IA et Santé : vers une réforme de la loi « Informatique et Libertés » pour faciliter l’innovation et la recherche ?

   Par Alexandre Fievée, Avocat Associé et Alice Robert, Avocat of Counsel, Derriennic Associés

Le rapport de la Commission de l’intelligence artificielle, en quelques mots 

En septembre dernier, le Gouvernement a installé la Commission de l’intelligence artificielle pour « contribuer à faire de la France un pays à la pointe de la révolution de l’IA ». La Commission a remis, mercredi 13 mars 2024, son rapport au Président Emmanuel Macron. Ce rapport contient 25 recommandations pour que la France puisse tirer partie de la révolution technologique de l’IA. La recherche dans le secteur de la santé est au cœur des réflexions. La question de la protection des données personnelles l'est également. 

En synthèse, il ressort du rapport que : 

• L’IA est une révolution technologique incontournable ;
• Cette révolution technologique affecte tous les domaines d’activité ;
• L’IA ne doit susciter ni excès de pessimisme, ni excès d’optimisme (« Nous n’anticipons ni chômage de masse, ni accélération automatique de la croissance ») ;
• L’Europe et la France ont des atouts pour être des acteurs de cette révolution ;
• L’Europe et la France doivent relever le défi de l’IA, « faute de quoi nous n’aurons pas la maîtrise de notre avenir ».

Afin de gagner le défi de l’IA, la Commission propose six grandes lignes d’actions :

• Lancer immédiatement un plan de sensibilisation et de formation de la nation ;
• Réorienter structurellement l’épargne vers l’innovation et créer, à court terme, un fonds « France & IA » de 10 Md euros ;
• Faire de la France un pôle majeur de la puissance de calcul ;
• Faciliter l’accès aux données ;
• Assumer le principe d’une « exception IA » dans la recherche publique ; et
• Promouvoir une gouvernance mondiale de l’IA. 

L’accès aux données, le défi de l’IA 

Premier constat : l’IA permet d’appréhender un volume considérable de données disponibles, que l’intelligence humaine ne peut pas traiter. « Plus de 5 millions d’articles scientifiques sont publiés chaque année, dont la moitié dans le seul domaine de la recherche médicale, indique la Commission. Il est évidemment impossible qu’un chercheur ou une équipe de chercheurs, même de haute volée, puisse les lire, et encore moins les évaluer et les analyser. ».

Deuxième constat : les données constituent un ingrédient indispensable aux développements récents de l’intelligence artificielle. Et si ces données ne sont pas nécessairement personnelles, force est de constater que nombre d’entre elles ont un caractère personnel. « Exploiter le potentiel de l’intelligence artificielle et permettre son déploiement au service de l’humain exige par conséquent que les chercheurs, les développeurs et les innovateurs disposent d’un accès à des données massives, fiables, aisément manipulables et dont la représentativité et la qualité peuvent être évaluées, souligne la Commission. Dans un contexte d’évolution technologique rapide et de concurrence accrue, cet accès doit en outre pouvoir leur être ouvert rapidement et les données être utilisées sans contraintes excessives, au risque de favoriser davantage encore les acteurs en place ou de voir d’autres s’approprier nos recherches et nos innovations, en nous devançant dans leur expérimentation et leur diffusion. »

Troisième constat : l’accès aux données est souvent compliqué et les contraintes sont considérées comme excessives par les acteurs de l’IA, quels qu’ils soient (entreprises, chercheurs, laboratoires, institutions publiques et privées, associations). 

Les contraintes règlementaires

Les contraintes sont de deux ordres : 

Tout d’abord, la Commission considère que certaines règles et pratiques françaises sont plus contraignantes que le cadre européen en matière de traitement de données personnelles. Si le RGPD a, avec les principes de liberté et de responsabilité, renversé complètement la logique du droit qui prévalait en France depuis la loi « Informatique et Libertés » du 6 janvier 1978 (en application de laquelle les traitements des données à caractère personnel reposaient sur des procédures d’autorisation ou de déclaration préalables auprès de la CNIL), les contraintes sont encore trop fortes dans le secteur de la santé. « Il demeure des procédures d’autorisation préalables non prévues par le droit européen, regrette la Commission. C’est en particulier le cas pour l’accès aux données de santé pour la recherche. Une procédure simplifiée de déclaration de conformité à des méthodologies de référence existe mais elle est loin d’être généralisée. En pratique, la procédure simplifiée reste l’exception par rapport à la procédure d’autorisation préalable car le moindre écart par rapport à ces méthodologies implique d’en passer par une autorisation préalable qui peut impliquer jusqu’à trois niveaux d’autorisation préalable. »

Ensuite, la Commission estime qu’il existe « un décalage croissant entre la logique centrée sur la protection de l’individu et l’évolution des modes d’utilisation collective des données ». Selon la Commission, plusieurs notions clés du RGPD sont peu adaptées face au fonctionnement de l’IA : la notion de « responsable du traitement », « pour laquelle la répartition des responsabilités entre le développeur qui a procédé à l’entraînement d’une IA générative et qui la met à disposition de tiers et l’utilisateur final du système pour ses propres besoins n’apparaît pas forcément aller de soi » ; la notion de « finalité du traitement », « qui conditionne la nature des données pouvant légalement être utilisées et sur laquelle porte le consentement des personnes concernées est également plus complexe à appréhender, eu égard aux nombreuses utilisations possibles d’une IA générative une fois celle-ci entraînée » ; la notion même de « donnée personnelle », « qui constitue la clé d’application du RGPD, suscite des interrogations dans un contexte croissant d’utilisation de données collectives ». 

Même l’anonymisation des données personnelles qui permet de « sortir » du régime de protection des données personnelles du RGPD, ne semble pas adaptée car « la technologie ouvre de plus en plus loin des possibilités de réidentification de données anonymisées ».

Quelles solutions ? 

La Commission recommande « de supprimer des procédures d’autorisation préalable d’accès aux données de santé et de réduire les délais de réponse de la CNIL ». Elle ajoute que cette évolution devrait s’accompagner d’une réforme du mandat confié à la CNIL, pour y intégrer un « objectif d’innovation ». Elle termine en suggérant l’idée d’une « gouvernance collective » de la donnée qui pourrait poser « les jalons d’une évolution du cadre juridique qui prendrait mieux en considération l’évolution des modes d’utilisation des données. » 

Affaire à suivre…

[1] https://www.elysee.fr/emmanuel-macron/2024/03/13/25-recommandations-pour-lia-en-france