Partie III – Les questions posées par les évolutions
3.4. L’intelligence artificielle
3.4.1.1. L’essor de données relatives à la santé recueillies en dehors
Deux grandes catégories de données sont susceptibles d’être mobilisées pour nourrir les dispositifs d’intelligence artificielle en matière de santé.
D’une part, des grands volumes de données sont recueillis par des acteurs médicaux dans le cadre des parcours de soins des individus. Il s’agit ici pour l’essentiel des données médico‐administratives du système national des données de santé (SNDS), qui regroupe principalement les données de l’Assurance maladie (SNIIRAM), les données des hôpitaux (base PMSI) et celles relatives aux causes médicales de décès (base du CépiDC de l’Inserm), ainsi que des données figurant dans les dossiers médicaux. Le recueil, le traitement et l’accès à ces données font l’objet d’un encadrement juridique spécifique. La loi de modernisation de notre système de santé du 26 janvier 2016 a ainsi partiellement ouvert l’accès à ces données selon deux régimes distincts. Les jeux de données pour lesquelles aucune identification n’est possible ont été rendus libres d’accès dans une logique d’open data. S’agissant des
484 Par ex. en 2013, la base de données du SNIIRAM a permis d’étudier le risque d’AVC et d’infarctus du myocarde chez les femmes utilisant une pilule contraceptive de 3e génération.
Page 195
données comportant un risque de réidentification (nom, prénom ou numéro de sécurité sociale), le législateur en a élargi l’accès, rendu payant, aux organismes d’études et de recherches poursuivant un but lucratif (personnes produisant ou commercialisant des produits à finalité sanitaire, établissements de crédit, sociétés d’assurance) selon une procédure485 et des conditions486 rigoureuses.
D’autre part, des masses importantes de données relatives à la santé sont désormais recueillies en dehors de toute relation de soin. De nombreux dispositifs reposant sur l’intelligence artificielle apparaissent, qui permettent aux individus, dans une logique de quantification de soi (quantified self), de « mettre en chiffres le maximum d’informations relatives au corps humain, que celles‐ci se rapportent à des performances physiques, à des comportements, à des émotions »487. Ces objets connectés offrent la possibilité de mesurer diverses caractéristiques, comme le nombre de calories ingérées dans la journée, le nombre de pas parcourus ou le nombre d’heures de sommeil. Une telle démarche procède de trois logiques : la surveillance, par le suivi d’un ou de plusieurs paramètres à risque ; la routinisation, aux fins d’inciter à la pérennisation d’un comportement ; la performance, les données servant alors à matérialiser l’accomplissement d’un objectif488. Au‐delà de leur utilisation par l’individu dont elles émanent, ces données sont également conservées par les acteurs privés proposant de tels services, qui les analysent pour améliorer la pertinence de leur offre, voire les monnaient auprès d’autres acteurs.
Cette mobilisation de données relatives à la santé par des acteurs privés et en dehors de toute relation de soin fait apparaître trois séries de risques.
Tout d’abord, il convient de se garder de l’illusion selon laquelle les dispositifs en cause seraient neutres et produiraient des résultats incontestables car objectifs.
D’une part, les données collectées dans ce cadre peuvent ne pas être fiables en raison de l’imprécision de leurs modalités de collecte. D’autre part, la donnée ne revêt jamais un caractère immanent : son recueil et le processus d’annotation l’accompagnant procèdent de choix, plus ou moins conscients, qui véhiculent toujours des hypothèses scientifiques, des intentions de recherche, des représentations sociales et des valeurs morales.
Ensuite, cette multiplication des données de santé peut conduire à une perception étendue du domaine de la maladie. Faisant écho au constat amusé d’Aldous Huxley qui relevait que « la médecine a fait tellement de progrès que plus personne n’est en
485 L’art. L. 1461‐3 du CSP prévoit notamment l’avis de l’Institut national des données de santé (INDS) et l’autorisation préalable de CNIL.
486 En particulier, deux finalités sont interdites : l’utilisation des données ne doit conduire ni à une
sélection du risque pour les assureurs, ni au ciblage commercial des professionnels de santé pour les industriels en produits de santé.
