Les six points de vigilance pour contractualiser autour de l’intelligence artificielle

Accords entre Pfizer et Atomwise autour de la découverte de médicament, entre Babylon Health et l’assureur Prudential pour intégrer sa solution de diagnostic dans des applications mobiles, entre BioSerenity et des laboratoires pharmaceutiques pour le codéveloppement de dispositifs médicaux… mais aussi participation de start-up à des projets avec les établissements hospitaliers et des centres de recherche pour développer des algorithmes de prédiction de la réponse aux traitements… Si aujourd’hui, de plus en plus de projets en santé se revendiquent utilisateur d’intelligence artificielle, les différentes formes de cette technologie apportent de nouvelles questions dans la mise en place de contrats. Ces accords de partenariats, de prises de participation au capital de start-up, de co-développement de produits, etc. amènent des interrogations sur la répartition de la propriété intellectuelle, de la responsabilité et le partage technologique autour de projets où l’intelligence artificielle intervient.

1. Brevet, droits d’auteurs… les modes de protection choisis

La première question qui se pose concerne la façon dont sont protégés l’algorithme ou la solution s’appuyant sur de l’IA. “Au sein de l’IA, plusieurs éléments sont susceptibles d’être protégés, en particulier les algorithmes et les logiciels. En regard, plusieurs moyens de protection sont mobilisables avec, pour chacun, leurs conditions et leurs limites”, précise Cécile Théard-Jallu, avocate à la Cour de Paris et associée du cabinet De Gaulle Fleurance et associés (DGFLA). En fonction des régimes juridiques on parle soit de droit d’auteurs, soit de brevet. L’avocate de DGFLA précise le cas du droit d’auteurs : “Celui-ci protège les œuvres originales et non pas les simples idées ou concepts, qui sont considérés comme de « libre parcours » et donc non appropriables. Pour être éligible, l’algorithme devra en pratique faire partie du code source d’un logiciel original, sachant que la protection sera immédiate dès la création de l’œuvre à condition de pouvoir en prouver la date en cas de litige”. Guillaume Facchi, responsable des programmes stratégiques du pôle de compétitivité France Biovalley (ex-Alsace Biovalley) et secrétaire national du réseau Healthtech constate par ailleurs que “l’utilisation de l’IA est un sujet qui soulève beaucoup de questions. Si on veut vraiment protéger par un brevet une solution incluant de l’IA, il faut protéger un système. Il est très difficile de protéger par un brevet un logiciel”. Un point confirmé par Cécile Théard-Jallu qui précise : “Le monopole d’exploitation conféré par le brevet, quant à lui, requiert à la fois que l’œuvre soit nouvelle, implique une activité inventive et soit susceptible d’application industrielle. L’invention devra apporter une solution technique supplémentaire à un problème technique. Or, l’algorithme n’est pas protégeable par le brevet en tant que tel (s’agissant d’une simple théorie, méthode ou programme) et devra être intégré dans une solution brevetable. En droit français, une invention doit faire l’objet d’une demande de brevet avec un descriptif détaillé : l’algorithme sera alors rendu public. En outre, il sera figé dans sa version qui fait l’objet du dépôt et chaque nouvelle version réclamera un nouveau dépôt, ce qui n’est pas réaliste. Elle cite par ailleurs une autre façon de protéger un actif immatériel lié à l’IA : le régime sui generis du producteur de bases de données. “Il s’agit d’un régime spécifique au sein du droit de la propriété intellectuelle, qui confère une protection sur le contenu de la base, à celui qui y a investi des moyens humains, financiers et/ou matériels substantiels et peut s’ajouter ou venir en alternative du droit d’auteur qui lui, selon ses conditions, pourra protéger la structure. L’IA fonctionne nécessairement avec des bases qui stockent les données mises en œuvre, que ce soit en flux entrant ou sortant”, précise-t-elle. Enfin, elle appelle à considérer également la protection de l’innovation esthétique par les dessins et modèles ou encore le secret des affaires comme modes de protection.

2. La répartition de la propriété intellectuelle dans le temps

Et les questions autour de la stratégie de brevet ou droit d’auteur amènent aux discussions sous-jacentes de la répartition de la propriété intellectuelle. “Nous voyons souvent des sociétés arriver avec un projet de partenariat. La répartition des rôles a été faite sur celui qui apporte le financement, celui qui apporte la technologie… Mais le partage éventuel de ce qui va être produit n’a pas été anticipé. Il faut pouvoir poser ce que cela va devenir, les coûts éventuels”, prévient Hugues Villey, associé du cabinet BCTG Avocats. Il suggère notamment de “faire vivre l’accord” avec des échéances dans le temps.

3. L’utilisation de briques open source à analyser

En outre, l’utilisation de logiciels libres pour développer les algorithmes constitue un point de vigilance. A savoir si il s’agit de logiciel libre ou logiciel open source. Cécile Théard-Jallu pointe en effet l’utilisation fréquente de telles briques open source dans le développement des algorithmes.. “En matière d’IA, l’open source peut jouer un rôle majeur. Or les briques issues de l’open source relèvent parfois de licences « contaminantes ». Les améliorations ou nouvelles applications qu’elles engendreront devront en retour être partagées avec la communauté open source. Ce qui peut être un enjeu pour une start-up qui souhaite lever des fonds. En effet, les développements technologiques réalisés perdent alors souvent de la valeur et peuvent amener les investisseurs à exiger que le code soit réécrit en mode propriétaire avant de conclure l’opération, ou à abandonner le projet !”, indique-t-elle. Guillaume Facchi note par ailleurs que : “L’algorithme doit rester assez libre ou open source. Ce qui peut faire la différence, c’est la manière dont est développée la solution. Le fait de savoir comment et dans quelles conditions a été développé l’algorithme. Et le vrai challenge, c’est la donnée. Le réseau de données que l’on va mettre en place fera la différence”.

