Projet de règlement IA : quel impact dans le secteur de la santé ?

Le projet de règlement IA (« Artificial Intelligence Act » AI Act) élaboré en avril 2021 (1) et amendé en novembre 2022 (2) a été examiné lors de la session du Conseil TTE (Télécommunications) du 6 décembre 2022. 

Ce projet de règlement établit entre les Etats membres pour la première fois des règles harmonisées applicables aux systèmes d’IA. Une fois adopté, ce règlement constituera la clé de voûte de la réglementation européenne de l’IA. Or, il aura un impact sur les systèmes d’IA dans le domaine de la santé qu’il convient d’étudier.

Le projet de règlement vise à :

• promouvoir le développement et l’utilisation d’une IA « digne de confiance » dans l’Union,
• tout en tenant compte des risques associés à certaines utilisations, notamment au plan des libertés individuelles et de la sécurité des utilisateurs.

Alors que l’IA est de plus en plus présente dans le domaine de la santé, il convient de déterminer :

• quelles sont les implications du projet de règlement pour les acteurs du monde de la santé et notamment
• pour les fabricants ou utilisateurs dans le domaine des dispositifs médicaux.

Approche fondée sur le risque et non sectorielle

Le projet de règlement adopte une approche fondée sur les risques que présente le système d’IA (SIA), plutôt que sur un secteur industriel, par exemple celui de la santé.

Dans la version amendée en novembre 2022, le SIA se défini comme :

« un système conçu pour fonctionner avec des éléments d’autonomie et qui, sur la base de données et d’entrées fournies par la machine et/ou par l’homme, déduit comment atteindre un ensemble donné d’objectifs en utilisant l’apprentissage automatique et/ou des approches fondées sur la logique et les connaissances, et génère des sorties générées par le système telles que du contenu (systèmes d’IA générative), des prédictions, des recommandations ou des décisions, influençant les environnements avec lesquels le système d’IA interagit » (3).

Selon le texte, un SIA peut présenter quatre niveaux de risques :

• SIA comportant un risque inacceptable (article 5), par principe, interdit (ex. : SIA qui exploite les vulnérabilités dues à l’âge ou à un handicap) ;
• SIA à haut risque (articles 6 et s.) et soumis au respect d’exigences spécifiques (ex. : dispositifs médicaux) ;
• SIA comportant un risque limité et soumis à une obligation de transparence (ex. : système de reconnaissance des émotions) ;
• SIA comportant un risque minimal considéré comme en dehors du champ d’application du texte.

Cette approche amène à prendre en compte la spécificité des SIA à haut risque, qui concernent notamment les :

• machines,
• jouets,
• dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro.

Eléments introduits dans l’exposé des motifs relatifs au secteur de la santé

Le texte comprend deux références au secteur de la santé, et notamment aux dispositifs médicaux, dans l’exposé des motifs :

Point 1.2. Cohérence avec les dispositions existantes :

« S’agissant en particulier des systèmes d’IA à haut risque liés aux produits couverts par les actes du nouveau cadre législatif (les machines, les dispositifs médicaux et les jouets, par exemple), les exigences applicables aux systèmes d’IA définies dans la présente proposition feront l’objet d’une vérification dans le cadre des procédures existantes d’évaluation de la conformité prévues dans les actes appropriés du nouveau cadre législatif ».

Point 5.2.3. Systèmes d’IA à haut risque (titre III) :

« Les systèmes d’IA destinés à être utilisés en tant que composants de sécurité de produits réglementés par des actes du nouveau cadre législatif (les machines, les jouets et les dispositifs médicaux, par exemple) seront soumis aux mêmes mécanismes ex ante et ex post de mise en conformité et de contrôle de l’application que ceux applicables aux produits dont ils sont des composants.

La principale différence est que les mécanismes ex ante et ex post garantiront le respect non seulement des exigences établies par la législation sectorielle, mais également des exigences établies par le présent règlement ».

Il s’agit expressément des dispositifs médicaux. Il est intéressant de noter, à ce stade, que les mécanismes de mise en conformité et de contrôle des systèmes d’IA entrant dans la composition de produits réglementés, tels que les dispositifs médicaux, seront les mêmes que ceux applicables à ces mêmes produits.

Ils permettront ainsi le respect :

• non seulement des exigences établies par la législation sectorielle,
• mais également des exigences établies par le présent règlement.