487 CNIL, Le corps, nouvel objet connecté, cahiers IP, juin 2014, n° 2, p. 38.
488 Ibid., p. 12.
Page 196
bonne santé », les instruments de quantified self introduisent une logique anxiogène de médicalisation « rampante », au nom de laquelle les individus acceptent de se soumettre à des injonctions comportementales, fussent‐elles implicites, pour conjurer les risques éventuels censément révélées par les données ainsi recueillies.
Une telle logique procède d’une confusion entre « la conscience de ses propres déterminations telles qu’elles se formalisent dans les données et la capacité à agir sur ces dernières »489. Dans cette optique, la quantification de soi peut même être « une source d’aveuglement, qui entraîne une sous‐estimation de ses symptômes ou une autopersuasion de sa capacité à se rétablir »490.
Enfin, ces données peuvent être réutilisées à des fins non anticipées par les utilisateurs au moment où elles ont été collectées. Ce risque est d’autant plus prégnant que les entreprises proposant de tels services ont souvent un modèle économique biface : le prix du service facturé au client ne couvre pas nécessairement leurs coûts, la rentabilité de leurs activités reposant davantage sur l’exploitation qu’ils feront des données, le cas échéant en les revendant à d’autres acteurs (compagnies d’assurances par exemple).
Face à de tels risques, il convient de s’interroger sur l’encadrement juridique auquel sont soumis, d’une part, les objets connectés en santé, d’autre part, les données recueillies dans ce cadre
Lorsque le fabricant de l’objet connecté attribue à celui‐ci une destination médicale, il est soumis au régime applicable aux dispositifs médicaux, défini par les articles L. 5211‐1 et suivants du code de la santé publique, qui transposent les dispositions issues des directives 93/42/CEE et 90/385/CEE. Ce cadre a été remanié par le règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, dont la plupart des dispositions seront applicables à partir du 26 mai 2020.
Pour l’essentiel, la finalité de ce cadre juridique est de s’assurer que ces produits offrent aux utilisateurs un niveau de sécurité élevé et qu’ils atteignent les objectifs que leur a assignés le fabricant. De telles exigences impliquent notamment une déclaration à l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ainsi qu’une certification dont les modalités varient selon le niveau de risque de l’objet en cause. L’agence dispose dans ce cadre d’un pouvoir de police sanitaire qui lui permet d’empêcher la mise sur le marché de dispositifs médicaux, en prenant en compte tant le risque spécifique que présente en elle‐même l’utilisation du dispositif en cause que les risques induits par son utilisation491. Ainsi qu’a pu le
489 L. Coutellec et P.‐L. Weil, « Big data ou l’illusion d’une synthèse par agrégation. Une critique épistémologique, éthique et politique », Journal international de biomédecine, 2017‐3, vol. 28.
490 C. Erhel et L. de La Raudière, Rapport d’information par la commission des affaires économiques de l’Assemblée nationale sur Les objets connectés, n° 4362, 10 janvier 2017.
491 CE, 16 mars 2015, Société Le complément alimentaire, n° 369854.
Page 197
relever le Conseil national de la consommation492, cette réglementation est de nature à garantir un niveau satisfaisant de conformité et de sécurité des dispositifs en cause.
L’entrée dans ce régime juridique dépend de la finalité revendiquée par les fabricants eux‐mêmes. Ces derniers peuvent donc être tentés, afin de se soustraire au régime des dispositifs médicaux, de n’assigner qu’une finalité éducative voire ludique aux objets et applications de santé qu’ils entendent commercialiser. Ils le peuvent d’autant plus aisément que la nouvelle réglementation exclut du champ des dispositifs médicaux « les logiciels destinés à des usages ayant trait au mode de vie ou au bien‐être »493. Sans doute lorsque la finalité affichée ne correspond manifestement pas à la finalité réelle de l’objet en cause, le fabricant est susceptible d’être pénalement sanctionné pour n’avoir pas respecté les règles applicables aux dispositifs médicaux. Subsistent néanmoins un très grand nombre de cas dans lesquels il est difficile de déterminer avec certitude la finalité des objets en cause, notamment lorsque des considérations d’ordre commercial conduisent les fabricants à prendre des libertés avec les potentialités véritables des dispositifs concernés.
Face à une telle zone grise, inhérente au caractère ténu de la frontière entre « santé » et « bien être », la Haute autorité de santé (HAS) a récemment élaboré un référentiel de bonnes pratiques portant sur les applications et objets connectés en santé494. Le Conseil d’État estime nécessaire de prolonger un tel effort au niveau de l’Union européenne afin de garantir aux utilisateurs des objets connectés en santé un niveau de sécurité et de fiabilité satisfaisants. Une telle démarche pourrait aller jusqu’à la mise en place d’un mécanisme de certification propre aux applications et objets connectés en santé qui ne relèvent pas du régime des dispositifs médicaux.
Quant au régime juridique applicable aux données recueillies auprès des utilisateurs de ces outils, il dépend du point de savoir si de telles données peuvent être qualifiées de « données de santé » au sens de la réglementation sur la protection des données personnelles. Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), applicable depuis le 25 mai 2018, définit les données de santé comme les « données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Le considérant qui l’éclaire semble élargir encore cette définition puisqu’il précise que les données de santé comprennent « toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, un dossier médical, un traitement
492 Rapport du Conseil national de la consommation sur les objets connectés en santé, 7 juillet 2017.
493 Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, cons. 18 bis.
494 Haute Autorité de santé, Référentiel de bonnes pratiques sur les applications et les objets connectés en santé, octobre 2016.
Page 198
clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro ».
À s’en tenir à ces éléments de définition, les données recueillies par les acteurs non médicaux, dès lors qu’elles présentent un lien avec l’état de santé d’une personne physique, ont donc vocation à être regardées comme des données de santé au sens du RGPD. Dès lors, de telles données constituent des données dites sensibles et, à ce titre, leur traitement n’est possible que dans les conditions définies par l’article 9 du RGPD, auquel font écho les dispositions de l’article 8 de la loi du 6 janvier 1978.
Lorsque ces données sont collectées à des fins commerciales, le responsable de traitement est soumis à trois séries d’exigences principales : tout d’abord, le consentement préalable de la personne dont les données sont collectées est requis ; ensuite et corrélativement, la finalité du traitement de données doit être déterminée de façon suffisamment précise et être légitime ; enfin, s’applique un principe de minimisation qui implique de ne traiter que les données strictement nécessaires au regard de cette finalité.
Deux séries de considérations sont susceptibles de remettre en cause le respect de ces principes par les responsables de traitements collectant des données de santé en dehors de toute relation de soin.
En premier lieu, la plupart de ces acteurs sont établis en dehors de l’Union européenne, ce qui semble faire obstacle à l’application à leur endroit des règles issues du droit de l’Union relatives à la protection des données personnelles.
En second lieu, le respect de ces principes semble fragilisé par les différentes caractéristiques des dispositifs d’intelligence artificielle. En effet, ces techniques, qui impliquent de recueillir des quantités massives de données pour « éduquer » la machine, rendent plus délicat le respect du principe de minimisation. En outre, l’apprentissage automatique, en ce qu’il dote les machines d’une « capacité à construire d’elles‐mêmes des connaissances et à les utiliser pour se reconfigurer en réécrivant leur propre programme »495, relativise la possibilité d’apprécier ab initio et une fois pour toutes si les finalités poursuivies justifient la collecte envisagée. Enfin, la perte de la richesse informationnelle d’une base de données impliquée par un procédé d’anonymisation pourrait s’avérer incompatible avec la sophistication des dispositifs d’intelligence artificielle, qui nécessitent des données d’entrainement toujours plus riches et nombreuses ; en d’autres termes, une contradiction existerait entre l’approche aujourd’hui retenue qui conditionne la protection au caractère
495 J.‐G. Ganascia, Le mythe de la singularité, op. cit., p. 47.
Page 199
personnel de la donnée et le traitement Big Data qui permet de transformer a posteriori des données neutres en données identifiantes496.
Face à de tels risques, certains ont pu plaider pour la reconnaissance d’un droit de propriété de l’individu sur ses données, en soutenant que la valorisation de ces dernières renforcerait la position des particuliers à l’égard des acteurs souhaitant utiliser leurs données. Toutefois, comme le relevait déjà le Conseil d’État dans son étude annuelle de 2014497, une telle perspective est à écarter pour au moins deux raisons. D’une part, le prétendu rééquilibrage de la relation entre les éditeurs de service numérique et les internautes qui découlerait de la reconnaissance d’un tel droit de propriété apparaît largement illusoire dans la mesure où le rapport de force entre l’individu, consommateur isolé dont la valeur de l’actif s’avèrerait dérisoire, et l’entreprise resterait marqué par un déséquilibre structurel. D’autre part, une telle perspective impliquerait de renoncer largement à la logique actuelle de protection puisque les limites aujourd’hui existantes à la capacité de l’individu de décider de l’utilisation de ses données seraient regardées comme autant d’atteintes à l’exercice du droit de propriété. Ces limites, pourtant protectrices de l’individu, se verraient dès lors confrontées aux exigences constitutionnelles et conventionnelles en matière de droit de propriété, ce qui aurait nécessairement pour effet de les fragiliser.
