L’utilisation massive de données personnelles de patients et de citoyens a été déterminante dans la gestion mondiale de la pandémie de covid-19 et la recherche de vaccins dans un temps record. Ces milliards de données personnelles ont alimenté des solutions algorithmiques gérées par de l’intelligence artificielle (IA). D’emblée, la conformité de ces traitements au RGPD a posé question.
Gauthier Broze, DPO (hussard.com)
L’intelligence artificielle ouvre de nouvelles perspectives prometteuses pour le secteur de la santé: meilleure précision des diagnostics, amélioration des traitements et meilleure allocation des ressources humaines et techniques au moment de prodiguer les soins. Et pourtant la digitalisation de la santé draine son lot d’inquiétudes. Sensibilisés par le RGPD, les patients sont légitimement inquiets de l’usage qui est fait de leurs données sensibles. Qu’en est-il de la confidentialité de ces données ? de leur sécurité ? et de leur usage secondaire éventuellement à des fins malveillantes ? Et si un algorithme IA est ciblé par une cyberattaque et se met à dysfonctionner? Dans le contexte de leur relation thérapeutique, ils se sentent impuissants face à l’asymétrie d’information liée à une prise de décision algorithmique. Les hôpitaux et les professionnels de santé sont aussi inquiets. Peuvent-ils être contraints par des patients de recourir à de l’IA ? Comment trancher un conflit entre une décision humaine et une décision algorithmique ? Qui peut garantir que les données soumises à l’algorithme sont correctes et pertinentes ? Le risque de mauvais diagnostic est réel avec pour conséquence un traitement qui peut être inapproprié, voire fatal.
En 2016, les dossiers médicaux de 1.6 million de patients britanniques ont été vendus par le très réputé Royal Free NHS Foundation Trust à DeepMind, une filiale de Google spécialisée en IA. La violation de données fut constatée et sanctionnée par ICO, l’autorité de contrôle britannique. En juillet 2020, à New York, la société Cense AI est victime d’une cyberattaque. Les données ultrasensibles de 2.5 millions de patients victimes d’accidents de voiture sont divulguées sur internet. Les données comprenaient les noms, adresses, diagnostics, la date de l’accident et sa nature, la numéro d’assurance. Heureusement, les données ont été rapidement sécurisées mais durant quelques heures, les données sensibles ont été mondialement accessibles.
La notion de « responsabilité algorithmique » est une nouvelle notion qui émerge parmi les experts, elle souligne l’idée qu’un algorithme IA est un mixte de « machine learning », de développement humain et d’utilisation à travers une machine. L’algorithme IA, en tant que tel, ne peut être tenu pour moralement ou légalement responsable. Dans le prolongement du RGPD, la responsabilisation est un élément primordial du développement de l’IA dans le secteur de la santé et de la confiance qu’elle doit inspirer. Comme pour le RGPD, cela passe par une réglementation harmonisée de l’IA au niveau européen avec des définitions claires des rôles et responsabilités de chacun, du développeur IA au professionnel de santé, ainsi que par l’établissement de règles éthiques et de gouvernance dont le respect est contrôlé par des autorités spécialisées.