En août 2022, les spécialistes en santé Susan P. Phillips, Sheryl Spithoff et Amber Simpson co-rédigent un article annonçant dès son introduction que : « l’intelligence artificielle est sur le point de transformer la pratique de la médecine préventive. ». Cette dernière est une branche de la médecine conçue pour prévenir les maladies et les affections avant que celles-ci ne se développent au sein de la société. Avec un entraînement adapté, une grande quantité de données et un suivi réalisé par des experts en la matière, les outils faisant appel à l’intelligence artificielle (IA) pourront s’avérer particulièrement efficaces. Toutefois, les usages qui seront faits de ces derniers devront impérativement être encadrés juridiquement.
Le secret médical dérivé du secret professionnel
Le secret médical est dérivé du secret professionnel en vertu de l’article R4127-4 du Code de la santé publique qui dispose que : « le secret professionnel, institué dans l’intérêt des patients, s’impose à tout médecin dans les conditions établies par la loi. Le secret couvre tout ce qui est venu à la connaissance du médecin dans l’exercice de sa profession, c’est-à-dire non seulement ce qui lui a été confié, mais aussi ce qu’il a vu, entendu ou compris. » Le médecin est donc, de fait, le seul garant du secret médical.
Toutefois, il existe une exception à l’affirmation précédemment exposée. Cette dernière est prévue au sein de l’article L1110-4 (III) énonçant que lorsque des professionnels « appartiennent à la même équipe de soins, (…) ils peuvent partager les informations concernant une même personne qui sont strictement nécessaires à la coordination ou à la continuité des soins ou à son suivi médico-social et social. Ces informations sont réputées confiées par la personne à l’ensemble de l’équipe. »
Le secret médical repose également sur l’équipe de soin qui accompagne le médecin.
Les questions autour de la loyauté de l’IA vis-à-vis du secret médical
Premièrement, comment le secret médical s’articule-t-il autour de l’IA ?
N’étant pas médecin car n’étant pas assermentée par l’ordre, l’IA ne devrait pas, en principe, être soumise au secret médical.
Toutefois, peut-elle être considérée comme un membre de l’équipe de soin ?
Un outil ne devrait pas être considéré comme tel. Toutefois, un risque apparaîtrait si le niveau de prise de décision de l’outil dépasse celle d’un membre de l’équipe de soin, il n’y aurait dans ce cas aucun problème à le soumettre au secret.
Deuxièmement, comment soumettre l’IA au secret médical ?
Les travaux de la Commission européenne sur l’Artificial Intelligence Act (AI Act) témoignent d’une approche par l’éthique de l’IA. L’outil algorithmique mis en place au sein du domaine médical devra donc être transparent envers son utilisateur, le médecin et l’équipe qui l’entoure.
Il serait possible d’envisager une certification européenne, de type marquage CE, permettant d’engager la responsabilité du fabricant en cas de défaut de conformité du produit aux normes de fabrication européennes. Ce marquage pourrait reposer sur un référentiel adapté autour de l’éthique et notamment vis-à-vis du transfert d’informations médicales en dehors de l’équipe de soin mais également en dehors de l’UE.
L’hébergement des données de santé par le biais de la certification hébergeur de données de santé (HDS)
La certification HDS s’appuie sur la norme internationale de sécurité des systèmes d’information ISO 27001 assurant que l’organisme privé ou public qui en a fait la demande, a tout mis à sa disposition afin de se protéger de toutes cybermenaces, mais a également établi un plan de management des systèmes d’informations (PMSI).
Pour résumer, l’organisme serait apte à héberger les données de santé pour le compte d’un tiers sans transgresser le secret médical.
Partant de ce postulat, l’entreprise qui offrirait un outil algorithmique au sein d’un service médical et qui collecterait au passage certaines données de santé, devrait être certifiée HDS. Cette solution offrirait un cadre contractuel et une sécurité juridique aux données de santé en vue de leur traitement par un outil d’IA auquel il serait possible de douter de sa loyauté, surtout si l’entreprise qui fournit ce service se situerait en dehors de l’Union européenne.
Le transfert des données de santé en dehors de l’Union européenne
La Commission Nationale de l’Informatique et des Libertés (CNIL) met à disposition un outil en ligne qui permet de visualiser les pays du monde où le niveau de protection des données personnelles est conforme au Règlement Général sur la Protection des Données (RGPD).
Au sein de l’Union européenne, la conformité aux normes de protection des données n’est généralement pas un problème. Cependant, la situation est différente pour les États-Unis, un leader mondial dans le domaine de l’IA. Depuis l’invalidation du Privacy Shield suite à la décision de la Cour de Justice de l’Union Européenne en date du 16 juillet 2020 dite «Schrems II», le pays n’est plus considéré comme ayant un niveau de protection adéquat. Cependant, un nouvel accord entre la Commission européenne et les USA a été acté le 10 juillet 2023, ce qui pourrait changer la donne dans ce domaine.
Premièrement, il est strictement déconseillé aux organismes de santé situés dans l’Union de transférer des données médicales vers les USA sous peine d’une sanction prononcée par la CNIL.
Deuxièmement, les entreprises américaines et plus spécifiquement les MAGMA (Meta, Amazon, Google, Microsoft, Apple) ont des filiales ayant obtenu la certification HDS, ils ne devraient plus être perçus comme des entreprises dignes de confiance. Ceci, en conséquence, diminue la valeur de cette certification internationale.
Troisièmement, il y a un risque que les Américains ne souhaitent plus accompagner le développement de l’intelligence artificielle en Europe et qu’une perte de maîtrise des outils actuellement sur le marché entraîne des conséquences encore plus graves notamment vis-à-vis du transfert de données.
Ugo GAROSCIO VOLTO
M2 Cyberjustice, Promotion 2022/2023
Sources :
- https://www.ncbi.nlm.nih.gov/pmc/articles/PMC9374076/
- https://sanomedsolutions.com/quest-ce-que-la-medicine-preventive/
- https://www.conseil-national.medecin.fr/code-deontologie/devoirs-generaux-medecins-art-2-31/article-4-secret-professionnel#:~:text=Code%20pénal%20%2D%20Article%20226%2D13,000%20euros%20d%27amende.%20»
- https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000043895798#:~:text=1110%2D12%2C%20ils%20peuvent%20partager,%27ensemble%20de%20l%27équipe.
- https://digital-strategy.ec.europa.eu/fr/policies/european-approach-artificial-intelligence
- https://www.itgovernance.eu/fr-fr/iso-27001-fr#:~:text=Qu%27est%2Dce%20que%20la,%2D%20Information%20security%20management%20system).
- https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-consequences-pour-les-organismes-souhaitant-transferer-des
- https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde