Actualités juridiques et digitales

L’impact du règlement IA Act sur les données de santé

Rédigé par Haas Avocats | Jun 1, 2023 4:14:47 PM

Par Haas Avocats

En avril 2021, la Commission européenne a présenté son projet de règlement visant à l’encadrement de l’intelligence artificielle.

Avec ce projet, la Commission adopte une approche réglementaire horizontale de l'IA afin d’appréhender l’ensemble des secteurs.

De nombreux acteurs fournissant ou utilisant des technologies de santé numérique sont ainsi concernés. Ils pourraient voir leurs inventions entrer dans le champ d’application de ce nouveau texte et devoir respecter plusieurs types de contraintes en fonction de la classification de l’IA développée (IA à faible ou à haut risque).

Des exigences mesurées en termes de sécurité de données de santé

Le projet de règlement sur l’IA identifie et catégorise quatre niveaux de risque d'IA :

Compte tenu du risque encouru pour la santé des patients, les applications d'IA dans le domaine de la santé ont vocation à intégrer par nature la catégorie des IA à risque élevé[1].

Ainsi, les dispositifs médicaux basés sur des systèmes d’IA devront être soumis à des exigences de sécurité et de transparence strictes pouvant être synthétisées comme suit :

En ce qui concerne les données de santé, le projet de Règlement européen sur l'IA précise que :

  • Ces données ne peuvent être utilisées qu'à des fins spécifiques et légitimes,
  • Les personnes concernées doivent être informées de leur utilisation
  • Les données de santé doivent également être anonymisées ou pseudonymisées chaque fois que cela est possible.

Les fabricants de ces systèmes devront également fournir des informations détaillées sur leur fonctionnement et leur performance, afin que les professionnels de santé et les patients puissent comprendre leur utilisation.

Une volonté de conciliation entre la protection des données des patients et la promotion de l’innovation en santé

Consciente que ces mesures de protection peuvent constituer un frein à la compétitivité et à l’innovation en Europe, la commission a proposé de consacrer un texte spécifique en matière de protection des données de santé afin d’en encadrer l’usage[2].

Dans ce contexte, la Commission européenne a dévoilé en mai 2022 une proposition de règlement en matière de données de santé, le « European Health Data Space » ou « EHDS ».

Cet espace européen des données de santé recouvre 3 objectifs :

  • Permettre aux citoyens de donner aux professionnels de santé un meilleur accès numérique à leurs données de santé personnelles où qu’ils soient dans l’UE ;
  • Libérer l’économie des données en favorisant un véritable marché unique des services et des produits de santé numérique ;
  • Mettre en place des règles strictes pour l’utilisation des données de santé des individus à des fins de recherche, d’innovation et d’élaboration des politiques publiques.

Cette proposition de Règlement EHDS repose sur deux piliers :

  • S’agissant du premier pilier, le règlement pose le cadre de l’utilisation primaire des données de santé qui permettra aux patients d'accéder de manière sécurisée à leurs données de santé et de les partager avec le médecin de leur choix via des points d'accès dans les États membres, d’une part. D’autre part, le patient devra pouvoir se procurer des médicaments sous ordonnance dans n’importe quelle pharmacie d’Europe grâce à la transmission électronique des ordonnances. Pour ce pilier, la Commission européenne travaille à la construction d'une infrastructure numérique transfrontalière MyHealth@EU pour l’échange de données de santé sécurisé des patients ressortissants de l’Union Européenne.

 

Source : Agence du Numérique en santé, MyHealth@EU Program in France.

 

  • S’agissant du second pilier, le projet de règlement envisage une utilisation secondaire renforcée des données de santé afin de favoriser la recherche, l’innovation et la compétitivité du marché européen. L’objectif est de faciliter le travail des chercheurs et des entreprises en leur donnant un accès sécurisé à des données de santé anonymisées.

Comme pour l’utilisation primaire des données de santé, la réutilisation de données à des fins de recherches sera possible grâce à l’accès à une infrastructure européenne décentralisée : le HealthData@EU.

Un encadrement spécifique de la réutilisation des données de santé reposant sur l’intelligence artificielle

La proposition de Règlement prévoit un encadrement spécifique de l’usage des données de santé par l’intelligence artificielle.

