RGPD en santé : les enjeux des cinq prochaines années
21 juin 2022 - 11:09,
Tribune
- Cédric CartauCinq ans, mine de rien, c’est long, même dans le réglementaire. On a eu le temps de se mettre au carré sur pas mal de sujets, on a eu le temps de peaufiner nos PIA et nos processus d’homologation, bref les DPO ne sont pas restés les bras croisés. Il reste des sujets en friche, des domaines où le DPO s’interroge sur le mode de résolution, et aussi des difficultés initialement non prévues que pas grand monde n’a vu arriver sur le terrain.
Dernièrement, une série d’articles sur l’IA en santé ont été publiés par Me Brac de La Perrière (ici[1], ici[2] et ici[3]). Les aspects de la question y sont largement abordés, et je ne vais même pas me risquer à tenter un résumé, il suffit de les lire : ils constituent une parfaite synthèse du point de vue juridique sur la question. Le point de vue technique sur cette même thématique peut s’exprimer de la sorte : le RGPD impose de définir la finalité d’un traitement. Or, justement, dans l’IA on ne sait pas ce que l’on cherche avant de l’avoir trouvé. Je suis moyennement en phase avec ce point de vue technique pour deux raisons : d’une part en définissant la finalité de façon large on échappe à cette chausse-trappe, et d’autre part ce problème n’est pas spécifique à l’IA, il se posait déjà avec le Big Data et la recherche de corrélation/causalité dans les gros ensembles de données. En tout état de cause, lancer un traitement sans être capable d’en définir très précisément la finalité est un point de vigilance. D’ailleurs, un des cas d’usage de l’IA qui pose souci a trait à l’entraînement d’un algorithme : il s’agit de faire tourner sur un jeu de données réelles des algorithmes auto-apprenants (si tant est que ce terme soit exact), mais il n’est pas toujours possible d’anonymiser ni de pseudonymiser le jeu de données.
Autre source de vigilance, le cas de l’amélioration des pratiques. Par exemple, lancer une recherche statistique sur un jeu de données de patients pour déterminer le temps moyen de prise en charge en fonction d’un critère objectif (la pathologie, le service, l’heure d’accueil, etc.). La finalité peut en être une formation des agents pour lesquels on a détecté un souci d’utilisation dans telle ou telle pratique professionnelle, l’adaptation des équipes en fonction de l’heure, etc. Dans tous les cas, il va falloir balayer un jeu de données qui n’ont pas été initialement collectées dans cette finalité. Dans l’exemple, ces données ont été collectées pour du soin pur. Le cas de l’adaptation des moyens logistiques se rapproche du précédent : analyser les motifs d’admission en traumatologie selon le jour de la semaine pour adapter les stocks de plâtres pour les jambes cassées (c’est juste un exemple). Dans les deux cas, on peut s’en tirer par une pirouette en considérant qu’il s’agit d’une sous-finalité d’une finalité principale. Globalement, on peut dégager quatre grandes requêtes candidates au statut de sous-finalité : l’analyse de l’activité, l’amélioration des pratiques professionnelles, l’amélioration logistique et les études épidémiologiques (qui ne rentrent pas toutes dans un contexte de recherche au sens de la loi Jardé). Et le soin n’est pas le seul domaine concerné : les données RH sont la plupart du temps accolées à un univers de requête de type hypercube.
Autre exemple : les enquêtes. D’expérience, on trouve regroupé derrière ce terme à peu près tout et n’importe quoi, de l’enquête totalement anonyme pour connaître l’avis des agents sur les frites du self jusqu’à l’enquête totalement nominative pour savoir si tels patients supportent bien tel traitement sur le moyen terme à leur sortie d’hospitalisation en psychiatrie. Prudence : certaines enquêtes ont une fâcheuse tendance à se transformer en dossier patient/agent bis qui ne dit pas son nom.
Il y a aussi le cas des registres nationaux (pathologie rare, cancer pédiatrique, etc.). Les cas d’usage sont extrêmement variés, depuis le registre qui adresse un nombre très limité de patients et pour lequel les fondamentaux tels les droits d’information/opposition/rectification peuvent être satisfaits sans difficulté, en passant par les registres absolument énormes qui hébergent des centaines de milliers de patients. Le sujet n’est pas tant la capacité de ces organismes à mettre en place un traitement (ces registres émanent souvent d’entités morales distinctes des hôpitaux qui s’appuient souvent sur une mission d’intérêt général, et leur conformité relève de leur seul périmètre), mais surtout leur propension à aller « taper » dans les DPI des établissements de santé sans aucune restriction.
Enfin, il y a les cas extrêmes, notamment les unités de soins qui auditionnent les mineurs dont on soupçonne avoir été victimes de violences physiques ou sexuelles. Pour informer les représentants légaux (qui sont très souvent à l’origine de ces mêmes violences) que leur enfant va être auditionné dans ce qui pourra constituer ultérieurement un début de procédure pénale en dehors de toute commission rogatoire, il faut une certaine habileté en communication.
[3] https://lerins.com/wp-content/uploads/2021/12/211202-Big-Data-et-IA-Secteur-Sante.pdf
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.