L’IA en santé : début des grandes manœuvres

Marguerite Brac de La Perrière, avocate associée au cabinet Lerins, vient de publier sur le site de l’Apssis[1] un état des lieux fouillé sur l’avancementdes réflexions, le découpage, les concepts, etc. On ne peut pas jouer les riffs de Higway to Hell mieux qu’Angus Young ni frapper sur terre battue mieux que Nadal, inutile d’essayer d’expliquer mieux que Marguerite qui fait autorité sur le sujet : allez donc lire le papier avant de continuer. Le texte est dense et concerne de nombreux domaines (documentation, qualité, appréciation des risques, etc.), mais ce qui nous intéresse ici relève plutôt de leur impact pour les organisations. Il y en a pas mal à court et à moyen terme, si tant est que l’on puisse les lister. Petite tentative, forcément non exhaustive.

Le premier point qui frappe, tant il transparaît dans tous les paragraphes de l’étude, c’est la similitude avec le RGPD. Appréciation des risques – à la fois avant la mise en fonctionnement et pendant l’activité de l’IA –, obligation de documenter le système et de mettre en place une gouvernance, on est à la fois en terrain connu (le RGPD, justement, les a déjà instaurées) et en même temps nos épaules risquent de s’affaisser un peu plus : encore un truc à faire à iso-moyens. Les RSSI/DPO auront tout intérêt à disposer de processus bien huilés, histoire de pouvoir encaisser la charge.

Le deuxième élément saillant est la question du jeu de données avec lequel l’IA est entraînée, puisqu’une IA n’est rien ou presque sans une énorme base de données pour lui faire « apprendre » les règles (si tant est qu’une IA puisse apprendre, mais c’est un autre sujet). Bien entendu, sur le plan purement technique, il faudrait idéalement des jeux de données nominatifs pour entraîner une IA, mais sur le plan du respect de la vie privée, c’est rarement possible : on navigue alors entre les notions de données anonymisées et pseudonymisées. Ces concepts étaient distincts il y a une dizaine d’années, mais on sait maintenant à la suite de différents travaux (voir Luc Rocher[2]) que le concept de pseudonymisation est un leurre dans la majorité des cas. À la suite d’une émission télévisée récente[3], il est apparu que non seulement certains Data Brokers savent pertinemment que les données prétendument pseudonymisées qu’ils recueillent ne le sont pas, mais qu’en plus ils les croisent sans vergogne à des fins avouées de réidentification, sans même d’ailleurs chercher à s’en cacher. En tant que DPO, j’aimerais vivement connaître la position de la Cnil sur ce point. Ce qui est certain, c’est que la plupart des projets de recherche vont être particulièrement complexes à mettre au point, tant cette question de l’anonymat est centrale.

Enfin, le dernier élément qui transparaît de l’étude de Marguerite concerne les précautions inhérentes à l’usage de l’IA : mise en place de systèmes de détection et de correction plus ou moins automatisées des erreurs, affichage clair des limites des résultats produits, formation des utilisateurs/opérateurs, etc. Nous avons tous en tête ces IA que l’on a entraînées à la maîtrise du langage en les gavant de discussions récupérées sur des forums… et qui ont fini par tenir des propos suprémacistes ; on a tous en tête les accidents de circulation, parfois mortels, commis par des IA de pilotage de véhicules (le dernier en date avec une Tesla) à la suite de cas limites pour les algorithmes de décision.

J’exagère à peine (un peu quand même, mais si peu) en disant qu’un pilote de ligne « ne fait qu’appuyer sur des boutons » dans le cockpit[4]. Avec les dispositifs de dernière génération embarqués (pilotes automatiques, GPS, etc.), pour certains vols effectivement, à part les phases critiques de décollage et d’atterrissage, la navigation ressemble pas mal à du pianotage de clavier. Mais un pilote sert à bien autre chose : la présence humaine dans le cockpit n’est justement pas destinée à gérer ce que la machine sait faire de manière autonome. L’humain sert à contrôler, piloter (c’est le cas de le dire), valider les résultats, les données en entrée, les éventuelles boules de rétroaction qui partent en cacahuète, etc.

En filigrane se dessine une mutation prévisible de certains métiers du soin. C’est déjà le cas dans les laboratoires de biologie, dont les résultats sont systématiquement validés par des logiciels flirtant avec l’IA depuis des années. Ce sera bientôt le tour des radiologues, des pharmaciens, puis de tous ceux qui interviennent au chevet du patient. Certains chirurgiens pensent déjà que dans quelques décennies ils n’opéreront plus avec leur main, mais avec un joystick : la rupture de paradigme risque d’être plus importante encore, et peut-être n’opéreront-ils plus du tout pour se « contenter » de vérifier que l’IA au bout du bistouri ne bugue pas.

[1] https://www.apssis.com/actualite-ssi/519/quel-cadre-pour-les-systemes-d-ia-dans-le-secteur-de-la-sante.htm 

[2] https://www.rocher.lc/ 

[3] https://www.france.tv/france-2/cash-investigation/2450927-nos-donnees-personnelles-valent-de-l-or.html 

[4] Les pilotes professionnels me pardonneront cet exemple qui ne sert qu’à illustrer le propos ; le métier de pilote est bien entendu beaucoup plus complexe.