C’est pourquoi, le Conseil d’État estime que la logique de patrimonialité limitée qui irrigue le droit national et européen de protection des données personnelles doit être préservée, ce d’autant plus que les nouveaux principes issus du RGPD sont de nature à remédier aux risques induits par la prolifération des données de santé.
Tout d’abord, le règlement retient un champ d’application large, susceptible de couvrir l’ensemble des responsables de traitements. En effet, son article 3 prévoit qu’il s’applique aux acteurs européens, mais aussi aux responsables de traitement extra‐européens, dès lors que leurs activités sont liées à l’offre de biens ou de services à des ressortissants européens (qu’un paiement soit exigé ou non desdites personnes) ou au suivi du comportement de ces personnes. À l’aune de ce critère extraterritorial, repris à l’article 5‐1 de la loi du 6 janvier 1978, issu de la loi du 20 juin 2018 relative à la protection des données personnelle, la quasi‐totalité des acteurs économiques proposant à des ressortissants européens des activités qui impliquent le traitement de données de santé devront respecter les exigences européennes, lesquelles figurent parmi les plus protectrices au monde.
496 Comme le soulignent A. Bensamoun et G. Loiseau, « la conjugaison de l’intelligence artificielle
et du Big Data dédouanera, à terme, de l’amont – et donc de la condition de mise en œuvre de la législation – pour finalement obtenir, en aval, le même résultat » (« L’intégration de l’intelligence artificielle dans certains droits spéciaux », Dalloz IP/IT, mai 2017, pp. 295 et s.).
497 Conseil d’État, Le numérique et les droits fondamentaux, Les rapports du Conseil d’État, La Documentation française, 2014, p. 265 et s.
Page 200
Ensuite, le RGPD renforce la responsabilisation des acteurs collectant ces données en relativisant l’approche formelle traditionnelle, fondée sur l’autorisation ou la déclaration préalable auprès de la CNIL, au profit d’une logique plus continue, qui oblige les acteurs économiques concernés à s’assurer, par une analyse d’impact, qu’ils respectent à tout moment les principes posés par le RGPD. À cet égard, la promotion, par ce règlement, d’une démarche de privacy by design et de privacy by default renforce également l’idée selon laquelle le responsable de traitement doit se soucier dès l’origine du respect des exigences découlant du règlement, et en particulier du principe de proportionnalité.
Enfin, en aval, ce règlement renforce les sanctions pouvant être infligées aux responsables de traitement qui méconnaissent les règles qui leur sont applicables.
Son article 83 prévoit à cette fin des sanctions dissuasives, qui peuvent aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial voire, dans les hypothèses les plus graves, 20 millions d’euros ou 4% de ce chiffre d’affaires.
Participe de cette même logique l’instauration, par l’article 25 de la loi du 20 juin 2018, d’une action de groupe visant à obtenir, non seulement la cessation de manquements aux règles relatives au traitement des données, mais également la réparation sur le plan indemnitaire des préjudices matériels et moraux subis. Cette approche collective permettant de réparer des préjudices qui, pris individuellement, auraient souvent été trop véniels pour justifier l’engagement d’un recours, est de nature à renforcer l’effectivité des règles relatives à la protection des données de santé.
Au demeurant, le Conseil d’État constate que le législateur semble avoir estimé que ces nouvelles règles issues du RGPD étaient suffisamment protectrices. En effet, la loi du 20 juin 2018 n’exploite pas la marge de manœuvre laissée aux États membres par le paragraphe 4 de l’article 9 du RGPD, qui ouvre la possibilité d’introduire des conditions supplémentaires encadrant le traitement des données de santé recueillies après consentement explicite des personnes concernées.
3.4.1.2. Le risque d’une conditionnalité croissante de l'assurance maladie en fonction