Eléments introduits dans les considérants relatifs au secteur de la santé

Le texte comprend ensuite deux considérants relatifs au secteur de la santé. Ils soulèvent la nécessité de SIA fiables et précis dans ce secteur. Ils se réfèrent encore aux dispositifs médicaux pour la procédure d’évaluation de la conformité par un organisme tiers :

« De même, dans le secteur de la santé, où les enjeux pour la vie et la santé sont particulièrement importants, les systèmes de diagnostic de plus en plus sophistiqués et les systèmes soutenant les décisions humaines devraient être fiables et précis. » (Considérant 28 du projet de règlement)

« En ce qui concerne les systèmes d’IA qui constituent des composants de sécurité de produits relevant de certaines législations d’harmonisation de l’Union, ou qui sont eux-mêmes de tels produits, il convient de les classer comme étant à haut risque (…) si le produit en question est soumis à la procédure d’évaluation de la conformité par un organisme tiers d’évaluation de la conformité conformément à la législation d’harmonisation de l’Union correspondante. Ces produits sont notamment (…) les dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro » (Considérant 30 du projet de règlement).

Le projet de règlement pose différentes conditions d’application aux dispositifs médicaux (DM) et in vitro (DMDIV) ci-dessous détaillées.

Conditions d’application aux DM et DMDIV

1. Un DM ou un DMDIV qualifié de système d’IA

Le texte assimile certains DM et DMDIV à des SIA à haut risque.

En effet, le projet de règlement considère comme des SIA à haut risque :

• Un SIA couvert par la législation de l’Union énumérée à l’annexe II s’il est soumis à une évaluation de la conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service (art. 6, §1) ; ou
• Un SIA destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation de l’Union énumérée à l’annexe II s’il est soumis à une évaluation de la conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service (art. 6, §2)

Or, l’annexe II considère comme des SIA à haut risque les dispositifs médicaux et les dispositifs médicaux in vitro soumis à une évaluation de conformité par un tiers (organisme notifié). Cela concerne l’ensemble des dispositifs médicaux et des dispositifs médicaux in vitro autres que ceux de classe 1 (non soumis à cette évaluation par un tiers).

Par conséquent, l’ensemble des dispositifs médicaux et des dispositifs médicaux in vitro autres que les dispositifs médicaux de classe 1 entrent directement dans le champ d’application du projet de règlement.

2. Un DM ou un DMDIV mis sur le marché ou mis en service

Les notions de mise sur le marché et de mise en service apparaissent comme primordiales. Elles font en effet partie intégrante de la définition du fournisseur du SIA.

La mise sur le marché est entendue comme « la première mise à disposition d’un système d’IA sur le marché de l’Union » (article 3). Cette notion fait évidemment écho à la notion de mise en circulation consacrée par la directive de 1985 sur la responsabilité du fait des produits défectueux, en cours de révision (4). Cette dernière vise le dessaisissement volontaire du produit par son producteur. La mise en service est entendue quant à elle comme « la fourniture d’un système d’IA directement à l’utilisateur en vue d’une première utilisation » (article 3).

Ces définitions confirment l’absence d’identité entre celui qui :

• développe le SIA,
• le met sur le marché,
• le met en service et, enfin,
• l’utilise professionnellement.

3. Un DM ou un DMDIV placé en principe sous la responsabilité d’un fournisseur

Selon le projet de texte, c’est le « fournisseur du système d’IA » (établi dans l’Union ou dans un pays tiers) qui doit assumer la responsabilité de la mise sur le marché ou de la mise en service d’un SIA à haut risque.

Il défini le fournisseur comme :

« une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (article 3).

Le projet de règlement ne distingue pas selon la qualité, publique ou privée, des acteurs. Il s’applique donc ainsi à tout SIA :

• mis sur le marché ou en service par un fournisseur au sein de l’UE ou
• dont l’utilisation a une incidence sur des personnes situées dans l’UE.

Il ressort donc de cette définition que le fournisseur du SIA pourra :

• avoir conçu ou développé lui-même le SIA ou
• l’avoir fait développer par un tiers pour en tirer profit.

Ainsi, il pourra exister une absence d’identité entre celui qui :

• développe le SIA
• le met sur le marché ou
• le met en service.

Dans cette dernière situation, le concepteur du SIA ne sera pas assimilé au fournisseur du SIA. Il n’aura donc pas à respecter les exigences du règlement.

Notons que, dans certaines conditions, le distributeur, l’importateur, l’utilisateur ou un autre tiers pourrait être assimilé au fournisseur. Il aurait ainsi à respecter les obligations lui incombant :

• mise sur le marché ou en service d’un SIA sous son nom ou sous sa marque,
• modification de la destination du SIA,
• modification substantielle du SIA (article 23 bis).

