Volet 2 : Intelligence artificielle, algorithmes d'aide à la décision et à la thérapeutique, quelles exigences pour les utilisateurs des établissements de santé ?
Locations
L’objet du présent papier est de s’intéresser aux obligations des établissements de santé en cas de recours à un éditeur fournissant un système d’IA.
Tout d’abord, l’utilisation des systèmes d’IA générant des traitements de données à caractère personnel, il appartient à l’établissement de santé, en sa qualité de responsable du traitement au sens du RGPD, de s’assurer que l’éditeur du système, en sa qualité de sous-traitant, présente les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. En ce sens, tout établissement de santé doit requérir de la part de l’éditeur un plan d’assurance sécurité et/ou un projet d’analyse d’impact sur le périmètre fonctionnel concerné, ainsi que la documentation technique pertinente, en tenant compte des risques spécifiques des systèmes d’IA par rapport à des systèmes d’information classiques, les capacités d’apprentissage automatique augmentant la « surface d’attaque » de ces systèmes, en introduisant de nombreuses nouvelles vulnérabilités (voir dossier LINC Cnil).
Bien sûr, chaque système d’IA doit permettre le respect des mesures de la PGSSI-S, et être hébergé auprès d’un hébergeur certifié de données de santé en Europe, avec le cas échéant en cas de recours à un prestataire américain, des mesures supplémentaires de nature à exclure la possibilité d’accès aux données des services de renseignements américains.
Pour mémoire, les marchés et/ou contrats à conclure doivent inclure un « data processing agreement » définissant les caractéristiques des traitements confiés, et les engagements de l’éditeur notamment à l’égard du recours à des sous-traitants ultérieurs, ainsi que l’annexe « Hébergement de données de santé » requise par la réglementation.
Outre les mesures de sécurité propres au système d'IA utilisé, les mesures de sécurité habituelles pour un traitement utilisant des données personnelles ou ayant des conséquences pour les personnes doivent être mises en place, et le cas échéant évaluées dans le cadre d’une analyse d’impact.
Une attention particulière doit être portée sur les conditions de réutilisation éventuelle des données traitées à l’aide du système d’IA par l’éditeur aux fins d’amélioration de l’algorithme doivent être appréhendées. La maîtrise doit rester à l’établissement seul décisionnaire.
Par ailleurs et classiquement, l’établissement de santé devra s’assurer du bon niveau de marquage CE médical : classe II a) en matière d’aide au diagnostic ou d’aide à la thérapeutique conformément au règlement relatif aux dispositifs médicaux, et non de classe I comme certains dispositifs d’aide au diagnostic mis sur le marché.
Enfin, la conformité aux exigences du projet de règlement sur l’intelligence artificielle doit être établie dans la documentation technique relative au système d’IA à haut risque. La notice d’utilisation doit permettre aux utilisateurs de l’établissement d’interpréter les résultats du système et de l’utiliser de manière appropriée, c’est-à-dire conformément à sa destination d’usage, et en étant en mesure d’exercer un contrôle humain.
Rappelons que les sanctions encourues en matière de protection des données et en matière d’intelligence artificielle sont similaires, les dernières pouvant toutefois s’élever jusqu’à 30 000 000 € s’agissant des exigences relatives à la gouvernance des données.
Article publié également sur DSIH.
