité par un tiers avant mise sur le marché en vertu de ces règlements seront donc considérés comme étant à haut risque dès lors qu’ils sont -ou intègrent- un système d’IA.
Les systèmes d’IA à haut risque devront répondre à de nombreuses exigences notamment : la mise en place d’un système de gestion des risques, le recours à des jeux de données d’entraînement, de validation et de test satisfaisant certains critères de qualité, la tenue d’une documentation technique, la transparence envers les utilisateurs et le contrôle humain.
Le projet de règlement distingue les obligations des fournisseurs de systèmes d’IA à haut risque de celles incombant à leurs utilisateurs. C’est sur les fournisseurs que reposera la responsabilité, notamment, d’établir la documentation technique du système d’IA à haut risque et de veiller à ce que celui-ci soit soumis à la procédure d’évaluation de la conformité adéquate avant mise sur le marché.
Les fabricants de DM et DMDIV doivent donc s’intéresser à l’articulation du AI Act avec leurs obligations découlant des règlements 2017/745 et 2017/746, et commencer à documenter, qualifier et classifier leurs systèmes d’IA.
Sources :
[1] Article 9.1 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[2] Article 3.1 de la proposition de règlement relatif à l’espace européen des données de santé.
[3] Article 2.2 m) de la proposition de règlement relatif à l’espace européen des données de santé, « DME » (dossier médical électronique) : un ensemble de données de santé électroniques relatives à une personne physique collectées dans le système de santé et traitées à des fins de soins de santé.
[4] Article 33 de la proposition de règlement relatif à l’espace européen des données de santé.
[5] (2023, 10 février). IA et mégadonnées, comment vont-elles révolutionner la recherche et la pratique médicales de demain ? [Conférence]. Conseil d’Etat, Paris. [Revoir] IA et mégadonnées, comment vont-elles révolutionner la recherche et la pratique médicales de demain ? (conseil-etat.fr)
[6] Article 34.2. g) de la proposition de règlement relatif à l’espace européen des données de santé.