4. Les règles pour l’utilisation de données pour exercer l’algorithme

En effet, si la question de la protection de l’algorithme ou du système n’est pas spécifique au secteur de la santé, l’utilisation des données pour exercer les algorithmes implique l’accès à des données, notamment de santé. Cela fait ainsi l’objet d’accords entre les éditeurs et des centres de soins, établissements hospitaliers, centres d’imageries médicales… Pour ce type de contrats, se pose la question de la valeur des données sur laquelle les partenaires doivent s’entendre. Comme le souligne l’avocat Pierre Desmarais deux approches se font face : “Pour certain, le diamant n’a de valeur qu’une fois qu’il est taillé, tandis que pour d’autres avant d’être taillé le diamant a déjà du potentiel”.

Et le règlement général européen sur la protection des données personnelles (RGPD) s’applique depuis le 25 mai 2018. Notamment dans les contrats entre les éditeurs et leurs partenaires. “Dans ce type d’accord de partenariat, un schéma utilisé de façon récurrente est celui de l’éditeur qui met gratuitement à disposition d’acteurs de santé sa plateforme et son algorithme. En contrepartie, il accède lui aussi gratuitement à des jeux de données personnelles ou anonymisées en provenance de ces structures, et que l’éditeur injecte dans sa solution pour l’« entrainer » et en améliorer les performances. Il est alors essentiel d’encadrer clairement les droits et obligations de chacun sur des sujets variés : par exemple, le lieu où l’algorithme est installé et protégé des intrusions, les profils des personnes au sein de l’équipe du partenaire autorisées à l’utiliser voire à participer à son développement, la nature, la durée du projet et ses conditions de sortie… Du point de vue de la propriété intellectuelle, il faudra veiller à définir précisément le périmètre et les limites de la licence accordée au partenaire sur l’algorithme ainsi que les droits conservés par l’éditeur à la fois sur l’algorithme et ses améliorations. Les résultats de l‘utilisation seront à traiter en tant que tels”, détaille Nina Gosse, avocate à la Cour de Paris du cabinet De Gaulle Fleurance et associés (DGFLA).

5. La responsabilité du traitement autour des données 

Par ailleurs, les données de santé font partie des données dites “sensibles”. Se pose alors la question de leur traitement. “Pour ces données, le principe du RGPD est une interdiction du traitement, assortie des exceptions prévues à son article 9. En droit français, la loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée le 20 juin 2018, a repris ces exceptions dans leur substance et les a complétées, en maintenant des formalités administratives pour certains traitements n’entrant pas dans la liste d’exceptions prédéfinies. Les activités de recherche scientifique bénéficient en tant que telles d’un régime dérogatoire, avec la possibilité, par exemple, de déroger à certains droits individuels si le contexte le justifie”, précise Cécile Théard-Jallu. Le RGPD peut imposer au fournisseur des données et/ou à l’éditeur (selon le rôle joué par chacun) de réaliser des études d’impact, nommer un DPO, construire et tenir à jour un registre des traitements…

Les partenaires doivent alors définir les responsabilités autour du traitement des données. “Le contrat devra notamment déterminer qui est responsable de traitement, qui est sous-traitant le cas échéant, quelles mesures techniques et organisationnelles seront mises en place, quelles formalités éventuelles devront être réalisées auprès de la CNIL. Cela permet de garantir les flux de données tout en les sécurisant, sachant que le sous-traitant doit rendre les données ou les effacer en fin de relation contractuelle”, note Nina Gosse. Dans le cas d’un contrat entre une start-up et un grand groupe autour de l’utilisation de son algorithme ou sa solution, Nina Gosse souligne : “Une des garanties dont il faut s’assurer est que les données ont été collectées de manière licite et loyale et que l’éditeur peut les utiliser librement pour la finalité prévue au contrat”.

6. L’anticipation de la responsabilité autour des résultats

Enfin, si l’identification du responsable de traitement des données utilisées pour l’algorithme représente une étape, la responsabilité liée aux résultats fournis doit également être définie dans les accords. “La transformation numérique bouscule l’application du droit de la responsabilité et du droit contractuel français. Ce corpus juridique s’applique à ces nouveaux systèmes, mais est plus compliqué à appréhender. En matière de santé, il faut anticiper et formaliser la création des innovations : la propriété d’un algorithme ou encore la responsabilité juridique”, observe Hugues Villey. Du côté de DGFLA, Cécile Théard-Jallu détaille : “Le droit français de la responsabilité offre déjà un certain nombre d’outils pour gérer ces situations, d’autant que nous sommes encore dans un contexte d’IA faible. Ainsi, entre autres régimes, l’on pourra explorer la responsabilité du fait des choses, du fait d’autrui ou celle liée aux produits défectueux …”

Et pour se projeter autour des technologies utilisant de l’IA en santé, Guillaume Facchi interroge : “un algorithme d’IA pourra être capable d’inventer une innovation. Qui en sera l’inventeur ?”