Les enjeux juridiques de l’IA en santé
Avocate, intervenant notamment dans le secteur santé, Marguerite Brac de la Perrière plaide pour l’ouverture d’une « tribune » entre les acteurs de l’IA en santé, leurs conseils juridiques et les autorités. La mise en place de pratiques cohérentes et harmonisées entre les acteurs en matière de Big Data et d’IA s’impose, afin, d’une part, de protéger les droits et libertés des patients, d’autre part, de permettre une concurrence loyale entre les acteurs.
EN BREF
– Les données de santé sont désormais définies, mais leur qualification peut requérir une appréciation in concreto, en fonction des éventuels croisements, et de la finalité et destination d’utilisation des données ;
– Les transferts de données en dehors de l’Union Européenne, en particulier vers les États-Unis, suscitent des interrogations quant à leur encadrement suite à l’invalidation du Privacy Shield, et, s’agissant du Health Data Hub, ils viennent d’être interdits[1];
– La certification de processus d’anonymisation sécuriserait et faciliterait l’activité des acteurs, possiblement à partir de cas d’usages, et en organisant des évaluations et mises à jour régulières ;
– Le secteur a besoin de tribunes pour poser le cadre sécurisé de cas d’usages en matière d’IA.
L’INTERVIEW
Est-il possible de distinguer les données médicales des données de suivi d’activité, etc. ?
La réglementation propose désormais une définition des données concernant la santé : « les données à caractère personnel relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
La CNIL distingue trois catégories de données de santé : les données de santé par nature, les données de santé par croisement et les données de santé par destination. Les données de santé par nature sont les données médicales au sens de l’article L1111-7 CSP, c’est-à-dire les antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc.
Les données de santé par croisement sont celles qui, du fait de leur croisement avec d’autres données, permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne, ainsi le croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), le croisement de la tension avec la mesure de l’effort, etc.
Enfin, les données par destination sont celles qui deviennent des données de santé en raison de l’utilisation qui en est faite au plan médical.
Cette compréhension élargie de la donnée de santé s’inscrit dans la lignée de la doctrine de l’ASIP santé – remplacée par l’Agence Numérique en Santé (ANS) – laquelle la définissait comme toute donnée susceptible de révéler un état pathologique.
La qualification juridique emporte des obligations spécifiques s’agissant des conditions de réalisation des traitements, notamment des mesures techniques et organisationnelles appropriées à la sensibilité des données.
Comment cette complexité réglementaire relative aux données est-elle vécue par les acteurs de l’IA en santé ?
En pratique, « révéler des informations sur l’état de santé des personnes » – selon la formulation du RGPD – suppose une appréciation in concreto. Par exemple, il a longtemps été considéré que les rendez-vous médicaux ne constituaient pas des données de santé pour peu qu’ils n’incluent pas les motifs de consultation, mais considérant que la spécialité du professionnel consulté est susceptible de révéler des informations sur la santé, il en est désormais autrement.
Les traitements de données à caractère personnel sont encadrés par des principes transversaux, notamment la limitation des finalités et de la conservation des données, la minimisation de la collecte de données ou encore la transparence et la loyauté, ainsi que des obligations générales, par exemple la mise en œuvre des mesures techniques et organisationnelles de sécurité « appropriées », renvoyant ainsi à différents référentiels sectoriels.
Il appartient ainsi à l’acteur mettant en œuvre les traitements d’identifier ces référentiels de sécurité spécifiques, tels que la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), différentes délibérations de la CNIL, etc. La difficulté résulte donc de la connaissance de ces référentiels spécifiques, et la capacité des acteurs à les appréhender.
Quelles sont les textes et autorités concernées et comment organisent-elles leurs recommandations ?
La santé numérique ne constituant pas une matière juridique, mais un secteur d’activité,
de nombreuses « strates » de règlementations trouvent à s’appliquer, en premier lieu celle relative à la protection des données – puisqu’il n’y a pas de projet numérique sans traitements de données – et celles relatives aux plateformes numériques, aux fournisseurs de services numériques, au droit de la santé bien sûr, en particulier les dispositions concernant la télémédecine, l’hébergement de données de santé, l’équipe de soin et l’échange / le partage de données de santé, les dispositifs médicaux, la bioéthique, outre enfin le droit informatique, la responsabilité, et le droit des contrats…
Dans le même sens, s’applique également le « droit mou » résultant de la doctrine des autorités non dédiées au secteur telles que la Cnil ou l’ANSSI, et des autorités sectorielles nationales telles que l’ASIP Santé – devenue l’ANS –, l’ANSM, la HAS, le CNOM, la DGOS, et régionales telles que les ARS…
Confrontés à tant de strates de réglementations, rares sont ceux qui les maîtrisent, d’autant que les textes comme la doctrine évoluent en permanence.
