Pierre Desmarais (Desmarais Avocats) : “IA, RGPD et santé, quid novi ?”

L’habitude de publier des lignes et des lignes d’exégèses concernant la compatibilité de l’intelligence artificielle (IA) avec le Réglement général sur la protection des données (RGPD) s’était presque perdue. L’honneur est sauf, le service de recherche du Parlement européen (EPRS), vient de publier un rapport sur le sujet (The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, European Parliamentary Research Service – Scientific Foresight Unit (STOA), PE 641.530 – June 2020).

Sans grand étonnement, il s’ouvre sur les apports possibles de l’IA, et dès la 3e ligne, tout est dit pour la santé : de meilleurs soins. Un joli cliché, renforcé par le fait qu’en 100 pages, le Service n’a évoqué la notion de dispositif médical qu’une seule fois, et ce à titre d’exemple de l’intérêt d’une approche par le risque. La question de la réutilisation des données collectées par les DM intelligents à des fins d’amélioration des algorithmes n’aurait-elle pas dû être évoquée ?

L’EPRS envisage trois types de « tensions » entre l’IA et le RGPD : la limitation des finalités et la question de la compatibilité de la réutilisation, la minimisation des données et l’information due aux personnes concernées, notamment en présence d’une décision automatisée.

Les implications dans la santé

Dans le domaine de la santé, la loi de 1978 et les méthodologies de référence permettent de balayer l’obstacle relatif au principe de limitation. Oui, des données relatives à la santé, collectées dans un environnement hospitalier ou médical, peuvent être réutilisées à des fins de machine learning.

Concernant la minimisation des données, en conflit apparent avec la nécessaire volumétrie et précision du big data, elle ne constitue plus – en France, tout du moins – un obstacle à l’IA. La généralisation des entrepôts de données de santé et la multiplication des sources alimentant la Plateforme des données de santé démontrent sans aucun doute que la Cnil (Commission nationale de l’informatique et des libertés) et le Parlement français ont d’ores et déjà considéré que ce principe pouvait s’interpréter comme visant à “dépersonnaliser” les données, en les pseudonymisant, plutôt que comme l’obligation de restreindre le nombre de données à collecter ou leur granularité.

La question de l’information reste effectivement ouverte. Mais pas pour des raisons juridiques. Le Code des Relations entre le Public et l’Administration et la future loi bioéthique prévoient déjà que les patients devront recevoir une information sur les critères décisionnels retenus par l’algorithme et être mis en mesure de les contester. Le challenge est plutôt technologique et humain, les “raisonnements” suivis par l’IA – et plus particulièrement par un algorithme de deep learning – n’étant pas susceptibles d’être expliqués. A fortiori semble-t-il donc délicat de permettre d’en critiquer les prémisses.

Ne devrait-on pas s’étonner qu’un service chargé de proposer des analyses objectives de l’état de l’art pointe dans un rapport des obstacles juridiques que la pratique a désormais réglé ? Car si des fabricants de DM ont pu obtenir le marquage CE pour des IA d’aide au diagnostic, on peut espérer qu’ils ont su les contourner.

Le rapport évoque la nécessité de définir des notions ambiguës et des concepts théoriques, figurant dans un texte s’abstenant de toutes prescriptions pratiques. On ne peut qu’abonder dans le sens du Service de recherche sur ce point, mais ne faut-il pas regretter qu’il invite les autorités de protection des données européennes à intervenir sur le secteur de l’IA pour créer un cadre de soft law ?

Déjà, parce que les autorités ont commencé à interpréter le RGPD. La possibilité de dégager des données relatives à la santé à partir de données « lambda » a été expressément mise en avant par la Cnil, le 23 janvier 2018, et dans son rapport d’activité, la Commission avait souligné, à propos du futur règlement ePrivacy, la possibilité de “tirer des conclusions précises sur la vie privée des personnes intervenant dans la communication électronique, comme (…) leurs problèmes de santé”. La Cnil conseille, interprète, recommande. Elle ne prescrit rien, et heureusement.

Ensuite parce qu’appeler les autorités à fixer un cadre pour l’utilisation de données à caractère personnel pour l’entraînement d’algorithme d’IA n’est clairement pas une solution. La levée absolue de l’incertitude juridique se ferait alors au détriment de la capacité d’innovation. Ce qui doit être encouragé, c’est la médiatisation non pas seulement des sanctions et manquements relevés par les Cnil de l’UE, mais également des bonnes pratiques et des possibilités explorées par des chercheurs et validées par elles.