L’article 34 g) de cette proposition indique que :

« Les organismes d’accès aux données de santé ne doivent fournir l’accès aux données de santé électroniques visées à l’article 33 que si la finalité envisagée pour le traitement poursuivi par le demandeur est conforme : (…)

  1. g) à la formation, à l’essai et à l’évaluation d’algorithmes, y compris dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numériques, contribuant à la santé publique ou à la sécurité sociale, ou assurant des niveaux élevés de qualité et de sécurité des soins de santé, des produits médicaux ou des dispositifs médicaux ».

La réutilisation vise donc la « formation, l’essai et l’évaluation d’algorithmes, y compris dans les dispositifs médicaux, les systèmes d’IA et les applications de santé numériques ». La licéité sera conditionnée aux finalités suivantes :

  • Contribuer à la santé publique ou à la sécurité sociale,
  • Assurer des niveaux élevés de qualité et de sécurité des soins de santé ;
  • Assurer des niveaux élevés de qualité et de sécurité des produits médicaux ;
  • Assurer des niveaux élevés de qualité et de sécurité des dispositifs médicaux.

L’article 35 de cette proposition poursuit en précisant les finalités d’utilisation illicites des données de santé dans le cadre de la formation, l’essai et l’évaluation d’algorithmes, des systèmes d’intelligence artificielle :

Il est interdit de demander l’accès aux données de santé électroniques [de l’espace européen des données de santé] et de traiter de telles données, aux fins suivantes :

a) prise de décisions préjudiciables à une personne physique sur la base de ses données de santé électroniques ; pour être considérées comme telles, les « décisions » doivent produire des effets juridiques ou avoir, de manière similaire, une incidence significative sur la personne physique ;
b) prise de décisions, à l’égard d’une personne physique ou d’un groupe de personnes physiques, les excluant du bénéfice d’un contrat d’assurance ou modifiant leurs cotisations et leurs primes d’assurance ;
c) publicité ou activités de marketing auprès des professionnels de la santé, des organisations de santé ou des personnes physiques ;
d) fourniture d’un accès aux données de santé électroniques, ou mise à disposition d’une autre manière des données de santé électroniques, à des tiers non mentionnés dans l’autorisation de traitement de données ;
e) mise au point de produits ou de services susceptibles de porter préjudice aux personnes et aux sociétés en général, comprenant, sans s’y limiter, les drogues illicites, les boissons alcoolisées, les produits du tabac ou les biens ou services qui sont conçus ou modifiés de sorte à porter atteinte à l’ordre public ou aux bonnes mœurs.

Avec ces nouvelles règlementations, l’Union Européenne espère pouvoir renforcer à la fois la gouvernance du citoyen européen sur ses données de santé tout en posant un cadre juridique compétitif et sécurisé pour la réutilisation des données de santé à des fins de recherches et d’innovation.

A suivre…

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Avec son département e-santé, le Cabinet HAAS Avocats accompagne à la fois les professionnels de santé mais également les entreprises spécialisées dans ce secteur afin de les assister dans la sécurisation juridique du déploiement d’intelligences artificielles, de traitements de données et autres services en lien avec le numérique. Pour nous contacter, cliquez ici.

 

[1] Cf. proposition de règlement, Considérant 13 : « Afin d’assurer un niveau cohérent et élevé de protection des intérêts publics en ce qui concerne la santé, la sécurité et les droits fondamentaux, il convient d’établir des normes communes pour tous les systèmes d’IA à haut risque. Ces normes devraient être conformes à la charte des droits fondamentaux de l’Union européenne (ci-après la « charte »), non discriminatoires et compatibles avec les engagements commerciaux internationaux de l’Union. »

 

[2] Prévision en matière de données de santé explicitement prévue au considérant (45) du projet de règlement sur l’intelligence artificielle : « Les espaces européens communs des données créées par la Commission et la facilitation du partage de données d’intérêt public entre les entreprises et avec le gouvernement seront essentiels pour fournir un accès fiable, responsable et non discriminatoire à des données de haute qualité pour l’entraînement, la validation et la mise à l’essai des systèmes d’IA. Par exemple, dans le domaine de la santé, l’espace européen des données de santé facilitera l’accès non discriminatoire aux données de santé et l’entraînement d’algorithmes d’intelligence artificielle à l’aide de ces jeux de données, d’une manière respectueuse de la vie privée, sûre, rapide, transparente et digne de confiance, et avec une gouvernance institutionnelle appropriée. »
Voir l'article complet