Le développement des techniques d’intelligence artificielle et leur accessibilité plus grande, conduisent les établissements hospitaliers publics comme privés, à mettre en place des moyens leur permettant de contribuer à ce développement notamment via la constitution d’entrepôts de données.
Disposer de données sinon massives mais du moins en quantité importante est donc un préalable souvent indispensable aux travaux portant sur l’IA. Les données concernées sont le plus souvent des données personnelles de santé définies dorénavant par le Règlement européen sur la protection des données du 27 avril 2016 (RGPD).[1] Mais la diversité des activités des établissements en matière de gestion, de soins et de recherche (y compris parfois pour le compte de tiers) rend la consolidation de toutes ces données au sein de ces entrepôts souvent complexe tant sur un plan technique que juridique.
Une fois ces entrepôts constitués, les projets d’exploitation de ces données sont rarement menés en interne par le seul établissement mais s’organisent en projet collaboratif mobilisant plusieurs partenaires voire plusieurs entrepôts. Citons pour exemple le récent projet Deepsarc[2] d’analyse de données sur les sarcomes réunissant le Centre Léon Bérard de lyon, le CLCC de Bordeaux, l’université de Rennes et le réseau Netsarc disposant lui aussi d’une base de données nationale. A la complexité de constitution des entrepôts s’ajoute donc la complexité des projets et des nécessaires liens contractuels encadrant ces coopérations.
Dans la mesure où des données personnelles de santé sont concernées, leur collecte et leur traitement doivent donc être réalisés dans le respect des règles de protection des données personnelles telles que définies dorénavant par le RGPD et par la loi Informatique et Libertés modifiée mais également prendre en compte les règles relatives à l’échange et au partage des données de santé telles que posées dans le code de la santé publique.
Le nécessaire respect de la protection des données personnelles
On sait qu’avec le RGPD, si les principes fondamentaux de traitement des données personnelles n’ont pas été modifiés[3], le texte impose à chaque acteur, responsable de traitement ou sous-traitant, de les intégrer en amont des projets (privacy by design) et d’être en mesure de démontrer à tout moment le respect de ces principes (accountability). La réalisation d’études d’impact permettant d’analyser les risques pour les droits et libertés fondamentales exigée pour les traitements à grande échelle de données de santé[4] est en tout état de cause un préalable indispensable à la mise en œuvre de ces entrepôts. Ces études d’impact permettront de définir le bon niveau de sécurité de ces bases de données au surplus si les hôpitaux souhaitent les apparier avec d’autres bases de données.
Or la compatibilité de ces principes avec la constitution de ces bases de données n’est pas toujours évidente même si le RGPD prend en compte les nouvelles capacités d’analyse des données. Citons au rang de ces difficultés :
- La difficulté à déterminer la finalité de ces entrepôts qui sont souvent constitués en amont des projets. La notion de finalité compatible consacrée par le RGPD avec celle pour laquelle les données ont été collectées est toutefois de nature à faciliter la réutilisation des données lorsqu’elles ont été collectées de manière licite, sans pour autant affaiblir les droits des personnes. Ces entrepôts relèvent d’une finalité d’intérêt public telle que visée à l’article 66 de la loi Informatique et Libertés modifiée comme l’a confirmé la CNIL dans plusieurs délibérations incluant les acteurs privés.
- La nature personnelle des données. Le RGPD consacre la notion de pseudonymisation dont il donne une définition[5]. Même si elles restent des données personnelles, les données pseudonymisées peuvent faciliter la collecte de données dans des cas où le recueil de données directement nominatives eut été plus compliqué.
- Le respect des droits des personnes. La question de l’information des personnes concernées reste une problématique délicate. Le RGPD permet d’assouplir l’obligation d’information de la personne concernée dans certains cas précis. C’est notamment le cas lorsque « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés» sous réserve de l’adoption de mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée. Cette disposition est particulièrement utile dans le domaine de la recherche à partir de bases de données déjà constituées où elle permet d’envisager une utilisation secondaire des données et dans des cas où il serait trop contraignant de retrouver la personne pour l’informer. Certains établissements prévoient désormais sur leur site ce type d’information des personnes sur les travaux qu’ils conduisent à partir des données collectées. Le consentement n’est en tout état de cause pas exigé de façon systématique et sa nécessité examinée au cas par cas.
Le RGPD renforce les droits des personnes concernées face à l’utilisation de nouvelles techniques d’analyse des données. Notons que l’article 11 du projet de loi de Bioéthique vise à sécuriser la bonne information du patient lorsqu’un traitement algorithmique de données massives (« intelligence artificielle ») est utilisé à l’occasion d’un acte de soins.
- Le respect des référentiels de sécurité et d’interopérabilité. Visés à l’article L1110-4-1, ils ont été renforcés et complétés par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé (identification et d’authentification des acteurs, encadrement de l’activité d’hébergement des données de santé, cadre national d’interopérabilité).
L’organisation complexe de ces projets, le développement du Health Data Hub et notamment ses interactions à venir avec les entrepôts des établissements, le cadre des coopérations publiques-privées nécessaires au développement rapide de ces technologies et surtout les usages qui seront faits des solutions d’IA en matière de diagnostic et de soins ne manqueront pas de soulevez dans les prochaines années de multiples questionnements nouveaux.
Avocat Associé | DELSOL Avocats
[1] Voir en ce sens, règl. (UE) n°2016/679, 27 avr.2016, consid. 35 : toutes informations relatives à l’identification du patient dans le système de soin ou le dispositif utilisé pour collecter et traiter des données de santé,- toutes informations obtenues lors d’un contrôle ou d’un examen médical y compris des échantillons biologiques et des données génomiques,- toutes informations médicales : par exemple, une maladie, un handicap, un risque de maladie, une donnée clinique ou thérapeutique, physiologique ou biologique.
[2] Un des projets retenu dans le cadre du Health data Hub
[3] -Finalité de traitement déterminée, explicite et légitime
-Données adéquates et pertinentes (principe de minimisation),
-Durée de conservation déterminée,
-Respect du droit des personnes : information et le cas échéant, consentement
-Mesures de sécurité de nature à garantir la confidentialité des données.
[4] Article 35 du RGPD
[5] L’article 4 du RGPD définit la pseudonymisation comme «le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable; »