Enfin, lorsqu’un SIA à haut risque lié à un produit tel qu’un dispositif médical est mis sur le marché ou en service en même temps que ce produit et sous le nom du fabricant :

• le fabricant assume la responsabilité de la conformité du SIA avec le règlement et
• doit, en ce qui concerne le SIA, répondre aux mêmes obligations que celles imposées au fournisseur.

Ainsi, le producteur au sens de la directive de 1985 sur la responsabilité du fait des produits défectueux, en cours de révision, sera assimilé au fournisseur du SIA à haut risque.

4. Un DM ou un DMDIV soumis à une procédure de mise en conformité

Le projet de règlement établit une distinction entre les:

• exigences applicables aux systèmes d’IA à haut risque (chapitre 2), dont le respect repose sur le fournisseur du SIA, et les
• obligations incombant aux fournisseurs, aux utilisateurs de ces systèmes d’IA ainsi qu’à d’autres parties (chapitre 3).

A titre préalable, il importe de souligner que les systèmes d’IA à haut risque devront s’être vus délivrer un marquage CE avant leur mise sur le marché.

Les exigences applicables aux systèmes d’IA à haut risque

Elles sont similaires à celles qui existent aujourd’hui pour les dispositifs médicaux, sont les suivantes :

• mise en place d’un système de gestion des risques (article 9) ;
• recours à des jeux de données d’entraînement, de validation et de test satisfaisant à des critères de qualité (article 10) ;
• établissement d’une documentation technique (article 11) ;
• prévoir des fonctionnalités pour l’enregistrement automatique des événements (« journaux ») afin de garantir la traçabilité du fonctionnement du SIA (article 12) ;
• transparence et fourniture d’informations aux utilisateurs pour leur permettre une utilisation appropriée du SIA – remise notamment d’une notice d’utilisation (article 13) ;
• garantir le contrôle effectif par des personnes physiques pendant la période d’utilisation du SIA (article 14) ;
• exactitude, robustesse et cybersécurité (article 16).

Par ailleurs, le fournisseur du SIA veille au respect de ces exigences, conformément à l’article 16, a).

Les obligations incombant aux fournisseurs de systèmes d’IA à haut risque

L’article 16 précise ces obligations. En plus de veiller au respect des exigences précitées, les fournisseurs de systèmes d’IA à haut risque auraient l’obligation :

• de mettre en place un système de gestion de la qualité (article 17) ;
• d’établir une documentation technique du SIA à haut risque ;
• de veiller à ce que le SIA à haut risque soit soumis à la procédure d’évaluation de la conformité applicable avant :
  • sa mise sur le marché ou
  • sa mise en service ; etc.

Les obligations incombant aux utilisateurs professionnels de systèmes d’IA à haut risque

L’article 29 précise ces obligations. Parmi ces obligations, se trouvent notamment celle d’utiliser les systèmes d’IA à haut risque conformément à leurs notices d’utilisation, celle de suspendre l’utilisation du système en cas d’incident grave ou de dysfonctionnement du système ou encore celle de réaliser une analyse d’impact, le cas échéant.

Conclusion

Enfin, les fabricants de dispositifs médicaux sont coutumiers des procédures de mise en conformité et de contrôle auxquels doivent se conformer tout dispositif médical mis en circulation au sein de l’Union européenne. Ces procédures impliquent donc des obligations récemment renforcées depuis l’entrée en vigueur des deux règlements européens sur :

• les dispositifs médicaux et
• les dispositifs médicaux in vitro (ou « MDR » medical device regulation).

Si les fabricants doivent déjà se montrer particulièrement vigilants eu égard à l’application de ces nouveaux règlements, ils devront également à l’avenir, en cas de recours à un système d’AI, s’intéresser à la manière dont ces règlements vont s’articuler avec le projet de règlement sur l’IA, lequel devra encore s’articuler avec le RGPD, lorsque les systèmes d’IA impliquent des traitements de données à caractère personnel, et avec la future directive relative à la responsabilité du fait des produits défectueux.

Isabelle Chivoret
Lexing Santé numérique

Notes

(1) Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle), COM(2021) 206 final du 21 04 2021.
(2) Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts, Preparation for Coreper, Brussels, 3 November 2022.
(3) Traduction libre de la définition anglaise suivante : « a system that is designed to operate with elements of autonomy and that, based on machine and/or human provided data and inputs, infers how to achieve a given set of objectives using machine learning and/or logic- and knowledge based approaches, and produces system-generated outputs such as content (generative AI systems), predictions, recommendations or decisions, influencing the environments with which the AI system interacts ».
(4) Alain Bensoussan, « Vers une harmonisation de la réglementation européenne en matière d’IA », Post du 17 janvier 2022.