Auteur: Marlies De Brabandere (Crivits legal)
J’ai récemment eu l’honneur de faire une présentation lors de la réunion d’automne de la BeSTRO (Société Belge de Radiothérapie et d’Oncologie) sur les implications juridiques de l’utilisation de l’intelligence artificielle dans les soins de santé, avec un focus particulier sur la radiothérapie.
L’intelligence artificielle est également utilisée quotidiennement dans le secteur de la santé pour une grande variété de tâches, telles que l’établissement de diagnostics et la planification de traitements. Bien que ces systèmes d’IA puissent améliorer considérablement la qualité et l’efficacité des soins de santé, leur mise en œuvre soulève également de nombreux défis juridiques.
Afin d’éviter les écueils juridiques, il faut bien sûr d’abord les (reconnaître). Dans cet article de blog, j’explique les points d’intérêt et les risques juridiques les plus importants liés à l’utilisation de l’intelligence artificielle dans les soins de santé, en particulier du point de vue des établissements de santé et des prestataires de soins de santé.
Défis juridiques
Les réglementations entourant l’utilisation de l’IA dans les soins de santé sont actuellement réparties dans la législation nationale et européenne. Ce paysage juridique fragmenté rend souvent difficile la compréhension de la forêt et fait en sorte que les différentes lois et réglementations ne sont pas toujours pleinement coordonnées. De plus, le législateur ne peut pas toujours suivre le rythme rapide des évolutions technologiques. Cela crée régulièrement des situations dans lesquelles il n’existe pas de cadre juridique clair sur lequel s’appuyer.
La mise en œuvre de cette législation dans la pratique quotidienne ne va donc pas toujours de soi. Cela peut être vécu comme un défi de taille, en particulier dans le secteur de la santé, qui est déjà soumis à de fortes pressions et doit tenir compte d’une multitude de réglementations et de codes de conduite.
Dans ce qui suit, je donne un aperçu des réglementations les plus importantes et des points clés que les établissements de santé et les prestataires de soins doivent prendre en compte lors de l’utilisation de l’IA.
Réglementation des dispositifs médicaux
Le premier point d’attention juridique important concerne la phase précédant l’utilisation d’un système d’IA. Le règlement européen sur les dispositifs médicaux (RMD) fixe des exigences strictes en matière de qualité et de sécurité des dispositifs médicaux. L’objectif est de garantir la santé et la sécurité des patients et des autres parties prenantes avant la mise sur le marché de ces applications.
La définition d’un « dispositif médical » dans le règlement est large, incluant la plupart des systèmes d’IA utilisés dans le secteur de la santé.
Pour savoir exactement à quelles obligations un système d’IA doit répondre, il est important de déterminer dans quelle classe de risque le système appartient. Plus le risque pour l’utilisateur ou le patient est élevé, plus les exigences liées à la mise sur le marché de l’application sont strictes. Ci-dessous, j’illustre les différentes classes de risque à l’aide d’un certain nombre d’exemples de systèmes d’IA en radiologie :
Classe I (risque faible) : par exemple, logiciel d’IA pour la détermination de l’âge sur la base d’un scanner de la main. Classe IIa (risque faible-moyen) : par exemple, logiciel d’IA pour la détection des fractures sur un scanner. Classe IIb (risque moyen-élevé) : par exemple. pour analyser le cancer de la prostate sur une IRM Classe III (risque élevé) : par exemple un logiciel qui prend des décisions concernant les patients victimes d’un AVC
Même si les obligations de ce règlement s’adressent en priorité aux producteurs de systèmes d’IA, il est également important que les utilisateurs de ces systèmes soient vigilants. Les établissements de santé et les prestataires de soins de santé doivent veiller à n’utiliser que des systèmes d’IA qui répondent à toutes les exigences légales. Un dispositif médical répondant aux exigences de la réglementation peut être reconnu par un « marquage CE ».
Règlement Général sur la Protection des Données (RGPD)
Une deuxième réglementation importante est le Règlement Général sur la Protection des Données (RGPD), plus connu sous le nom de « RGPD ». Le RGPD contient de nombreuses règles pour protéger les données personnelles et prend de plus en plus d’importance à l’ère numérique actuelle où les données sont traitées quotidiennement par diverses applications et autorités. C’est bien entendu également le cas dans le secteur de la santé, où sont traitées des données extrêmement sensibles sur les patients. Une violation de données dans ce contexte peut entraîner de graves atteintes à la vie privée et une atteinte importante à la réputation de l’établissement de santé concerné. L’application du RGPD est donc généralisée depuis un certain temps dans le secteur de la santé.
Le RGPD contient de nombreuses dispositions relatives à la protection des données personnelles. Par exemple, il est nécessaire qu’il y ait toujours une base légale pour le traitement des données, et le règlement offre des droits étendus aux personnes concernées dont les données sont traitées. Les données relatives à la santé des patients sont également considérées comme des « données personnelles spéciales » et sont donc soumises à des obligations supplémentaires.
Bien que le RGPD ne contienne pas de règles spécifiques pour les systèmes d’IA, ses dispositions doivent bien entendu toujours être pleinement appliquées lors de l’utilisation de l’IA dans le secteur de la santé.
Il y a ensuite le règlement européen sur l’IA récemment adopté, mieux connu sous le nom de « AI Act ». Les dispositions et obligations les plus importantes de cette nouvelle réglementation ont été clairement expliquées par ma collègue Jolien dans son article de blog du 27 septembre (à lire absolument).
La loi sur l’IA est entrée en vigueur le 1er septembre 2024, mais elle entre en vigueur progressivement. La plupart des dispositions ne s’appliqueront qu’à partir d’août 2026. Comme le règlement sur les dispositifs médicaux, la loi sur l’IA utilise une « approche basée sur les risques » : plus le risque associé à un système d’IA est grand, plus la réglementation est stricte. La plupart des systèmes d’IA dans le secteur de la santé entrent dans la catégorie « à haut risque ».
Les systèmes d’IA à haut risque ne sont pas interdits, mais doivent répondre à des exigences supplémentaires strictes en plus des obligations de transparence et d’information (qui s’appliquent également aux applications d’IA à faible risque). En outre, ils sont également soumis à un contrôle approfondi avant d’être réellement utilisés.
Vous souhaitez en savoir plus sur l’AI Act ? Alors assurez-vous de lire l’article du blog de Jolien.
« Qui est responsable lorsque l’utilisation de l’IA entraîne des dommages, par exemple chez un patient ? C’est une question qui préoccupe de nombreux utilisateurs de l’IA dans le secteur de la santé. Cependant, la réponse à cette question est souvent complexe et dépend fortement des circonstances spécifiques de chaque cas. De plus, de nombreux acteurs sont souvent impliqués dans le processus qui a finalement conduit aux dégâts. Dans le cadre d’un traitement médical utilisant l’IA, cela inclut le développeur du système d’IA, le fabricant, l’hôpital où le traitement a eu lieu, les médecins impliqués, les autres prestataires de soins, etc. Tous ces acteurs peuvent potentiellement être responsables si quelque chose ça va mal. La détermination de ces responsabilités est rarement une question en noir et blanc.
Bien qu’il existe deux propositions concrètes au sein de l’UE visant à harmoniser les règles de responsabilité pour l’utilisation de l’IA, la plupart des dispositions sont encore contenues dans la législation nationale.
Un aperçu détaillé des différentes règles de responsabilité lors de l’utilisation de l’IA dans le secteur de la santé dépasse le cadre de cet article. Si vous avez d’autres questions à ce sujet, vous pouvez bien sûr toujours nous contacter.
Assurance et gestion des risques
La question de la responsabilité pour les dommages causés par l’utilisation des systèmes d’IA pose également celle de leur assurabilité. Au sein de l’UE, des voix se font entendre – par analogie avec l’assurance automobile obligatoire – pour introduire une assurance responsabilité civile obligatoire pour l’utilisation des robots et de l’IA. Même si son élaboration concrète ne sera possible que demain, il est nécessaire d’adapter progressivement les polices d’assurance existantes, comme l’assurance responsabilité professionnelle, à ces évolutions technologiques. Vérifier vos politiques actuelles peut être une première étape importante.
Conclusion
Dans le secteur de la santé, comme dans d’autres secteurs, il est difficile de trouver un équilibre entre, d’une part, stimuler l’innovation et, d’autre part, assurer la protection contre les risques potentiels.
En attendant, les conseils suivants peuvent vous aider à utiliser les systèmes d’IA dans le secteur de la santé de manière responsable :
Développer une stratégie d’IA claire et applicable dans la pratique avec des objectifs concrets, des systèmes de gestion des risques, etc. Offrir une formation suffisante aux prestataires de soins de santé qui utilisent l’IA, afin qu’ils sachent non seulement quelles sont les possibilités, mais également quelles sont les limites et les risques ; Fournir un mécanisme de contrôle permanent pour assurer la qualité et la protection des données saisies dans les systèmes d’IA ; …
Bron : Crivits légal
