Français
Mais son articulation avec le RGPD déjà complexe en théorie devient vertigineuse en pratique.
Une double matrice, deux logiques de conformité
Dans les faits, les DPO doivent composer avec une double matrice réglementaire : d’un côté, un RGPD fondé sur la protection des personnes ; de l’autre, une IA Act structuré par la gestion du risque technologique. Si les deux cadres partagent certains outils — analyse d’impact, documentation, transparence — ils restent construits sur des rationalités distinctes. Et la santé, domaine à la fois sensible et normativement dense, cristallise toutes ces tensions.
La minimisation des données face à la logique de performance
Le principe de minimisation des données, pilier du RGPD, entre de plein fouet en contradiction avec les exigences de performance des IA. Plus une IA est alimentée, plus elle apprend — mais plus elle apprend, plus elle s’expose à des risques juridiques si la finalité n’est pas clairement définie ou si le traitement n’est pas proportionné. La tentation est grande, côté industriel, de collecter large « pour entraîner plus tard ». C’est précisément ce que les régulateurs veulent encadrer.
Consentement : gare à l’effet « clause miroir »
Autre écueil : l’explosion des bases juridiques. Consentement, intérêt public, obligation légale, intérêt légitime… Ces fondements peuvent coexister, voire se superposer. Le risque ? Produire un millefeuille contractuel illisible, où le patient ne sait plus ce qu’il accepte, ni à quelles fins. Pour éviter cette dérive, il faut repenser le recueil du consentement dans une logique de parcours, et non d’instant figé. C’est un véritable enjeu de design juridique et d’éthique de la lisibilité.
Responsabilité : un vide juridique préoccupant
Qui est responsable si une IA médicale se trompe ? Le professionnel, qui l’a utilisée ? L’éditeur, qui l’a conçue ? L’établissement, qui l’a déployée ? Aujourd’hui, aucune réponse claire. Le droit positif français reste attaché à des logiques classiques — responsabilité du fait des choses, responsabilité des produits défectueux, responsabilité contractuelle ou délictuelle — peu adaptées aux chaînes décisionnelles algorithmiques. Cette carence juridique, couplée à l’opacité de certains modèles, alimente une inquiétude légitime chez les professionnels de santé.
Données synthétiques : des faux amis juridiques
Face aux contraintes du RGPD, certains misent sur les données synthétiques pour s’exonérer de certaines obligations. Mais attention : si les données générées conservent une structure trop proche des données d’origine, le risque de réidentification demeure. Le CEPD a rappelé en décembre 2024 que l’anonymisation est une appréciation contextuelle, jamais un label automatique. En santé, où les données sont rares, sensibles et fortement corrélées, la vigilance doit être maximale.
Une CNIL en action mais débordée
La CNIL a mis en place une task force IA depuis 2023. Elle accompagne des projets (comme Dalvia Santé), produit du droit souple (fiches, guidelines) et tente d’anticiper les usages émergents. Mais elle évolue dans un univers juridique mouvant. L’IA générative, par exemple, soulève de nouveaux enjeux : modèles préentraînés sur des données non maîtrisées, difficulté de tracer la donnée source. Le cadre juridique doit désormais affronter ces zones grises.
IA générative : les questions explosent, les réponses tardent
En santé, l’IA générative soulève une inquiétude particulière : elle est capable de produire des contenus médicaux crédibles… mais parfois erronés. La frontière entre assistance à la décision et substitution devient floue. Si un soignant agit sur la base d’un résumé généré par IA, et que celui-ci est inexact, qui portera la responsabilité ? Et comment auditer un modèle « boîte noire » entraîné à l’étranger ? Là encore, le droit peine à suivre.
Un rôle stratégique pour les DPO
Dans ce contexte, le rôle des DPO spécialisés en santé prend une nouvelle dimension. Il ne s’agit plus de « cocher les cases », mais d’articuler droit, technique et stratégie. Cela suppose de dialoguer avec les juristes, les RSSI, les directions métiers, et parfois même avec les data scientists. C’est un métier de ponts, d’anticipation, et de négociation permanente avec l’incertitude.
Une exigence éthique : protéger le corps… même numérique
À terme, la vraie question est celle-ci : quelle société de la santé numérique voulons-nous ? Si nous laissons les logiques techniques dominer sans cadre, le risque est de déshumaniser le soin. Si nous sur-réglementons, nous freinerons l’innovation utile. Entre les deux, il faut tracer une voie : celle d’un droit de l’intégrité numérique, capable de garantir que même dans le monde des données, le corps humain reste protégé. Parce qu’il ne suffit pas de traiter la donnée : il faut soigner la personne.
Rendez-vous en septembre pour un webinaire dédié à ces enjeux ! Retrouvez prochainement toutes les actualités et l’inscription sur notre page LinkedIn : LES DPO DE LA SANTÉ
