Projet de loi bioéthique : IA et données massives des patients

De nouvelles précisions s’agissant des traitements algorithmiques de données massives sont envisagées dans le projet de loi sur la révision des lois de bioéthique qui a été présenté en Conseil des Ministres le 24 juillet 2019 et sera débattu au Parlement en septembre 2019. Il s’agit de la 3ème révision des lois bioéthique en 25 ans.

Selon le compte-rendu du Conseil des Ministres, « cette révision des lois de bioéthique s’inscrit dans un contexte de sauts technologiques inédits, auxquels s’ajoutent des attentes sociétales fortes ».

Droits et garanties des patients en matière de données massives introduits par le projet de loi

L’article 11 du projet de loi relatif à la bioéthique entend sécuriser la bonne information du patient lorsqu’un traitement algorithmique de données massives (« intelligence artificielle ») est utilisé à l’occasion d’un acte de soin.

Il introduit un nouvel article L.4001-3 dans le Code de la santé public, aux termes duquel le professionnel de santé devra informer le patient en cas d’utilisation d’un traitement algorithmique de données massives pour des actes à visée préventive, diagnostic ou thérapeutique, lorsqu’il communique les résultats de ces actes.

Il devra également informer le patient des « modalités d’action » du traitement de données.

L’article prévoit l’intervention du professionnel de santé pour réaliser l’adaptation des paramètres du traitement et rappelle ainsi l’importance de l’intervention humaine dans le fonctionnement de l’intelligence artificielle.

En outre, la traçabilité des actions d’un tel traitement algorithmique et des données utilisées dans le cadre de ce traitement sera assurée et les informations qui en résultent seront accessibles aux professionnels de santé concernés.

Ainsi, il s’agit de garantir la possibilité d’auditer les algorithmes, le respect des principes de transparence des algorithmes, de garantie humaine, et de traçabilité, lesquels constituent les garanties nécessaires au développement de l’intelligence artificielle.

Il faut « garantir que l’intelligence artificielle augmente l’homme plutôt qu’elle ne le supplante et participe à l’élaboration d’un modèle français de gouvernance éthique de l’intelligence artificielle. Nous devons collectivement faire en sorte que ces nouveaux outils soient à la main humaine, à son service, dans un rapport de transparence et de responsabilité », comme affirmé par Isabelle Falque-Pierrotin, ancienne présidente de la Cnil.

L’article 11 du projet de loi prend en compte les propositions du Comité consultatif national d’éthique (CCNE) dans son avis 130 adopté le 29 mai 2019 « Données massives et santé : une nouvelle approche des enjeux éthiques ». Dans cet avis, le CCNE formule notamment les propositions suivantes :

• « toute personne a droit à une information compréhensible, précise et loyale sur le traitement et le devenir de ses données » ;
• les résultats doivent être validés par une garantie humaine.

Droits des patients en matière de traitements exclusivement automatisés au titre du RGPD

Dans le cas où une décision individuelle automatisée serait fondée exclusivement sur le traitement automatisé de données massives, l’article 22 du Règlement européen sur la protection des données (RGPD) dispose : « la personne concernée a le droit de ne pas faire l’objet d’une [telle] décision […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Cette disposition ne s’applique pas lorsque la décision :

• « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;
• est autorisée par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ; ou
• est fondée sur le consentement explicite de la personne concernée ».

Dans la première et la dernière hypothèse, l’article 22 du RGPD prévoit l’obligation pour le responsable de traitement de mettre en œuvre « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Il est en outre précisé que les décisions correspondant aux trois hypothèses susvisées ne peuvent être fondées sur les catégories particulières de données visées à l’article 9 du RGPD, parmi lesquelles figurent les données de santé, sauf si des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place et que l’une des conditions suivantes est remplie :

• la personne a donné son consentement explicite ;
• le traitement est nécessaire pour des motifs d’intérêt public importants, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique