Publicité en cours de chargement...

Publicité en cours de chargement...

Intelligence artificielle, algorithmes d’aide à la décision et à la thérapeutique : quelles exigences pour les utilisateurs des établissements de santé ?

24 mai 2022 - 09:49,
Tribune - Marguerite Brac de La Perrière
Dans le précédent volet, les obligations des professionnels utilisant des outils d’intelligence artificielle (IA), dans le cadre d’actes de prévention, de diagnostic ou de soins, ont été présentées. L’objet du présent papier est de s’intéresser aux obligations des établissements de santé en cas de recours à un éditeur fournissant un système d’IA.

Tout d’abord, avant toute utilisation des systèmes d’IA générant des traitements de données à caractère personnel, il appartient à l’établissement de santé, en sa qualité de responsable du traitement au sens du RGPD, de s’assurer que l’éditeur du système, en sa qualité de sous-traitant, présente les garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du RGPD. En ce sens, tout établissement de santé doit requérir de la part de l’éditeur un plan d’assurance sécurité et/ou un projet d’analyse d’impact sur le périmètre fonctionnel concerné, ainsi que la documentation technique pertinente, en tenant compte des risques spécifiques des systèmes d’IA par rapport à des systèmes d’information classiques, les capacités d’apprentissage automatique augmentant la « surface d’attaque » de ces systèmes, en introduisant de nombreuses nouvelles vulnérabilités (voir le dossier Linc Cnil).

Bien sûr, chaque système d’IA doit permettre le respect des mesures de la PGSSI-S et être hébergé par un hébergeur certifié de données de santé en Europe ou, en cas de recours à un prestataire américain, faire l’objet de dispositions supplémentaires de nature à exclure la possibilité d’accès aux données des services de renseignements américains.

Pour mémoire, les marchés et/ou contrats à conclure doivent inclure un « data processing agreement » définissant les caractéristiques des traitements confiés et les engagements de l’éditeur, notamment à l’égard du recours à des sous-traitants ultérieurs, ainsi que l’annexe Hébergement de données de santé requise par la réglementation.

Outre les mesures de sécurité propres au système d’IA utilisé, les mesures de sécurité habituelles pour un traitement utilisant des données personnelles ou ayant des conséquences pour les personnes doivent être mises en place et, le cas échéant, évaluées dans le cadre d’une analyse d’impact.

Une attention particulière doit être portée aux conditions de réutilisation éventuelle des données traitées à l’aide du système d’IA par l’éditeur aux fins d’amélioration de l’algorithme, dont la maîtrise incombe à l’établissement seul décisionnaire.

Article connexeIntelligence artificielle, algorithmes d’aide à la décision et à la thérapeutique, comment la garantie humaine doit-elle être mise en œuvre ? quelles exigences pour les utilisateurs professionnels de santé ?

Par ailleurs et classiquement, l’établissement de santé devra s’assurer du bon niveau de marquage CE médical : classe II a) en matière d’aide au diagnostic ou d’aide à la thérapeutique conformément au règlement relatif aux dispositifs médicaux, et non classe I comme certains dispositifs d’aide au diagnostic mis sur le marché.

Enfin, la conformité aux exigences du projet de règlement sur l’intelligence artificielle doit être établie dans la documentation technique relative au système d’IA à haut risque. La notice d’utilisation doit permettre aux utilisateurs de l’établissement non seulement d’interpréter les résultats du système et de l’utiliser de manière appropriée, c’est-à-dire conformément à sa destination d’usage, mais aussi d’être en mesure d’exercer un contrôle humain.

Rappelons que les sanctions encourues en matière de protection des données et en matière d’intelligence artificielle sont similaires, les dernières pouvant toutefois s’élever jusqu’à 30 millions d’euros s’agissant des exigences relatives à la gouvernance des données.


L’auteure

Avocate associée du cabinet Lerins & BCW, Marguerite Brac de La Perrière est experte en santé numérique.
Elle accompagne les acteurs de la santé dans leur conformité réglementaire, leur développement et leur croissance, notamment en matière de traitement ou de réutilisation des données et de contrats.
[email protected] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

Appel à projet cybersécurité : l’ARS Auvergne-Rhône-Alpes soutient l’innovation en établissements de santé

06 juin 2025 - 18:52,

Actualité

- DSIH

L’Agence régionale de santé Auvergne-Rhône-Alpes lance un appel à projet pour expérimenter des solutions innovantes en cybersécurité dans les établissements sanitaires et médico-sociaux. Les candidatures sont ouvertes jusqu’au 30 juin 2025. L’initiative s’inscrit dans le cadre du programme CaRE, pou...

Illustration Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

Libérer du temps soignant et sécuriser les approvisionnements : deux priorités au cœur de la stratégie logistique de l’Anap

06 juin 2025 - 18:32,

Actualité

- DSIH

Face aux tensions sur les organisations hospitalières, l’Agence nationale de la performance sanitaire et médico-sociale (Anap) renforce son engagement aux côtés des établissements avec deux outils complémentaires :

Illustration Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

Le Health Data Hub sélectionne huit nouveaux projets pour enrichir sa bibliothèque open source d’algorithmes en santé

04 juin 2025 - 13:10,

Communiqué

- Le Health Data Hub

À l’occasion de la Journée de l’open science en santé, organisée ce 4 juin 2025 à PariSanté Campus, le Health Data Hub (HDH) annonce les huit lauréats de la 8e vague de son appel à manifestation d’intérêt (AMI) dédié à la Bibliothèque Ouverte d’Algorithmes en Santé (BOAS). Cet appel à projets, lancé...

Illustration MentalTech, vers un Observatoire français de la e-santé mentale

MentalTech, vers un Observatoire français de la e-santé mentale

02 juin 2025 - 22:20,

Actualité

- Damien Dubois, DSIH

Le 21 mai, le collectif MentalTech a annoncé l’arrivée de dix nouveaux membres et dévoilé sa feuille de route 2025 avec pour ambition de s’affirmer comme l’Observatoire de la e-santé mentale.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.