Les efforts de pédagogie et de lisibilité réalisés par les autorités sont donc essentiels.
Un contexte transversal d’échanges serait précieux. Des acteurs tels que les ARS, et les Groupements de coopération sanitaire ou Grades font beaucoup à cet égard, mais un lieu d’échange décloisonné, à l’égard de la typologie d’acteurs et de leur nature serait bénéfique à tout l’écosystème.
Comment, en outre, concilier les réglementations nationales, étant donné que le périmètre d’activité des entreprises technologiques couvre souvent différents pays ?
Les directives et règlements tels que le RGPD, ou le RDM (règlement relatif aux dispositifs médicaux) posent un socle commun de règlementation en Europe. Toutefois, les flux transfrontières en dehors de l’Union Européenne posent des difficultés, tout particulièrement vers les États-Unis, depuis l’invalidation du Privacy Shield. En France, l’hébergement de données de santé, s’agissant de données particulièrement sensibles, suppose une certification. A cet égard, plusieurs acteurs américains se sont faits certifiés, et hébergent ainsi des données de santé pour le compte d’acteurs français notamment pour le compte de la Plateforme des données de santé qui héberge à date le Health Data Hub, provoquant les polémiques et actions que l’on connaît[2], tenant à la fois à la souveraineté nationale, mais aussi à un risque de confidentialité résultant des dispositions du Cloud Act. Affaire à suivre…
D’une manière plus générale, les flux de données transfrontaliers vers des pays qui ne présentent pas un niveau de protection adéquat, supposent la conclusion de clauses contractuelles, et le cas échéant des mesures additionnelles.
Les différentes réglementations relatives à la protection des données de santé permettent-elles de faire confiance aux fournisseurs d’outils technologiques ?
Dans le secteur santé et numérique, la réglementation évolue à une vitesse vertigineuse, et opère parfois des virages à 180°. A titre d’illustration, la notion d’ « équipe de soin » — c’est-à-dire les personnes qui peuvent accéder aux données de santé d’une personne sans son consentement — était très circonscrite jusqu’en 2016, puis la loi de modernisation de notre système de santé l’a considérablement étendue, jusqu’à recouvrir un GHT (Groupement Hospitalier de Territoire) par exemple.
Même chose avec la télémédecine, le cadre était extrêmement strict, puis avec la crise sanitaire, il a fait l’objet d’assouplissements majeurs.
Autre exemple récent, l’ANS et la Plateforme de données de santé, entre autres, qui constituent des organismes ou services chargés de mission de service public, agissent en principe en qualité de sous-traitants ou de destinataires au sens de l’article 4 du RGPD. Pourtant, par arrêté du 30 juin 2020[3], ils ont été autorisés à mettre en œuvre des traitements de données à caractère personnel dans le domaine de la santé pour répondre à une alerte sanitaire et d’en gérer les suites. En clair, autorisés à traiter les données de santé des citoyens, en dépit d’un avis défavorable de la CNIL…
Que des organismes n’ayant pas vocation à traiter des données de santé, puissent en vertu d’un acte réglementaire du gouvernement – ayant fait abstraction de l’avis de la Cnil – accéder aux données médicales des Français, pour une finalité aussi large que la gestion de la crise sanitaire, interroge.
S’agissant des activités des opérateurs privés, la réglementation du secteur est suffisamment foisonnante, évolutive, et pragmatique (en particulier les référentiels sectoriels) pour rassurer les patients, à supposer qu’elle soit appliquée bien sûr…
Si on prend le point de vue des patients, comment peuvent-ils agir sur le contrôle de leurs données de santé ?
Il faut distinguer les traitements strictement nécessaires à la prise en charge, de ceux mis en œuvre pour d’autres finalités tenant par exemple à l’intérêt légitime de l’organisme qui les traite. Il est bien naturel que les données d’un patient soient traitées dans le contexte de sa prise en charge médicale par un établissement de santé ou un professionnel de santé. Il l’est relativement également qu’elles soient pseudonymisées et utilisées dans l’intérêt public. Il l’est moins qu’elles soient traitées, non anonymisées, par des opérateurs privés pour des finalités commerciales.
A cet égard, les informations relatives aux traitements réalisés, à l’identité du responsable de traitement, aux finalités poursuivies, aux destinataires – telles que rendues obligatoires par l’article 13 RGPD notamment – sont essentielles, d’où l’importance des conditions de leur fourniture.
Jusqu’à peu les mentions d’information sur les traitements de données figuraient dans les conditions générales d’utilisation. Elles étaient donc difficilement identifiables et peu lisibles par les personnes concernées.
