Comment les entreprises peuvent-elles s’attaquer aux règles européennes sur l’IA et la protection des données ?
Les entreprises du secteur des sciences de la vie doivent faire face à des questions uniques en matière de conformité avec la loi européenne sur l’intelligence artificielle (IA), notamment l’étendue de l’exemption de recherche prévue par la loi et l’utilisation de l’IA dans la médecine personnalisée ainsi que les données probantes du monde réel.
Les législateurs de l’Union européenne ont signé la loi sur l’IA, la première réglementation contraignante au monde sur l’IA, en juin. Elle a été publiée dans le Journal officiel de l’Union européenne le 12 juillet 2024 et est entrée en vigueur dans les 27 États membres de l’UE le 1er août. La loi définit les systèmes d’IA et les classe en quatre catégories de risque : risque inacceptable, risque élevé, risque limité et risque minimal. Les systèmes inacceptables sont prohibés et doivent être éliminés dans un délai de six mois, tandis que les dispositions concernant les autres catégories s’appliqueront dans un délai de 24 à 36 mois après la promulgation.
Intersection avec le RGPD
La loi sur l’IA s’entrecroise avec le Règlement général sur la protection des données (RGPD), qui est entré en vigueur en mai 2018. Cette loi exige des entreprises de l’UE et des États-Unis qu’elles soumettent une Évaluation de l’impact sur la protection des données (DPIA) lorsque le traitement des données est susceptible d’entraîner un risque élevé pour les droits et libertés des individus.
Les principes sous-jacents de la loi sur l’IA sont souvent liés au RGPD, et les entreprises des sciences de la vie peuvent tirer parti de leur expérience avec le RGPD pour se conformer à la loi sur l’IA.
Conformité à la loi sur l’IA
Pour se conformer à la loi sur l’IA, les organisations doivent d’abord cartographier les systèmes d’IA qu’elles possèdent et les classer selon les quatre catégories de risque prévues par la loi. Elles peuvent ensuite commencer à examiner les obligations qui en découlent.
Une disposition exige que les fournisseurs et les déployeurs de systèmes d’IA garantissent un niveau suffisant de littératie en IA de leur personnel et des autres personnes utilisant les systèmes en leur nom, afin qu’ils puissent prendre des décisions éclairées concernant ces systèmes. Cette obligation d’éduquer le personnel entrera en vigueur le 2 février 2025, les organisations doivent donc adopter des mesures de littératie en IA d’ici là.
Exemption de recherche et données probantes du monde réel
La loi sur l’IA précise que la réglementation « ne s’applique pas aux systèmes d’IA ou aux modèles d’IA, y compris leurs résultats, spécifiquement développés et mis en service dans le seul but de la recherche scientifique ». Bien que cette exemption allège le fardeau des entreprises du secteur des sciences de la vie, il existe une incertitude quant à son étendue.
Les essais cliniques et la découverte de médicaments relèvent probablement de l’exception de recherche, tandis que la recherche à des fins commerciales pourrait être soumise à la loi. Il est incertain dans quelle mesure les systèmes d’IA utilisés pour aider aux tâches de recherche seront considérés comme des outils de recherche.
Évaluation des risques, explicabilité et responsabilité
La loi exige que les développeurs de systèmes d’IA à haut risque procèdent à une évaluation des risques. Certains développeurs peuvent ne pas avoir l’expertise nécessaire pour réaliser une bonne évaluation des risques. Alors qu’une DPIA évalue la protection de l’information personnelle sur les individus, l’évaluation des risques pour l’IA s’étend aux dommages potentiels qu’une solution d’IA pourrait causer.
La réglementation exige également que les développeurs expliquent leurs systèmes d’IA, afin que les utilisateurs sachent comment une décision utilisant l’IA a été prise. Les entreprises devront adopter de bonnes pratiques et des mesures pour garantir la responsabilité.
Déclarations d’impact sur la protection des données
Les entreprises cherchent encore à comprendre les complexités du RGPD, qui impose des obligations aux organisations ciblant ou collectant des données relatives à des personnes dans l’UE. La loi exige des organisations qu’elles produisent une DPIA pour chaque activité de traitement des données susceptible d’entraîner un risque élevé pour les informations personnelles des individus.
Une DPIA évalue l’impact que la technologie d’une organisation aura sur le droit à la protection des données personnelles. Les entreprises doivent être prêtes à réaliser une DPIA tout au long du développement d’un processus afin de ne pas avoir à revenir en arrière pour ajouter un mécanisme de rectification d’un problème.
