top of page

Réglementation sur l'IA en santé : Où en est la France?

Alors que les avancées technologiques basées sur l'intelligence artificielle (IA) promettent des percées significatives dans les diagnostics et les traitements médicaux, la question de la confidentialité et protection des données personnelles des patients reste au premier plan des préoccupations.

 

Le lancement du comité de l'intelligence artificielle générative le 19 septembre 2023 en France, marque une étape importante dans la prise de conscience de l'importance d'un contrôle efficace de l'utilisation des données personnelles dans le développement de l'IA. Composé d'acteurs clés issus de divers secteurs, ce comité vise à éclairer les décisions du gouvernement et à positionner la France en tant que leader de l'innovation dans le domaine de l'IA.

 

Face à ces défis, la commission nationale de l'informatique et des libertés (CNIL) a élaboré un plan d'action ambitieux visant à concilier innovation et protection des individus. Ce plan se déploie autour de quatre axes majeurs : la compréhension du fonctionnement des systèmes d'IA, l'encadrement du développement d'IA respectueuses de la vie privée, le soutien aux acteurs innovants, et enfin, le contrôle et l'audit des systèmes d'IA pour garantir la protection des individus.

 

Dans ce contexte, la CNIL insiste sur le respect du principe de finalité dans l'utilisation des données personnelles en lien avec l'IA en santé. Bien que la définition précise de toutes les applications futures puisse être complexe lors de l'entraînement des algorithmes, il est impératif de définir clairement le type de système d'IA ainsi que ses principales fonctionnalités.

 

L'importance de sélectionner soigneusement les données utilisées pour l'entraînement des algorithmes est soulignée. L’idée est d'optimiser cet entraînement tout en évitant l'utilisation de données personnelles superflues et inutiles. De plus, des mesures de sécurité robustes doivent être mises en place pour protéger ces données contre tout accès non autorisé ou utilisation abusive.

 

En ce qui concerne la constitution des bases de données, deux approches principales sont généralement adoptées : la collecte spécifique de données personnelles à des fins définies et la réutilisation de données préexistantes pour d'autres finalités. Cependant, la compatibilité des objectifs initiaux de collecte avec les nouveaux usages et les conditions de constitution de la base de données initiale soulève plusieurs questions.

 

Quelle que soit l'approche choisie, il est impératif de garantir que la constitution de ces bases de données respecte les droits des individus concernés. Cela inclut notamment la mise en place de mesures d'information, soit avant la collecte des données, soit dans un délai d'un mois après que les tiers aient reçu ces données. Cette information est essentielle pour permettre aux individus d'exercer leurs droits fondamentaux, tels que le droit d'accès, de rectification, de suppression et d'opposition.

 

Par ailleurs, il est important d'adopter une approche responsable dans l'utilisation des données. Cela comprend une évaluation critique de la nature et de la quantité des données utilisées, la vérification des performances du système avec de nouvelles données, la distinction claire entre les données utilisées lors de l'apprentissage et de la production, ainsi que la mise en place de mécanismes de protection tels que la pseudonymisation ou le filtrage des données.

De plus, il est recommandé de documenter de manière exhaustive les modalités de constitution des jeux de données utilisés, de réévaluer régulièrement les risques pour les personnes concernées, et de garantir la sécurité des données en encadrant précisément les autorisations d'accès pour limiter les risques.

 

En pratique, pour une soumission d'une demande d'autorisation à la CNIL dans le cadre d'un essai clinique, les principes restent les mêmes : 


Avant de déposer une demande d'autorisation de recherche auprès de la CNIL, s'assurer que :

 

1. Le projet relève de la loi Informatique et libertés, ce qui signifie que le responsable du traitement doit être en France et/ou que les personnes impliquées doivent résider en France.

 

2. Il s'agit bien d'un projet de recherche dans le domaine de la santé, impliquant la collecte de données personnelles sensibles liées à la santé. Si le projet ne concerne pas la santé, d'autres règles s'appliquent.

 

3. Pour les projets de recherche dans le domaine de la santé, il est nécessaire de déterminer s'il implique directement des personnes ou non, et le cas échéant, quelle méthodologie de référence s'applique.

 

Une fois ces vérifications effectuées, s’assurer que le projet respecte les exigences suivantes :

 

- Identification claire des responsables du traitement et les sous-traitants, ainsi que les objectifs de la recherche et la justification de son intérêt public.

- Justification de la base légale du traitement des données et les raisons pour lesquelles des données sensibles sont collectées.

- Description les types de données collectées, leur nature, et la manière dont elles seront utilisées, en expliquant la pertinence de leur collecte.

- Présentation des détails sur les rapprochements ou les interconnexions de fichiers, ainsi que sur les destinataires des données et les modalités d'information des personnes concernées.

- Précisions des durées de conservation des données, les éventuels transferts de données en dehors de l'Union européenne, et les mesures de sécurité mises en place.

 

Pour faciliter le processus d'autorisation, il est recommandé d'identifier précisément toute non-conformité juridique ou technique avec la méthodologie de référence (MR) applicable, ce qui peut inclure des aspects tels que la nature des données collectées ou les modalités d'information des personnes concernées.

 

Ces informations sont généralement incluses dans le protocole de recherche et son résumé, avec d'autres détails pouvant être fournis en annexe ou dans une analyse d'impact (PIA) relative à la protection des données.


Pour en savoir plus :


Comments


bottom of page