Désormais, les acteurs doivent permettre aux personnes de voir immédiatement comment et où accéder à l’information, quel que soit le contexte ou l’environnement (numérique ou autre) du traitement, et l’information doit être clairement distinguée des autres clauses ou informations fournies, qui ne sont pas liées à la protection des données personnelles. A charge d’adapter les méthodes choisies en fonction du contexte et des modalités d’interaction avec les personnes. En pratique, différents outils et techniques peuvent être utilisés pour rendre l’information aisément accessible selon les environnements ou les technologies (QR code, message audio, vidéo, panneaux d’affichage, documentation papier, campagne d’information, fenêtres contextuelles, etc.).
C’est un immense progrès que l’on doit au RGPD.
S’agissant du consentement, il doit être libre, spécifique, éclairé et univoque pour être valide, et doit pouvoir être retiré à tout moment. Ainsi, fini les cases précochées, les demandes de consentements à des traitements dont les finalités ne sont pas explicitées ni distinguées, ou les informations noyées dans le contenu indigeste de conditions générales que personne ne lit. Le RGPD a donné tout son sens au mot consentement.
Le règlement européen sur la protection des données personnelles définit même précisément les conditions de son recueil.
Reste désormais à ce que les plateformes de gestion de consentements se généralisent !
Au regard de toutes ces mesures relatives à la protection des données de santé comment expliquer les inquiétudes qui se sont largement exprimées lors de la création du Health Data Hub ?
D’abord, dans le cas du Health Data Hub, ce sont des données qui sont au minimum pseudonymisées, voire anonymisées. En outre, pour accéder à des jeux de données, les organismes doivent apporter des garanties, tenant en premier lieu à la finalité d’intérêt public de leur projet, et respecter une méthodologie de référence ou une autorisation Cnil. Il y a donc des garde-fous.
Cependant, beaucoup d’éléments restent relativement subjectifs. La finalité d’intérêt public par exemple n’est pas légalement définie, elle est donc sujette à interprétation. Il faut également rester conscient des risques de réidentification par recoupements de données. Il y a eu des cas d’accès illicites aux données du SNDS (Système National des Données de Santé) par des sous-traitants d’organismes autorisés n’ayant pas réalisé un contrôle d’accès suffisamment serré.
A l’inverse, il y a des situations de frilosité qui freinent les acteurs notamment de l’IA, en particulier dans l’hypothèse de l’utilisation de données anonymisées.
En somme, il s’agit de trouver un bon arbitrage permettant le développement d’outils de prise en charge, et la protection des droits et libertés des personnes.
A cet égard, il serait très bénéfique que la CNIL continue à accompagner le développement du secteur, en clarifiant les conditions de l’anonymisation des données, tant juridiques que techniques, et, sur la base de cas d’usages par exemple, certifie des processus d’anonymisation comme la loi l’y autorise.
Faudrait-il créer une agence spécifique pour l’IA en santé ou bien lancer des États généraux de l’IA en santé afin de mieux prendre en compte les problématiques des acteurs, des patients, des soignants et les enjeux de santé publique ?
On a toujours tendance à vouloir créer des nouvelles agences, ce qui ajoute souvent plus de complexité et de confusion qu’elle ne facilite l’appréhension des différents sujets.
On a déjà l’ANS, la plateforme des données de santé (Health Data Hub) et la CNIL. Ces trois entités ont toute légitimité à prendre toujours plus position sur les sujets de l’IA en santé.
Je me suis rapprochée de plusieurs initiatives dont celle d’Impact AI parce qu’il existe peu de tribunes pour échanger sur ces sujets d’IA en santé, alors que les acteurs rencontrent les mêmes difficultés.
Il convient de favoriser l’émergence de bonnes pratiques, à partir de cas d’usages. Il faut, pour ce faire, un point de rencontre ouvert, afin de décloisonner les sujets et permettre une concurrence saine et éthique entre les acteurs, avec des règles du jeu partagées.
Aujourd’hui, on observe trop de pratiques inappropriées, voire illégales. Le manque de clarté juridique conduit in fine les acteurs à travailler en sous-marin… Et il en résulte une forme de concurrence déloyale entre les acteurs, favorisant économiquement ceux qui préemptent les données de manière illicite et agissent de manière peu respectueuse des droits et libertés des personnes.
Propos recueillis par Chrystèle Bazin.
NOTES
[1] Arrêté du 9 octobre 2020 modifiant l’arrêté du 10 juillet 2020
[2] https://www.cnil.fr/fr/le-conseil-detat-demande-au-health-data-hub-des-garanties-supplementaires
[3] Arrêté du 30 juin 2020 fixant la liste des organismes ou services chargés d’une mission de service public pouvant mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de répondre à une alerte sanitaire, dans les conditions définies à l’article 67 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés