Premières recommandations de la CNIL en matière d’IA : quels exemples appliqués au secteur de la santé ?

 Par Alice Robert et Alexandre Fievee, Derriennic Associés

1. Une première série de recommandations en matière d’IA attendues et circonscrites

La CNIL a été interrogée par plusieurs acteurs sur l’application du RGPD à l’IA et, plus particulièrement, aux systèmes d’IA génératives. Dans ce cadre, la CNIL a émis des premières recommandations sur le développement des systèmes d’IA, présentées sous forme de 7 fiches pratiques (lesquelles seront complétées après consultation publique).

Le périmètre de ces recommandations est donc limité à la phase de développement des systèmes d’IA, sous réserve qu’elle « implique » le traitement de données personnelles soumis au RGPD.  Cette phase de développement du système d’IA comprend la conception du système, la constitution de la base de données, l’apprentissage et, parfois, l’intégration, indique la CNIL.

Sans rentrer dans la description et l’analyse de chacune de ces fiches qui s’appliquent, de façon générale, à tous les secteurs dont le secteur de la santé, certaines d’entre elles nous livrent des précisions et/ou des exemples concrets, particulièrement instructifs en santé. 

2. Quelques cas concrets appliqués au secteur de la santé

2.1. Développement d’un système d’IA et recherche scientifique

Parce qu’il n’est pas toujours évident de déterminer si le développement d’un système d’IA poursuit un objectif de recherche scientifique, la CNIL rappelle, de façon générale, ce qu’on entend par traitement de données relevant de la « recherche scientifique ». La CNIL propose ainsi « un faisceau de critères » permettant de déterminer si un traitement de données ayant pour objectif la recherche, relève bien de la recherche scientifique. 

Ces critères sont notamment (i) le mode de financement du programme de recherche (par exemple, un financement par l’Agence Nationale de la Recherche), ou, en particulier pour la recherche scientifique privée, (ii) l’analyse et la réunion de cinq critères que sont la nouveauté, la créativité, l’incertitude, la systématicité (« C’est par exemple le cas des exigences méthodologiques particulières pour les traitements mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ») et la transférabilité/la reproductibilité.

En matière de recherche scientifique, la CNIL montre une certaine souplesse quant aux objectifs (finalités) d’un traitement à déterminer au stade du développement d’un système d’IA, « compte tenu des difficultés que les chercheurs peuvent avoir à cerner [toutes les finalités] dès le début de leurs travaux ». La CNIL admet effectivement que le responsable de traitement puisse ne pas indiquer l’ensemble du ou des objectif(s) poursuivi(s), et apporter, au fur et à mesure de l’avancement du projet concerné, des informations plus précises sur ces objectifs.

Par ailleurs, la CNIL revient sur les conditions de réutilisation d’un jeu de données, initialement constitué à des fins recherche scientifique, à d’autres fins dans le cadre du développement d’un système d’IA :   

• L’anonymisation préalable des données ; ou
• Le respect de l’exigence de la compatibilité entre la finalité initiale du jeu de données et la nouvelle et ce, dans le respect du RGPD (information des personnes sur la nouvelle finalité, identification d’une base légale…). 

2.2. Développement d’un système d’IA en santé et responsabilité des parties prenantes

Dans le cadre du développement d’un système d’IA, plusieurs acteurs peuvent influer sur le pourquoi (objectif/finalités) et le comment (moyens mis en œuvre) d’un traitement de données personnelles. 

A cet égard, la CNIL prend l’exemple de centres hospitaliers universitaires qui développent un système d’IA pour l’analyse de données d’imagerie médicale et qui, dans ce cadre, décident d’utiliser un protocole identique d’apprentissage fédéré (dont l’objectif est d’exploiter des données pour lesquels chaque centre est « responsable de traitement » distinct, sans que chaque centre ne s’en rende mutuellement destinataire). Dans un tel cas, les centres hospitaliers sont considérés par la CNIL comme « responsables conjoints du traitement » d’apprentissage fédéré dans la mesure où ils déterminent ensemble (i) l’objectif du traitement, à savoir l’entrainement d’un système d’IA médicale et également (ii) les moyens de ce traitement, consistant en la mise en place d’un protocole et la détermination des données exploitées.

2.3. Développement d’un système d’IA en santé et mesures de protection des données personnelles dès la conception

La CNIL détaille la façon dont les mesures de protection des données personnelles pourraient être mises en place « au regard de leur influence sur les performances techniques – théoriques et opérationnelles » du système d’IA en développement. Pour la CNIL, ces mesures seront considérées comme « bénéfiques » en raison (i) de « leur capacité à réduire les conséquences d’une éventuelle perte de confidentialité des données » et (ii) de « la possibilité éventuelle d’utiliser le modèle entrainé en phase opérationnelle sur des données ayant fait l’objet de mesures de protection identique ». 

La CNIL nous livre un exemple en santé concernant le développement d’un système d’IA d’aide au diagnostic. Selon l’autorité de contrôle, le risque de perte de confidentialité de données, en l’occurrence sur l’âge des patients, peut être « réduit drastiquement » en jouant simplement sur la définition des types de données à traiter (choisir un champ [mois- année] ou [année] au lieu de [jour-mois-année]) et, « cela sans préjudice sur la capacité de généralisation de son système ».

Ces premiers éclairages vont être prochainement enrichis par la CNIL. A suivre…

[1] Délibération n° 2024-011 du 18 janvier 2024 portant adoption d'une recommandation sur l'application du règlement général sur la protection des données au développement des systèmes d'intelligence artificielle, publiée le 12 avril 2024 au Journal Officiel.