Analyses d’impact sur la protection des données, dispositifs médicaux et intelligence artificielle

L’intelligence artificielle est aujourd’hui au cœur des préoccupations. Dans la santé, les fabricants cherchent à développer des outils de diagnostic – ou d’aide au diagnostic, diront certains – notamment en matière d’imagerie médicale. Partisans et opposants tentent de démontrer les bienfaits d’une avancée révolutionnaire ou les risques liés à une déshumanisation de la relation médecin-patient. Récemment, c’est le Comité consultatif national d’éthique (CCNE) qui appelait à la vigilance.

Mais au-delà de ces arguments, peut-être faut-il s’interroger quant au garde-fou que constitue votre texte préféré, au terme de cette année 2018 : le RGPD. Au stade où nous en sommes, vous m’autoriserez à ne plus expliciter l’acronyme. Deux points paraissent intéressants pour réduire les risques parfois dénoncés.

Le premier est lié à l’automatisation permise par les dispositifs médicaux dits « intelligents ». Par définition, ceux-ci traitent des données à caractère personnel. L’automatisation conduit donc à s’interroger quant à l’application de l’article 22, relatif aux décisions individuelles automatisées. Pour mémoire, ce texte s’applique aux décisions fondées exclusivement sur un traitement automatisé – ce qui est le cas d’un DM intelligent, potentiellement – affectant la personne de manière significative de façon similaire à une décision ayant des effets juridiques. Imaginons un dispositif médical visant à diagnostiquer la typologie de cancer et, en fonction du résultat, indiquant le traitement à mettre en œuvre. N’aurait-il pas un impact significatif sur le patient ? Cet impact ne serait-il pas similaire à une décision ayant des effets juridiques ? La question ne peut être tranchée de façon péremptoire s’agissant d’une hypothèse d’école, mais admettez qu’elle mérite d’être posée.

Bien, dans ce cas, le dispositif ne pourrait être utilisé qu’avec le consentement du patient, ce qui n’est pas problématique, eu égard aux termes de l’article L1111-4 du Code de la Santé Publique. Par ailleurs, la mise en œuvre du dispositif supposerait que le patient soit avisé de la logique sous-jacente mise en œuvre, ainsi que de l’importance et les conséquences prévues de ce traitement pour la personne concernée et offrir la possibilité d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision. Partant de là, l’idée d’une médecine totalement automatisée paraît juridiquement assez peu vraisemblable.

Deuxième élément du RGPD limitant le risque lié à l’utilisation de dispositifs médicaux intelligents : l’analyse d’impact. Pour mémoire, la Cnil et le CEPD imposent la réalisation de la fameuse PIA (privacy impact assessment) notamment lorsque sont traitées des données sensibles par des dispositifs totalement automatisés. Concrètement, cela signifie que les éditeurs de ces dispositifs médicaux logiciels autonomes vont devoir réaliser une analyse d’impact « type » à fournir à leurs utilisateurs ou coopérer avec leurs clients dans la réalisation de leur propre évaluation (Cnil, Délibération n° 2018-326 du 11 octobre 2018). Cette analyse va devoir contrôler l’impact d’un dysfonctionnement du logiciel pour les personnes concernées et, en cas de risque résiduel élevé, la Cnil devra être saisie. A n’en pas douter, les services de la Commission, confrontés à un DM intelligent exposant le patient à un risque important, imposeraient l’adoption de mesures de sécurité appropriées ou interdiraient la mise en œuvre du traitement de données automatisé.

Appréhender les évolutions liées à l’IA à l’aune du RGPD semble permettre d’envisager son utilisation avec plus de sérénité, le texte imposant de pouvoir contester toute décision automatisée, de pouvoir justifier sa logique et de ne la mettre en œuvre qu’après évaluation de l’impact sur le patient.