La refonte de la réglementation applicable aux données à caractère personnel issue de l’entrée en application du règlement général sur la protection des données et des modifications de la législation française soulève de nombreuses interrogations. Son application aux systèmes d’intelligence artificielle dans le domaine de la santé, dont les utilisations sont diverses et variées (télémédecine, aide au diagnostic, recherche médicale…) permet d’accompagner le progrès technique tout en veillant à préserver les droits et libertés des personnes concernées.
Le déploiement de l’intelligence artificielle dans le domaine de la santé soulève inévitablement la question du régime afférent aux données à caractère personnel concernant la santé, ayant vocation à alimenter de manière massive ces nouveaux systèmes et dont le régime a fait l’objet d’une refonte avec l’entrée en application du règlement général sur la protection des données1 le 25 mai dernier et de la loi française dite « Informatique et libertés »2 et de son décret d’application.3

Qualification des données concernant la santé

En raison de leur sensibilité, les données à caractère personnel concernant la santé font l’objet d’un régime de protection spécifique. Constituent des données concernant la santé l’ensemble des données révélant des informations quant à la santé physique ou mentale, passée, présente ou future, d’une personne physique, y compris la prestation de services de soins de santé. (par exemple maladie, handicap, risque de maladie, traitement clinique, état physiologique...), indépendamment de la source de leur collecte.
Se pose alors la question du périmètre d’applicabilité du régime spécifique des données à caractère personnel concernant la santé et du degré de précision attendu des informations relatives à l’état de santé. L’esprit des textes et leur interprétation, notamment par la Commission nationale de l’informatique et des libertés** (Cnil), tendent à consacrer une acception extensive des données concernant la santé (informations relatives à la prise en charge médicale ou sanitaire, données anthropométriques, simple fait d’indiquer qu’un individu est blessé, régime alimentaire révélant une allergie, données qui deviennent des données de santé en raison de leur utilisation en matière médicale ou par croisement…), et partant, un large périmètre d’application de la réglementation spécifique afférente à la protection des données concernant la santé. Le régime applicable à cette catégorie de données pourrait donc irriguer de manière importante les traitements mis en œuvre dans le cadre du déploiement des systèmes d’intelligence artificielle dans le domaine de la santé.

Protection renforcée des données de santé

La nouvelle réglementation applicable en matière de protection des données à caractère personnel substitue à l’ancien régime des formalités préalables auprès de la Cnil (sauf exceptions pour lesquelles le régime des autorisations demeure, par exemple en matière de traitements à des fins de recherche dans le domaine de la santé). Partant, les acteurs du secteur doivent respecter les principes d’autoresponsabilisation (principe dit d’accountability) et de « privacy by design » qui imposent de s’assurer de la conformité du traitement de données concernant la santé dès la conception, en amont de tout projet.
Malgré l’interdiction de principe des traitements de données à caractère personnel, leur mise en œuvre est autorisée dans certaines conditions (recueil du consentement préalable de la personne concernée, obligations légales ou réglementaires en matière de droit du travail, de la Sécurité sociale et de la protection sociale, sauvegarde des intérêts vitaux, motifs de santé publique, médecine préventive, diagnostics médicaux…). Lorsqu’un tel traitement peut être licitement effectué se pose la question de l’information des personnes concernées, qui doit être délivrée de façon concise, transparente, compréhensible et aisément accessible et doit donc être adaptée en fonction de la pathologie des personnes, de leur état de vulnérabilité ou de leur âge, des circonstances du recueil des données… Une des difficultés réside dans le fait qu’au moment de la collecte des données l’utilisation ultérieure risque de ne pas être identifiée, ce qui semble en contradiction avec le principe de minimisation**** dans la mesure où l’objet même de l’intelligence artificielle est de créer un véritable « écosystème de la donnée de santé », et avec le principe de transparence. Pour s’exonérer des principes applicables en matière de protection des données à caractère personnel, il peut être envisagé d’anonymiser de manière strictement irréversible et définitive les données, ce qui, dans certaines situations, pourrait être délicat à mettre en œuvre en pratique, notamment lorsque les données proviennent de sources non normées telles que des observations de professionnels de santé dans le cadre des diagnostics.
Par ailleurs, les traitements de données concernant la santé à grande échelle, et donc par essence ceux réalisés par l’intelligence artificielle, sont susceptibles d’engendrer un risque élevé pour les personnes concernées et imposent la réalisation en amont d’une analyse d’impact destinée à encadrer ces risques. Aussi, un tel traitement à grande échelle nécessite la désignation par le responsable du traitement d’un délégué à la protection des données chargé de veiller à la conformité du traitement au regard de la réglementation applicable. Enfin, la mise en œuvre de traitements de données à caractère personnel implique de recourir à des mesures de sécurité renforcées (notamment hébergement externalisé par un hébergeur certifié).
L’exploitation de données à caractère personnel concernant la santé dans le cadre du déploiement de systèmes d’intelligence artificielle est un véritable défi juridique mais également éthique, qui impose de faire preuve d’une vigilance accrue et d’une véritable réflexion en amont afin de préserver les droits et libertés des personnes concernées. 
* Auteur avec J. Petrelluzzi de L’Intelligence artificielle : ses enjeux en droit civil européen. Riga : Éditions universitaires européennes, 2017.** Autorité française de contrôle en charge de la protection des données à caractère personnel.*** La Cour des comptes rappelle que le SNDS intègre, en l’état, le Système national d’information interrégimes de l’assurance maladie (SNIIRAM), tenu par la CNAM ; le programme de médicalisation des systèmes d’information (PMSI) des établissements de santé, tenu par l’Agence technique de l’information sur l’hospitalisation ; la base médicale sur les causes de décès (BCMD), tenue par l’Inserm.**** Principe qui impose de ne traiter que des données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Encadre

Modalités de collecte des données de santé : l’appréciation de la Cour des comptes

David Gruson, Chaire santé de l’Institut d’études politiques de Paris, Ethik-IA, Paris, France

D’après l’avis n° 129 de contribution du Comité consultatif national d’éthique à la révision de la loi de bioéthique.

Dans son rapport publié en septembre 2018 sur l’application des lois de financement de la Sécurité sociale, la Cour des comptes porte un jugement critique sur la transformation digitale du système de santé français. En se livrant à une analyse comparée sur dix ans des systèmes de santé au niveau européen, la Cour des comptes montre que la France a su d’abord structurer des bases de données spécialisées, puis poser les fondements d’un système national des données de santé (SNDS), institué par la loi de modernisation du système de santé du 26 janvier 2016, qui les intègre.***

Pour autant, selon la haute juridiction financière, l’utilisation de ces bases reste, en l’état, insuffisante. La Cour des comptes rappelle également « l’échec » du dossier médical personnel,4 la généralisation du dossier médical partagé (DMP) ne devant commencer qu’à la fin de l’année 2018, grâce à la réingénierie du projet désormais porté par la Caisse nationale d’assurance maladie. Comme le relève la Cour des comptes, « cette situation contraste avec celle des pays qui se sont le plus rapidement engagés dans cette voie, en particulier la Suède et à un moindre degré l’Italie et le Royaume-Uni.

De manière générale, l’absence de dispositifs de prescription électronique par les médecins des médicaments, des dispositifs médicaux et des prestations infirmières, de masso-kinésithérapie et de transport occasionne de fréquents écarts, pour certains à caractère frauduleux, des produits et prestations facturés par les professionnels de santé concernés par rapport à ceux prescrits et, ce faisant, d’importantes pertes financières pour l’assurance maladie ». 

Références
1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
3. Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, tel que modifié par le décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
4. Cour des comptes. Le coût du dossier médical personnel depuis sa mise en place. Communication à la commission des Finances, de l’Économie générale et du Contrôle budgétaire de l’Assemblée nationale. La Documentation française, février 2013. www.ladocumentationfrancaise.fr ou https://bit.ly/2DFNYYR

Dans cet article

Ce contenu est exclusivement réservé aux abonnés
Encadrés