Réutilisation des données patient dans la recherche scientifique pour former des systèmes d’IA – considérations importantes sur le RGPD
Dans la phase de découverte de la recherche scientifique, les systèmes d’IA peuvent être utilisés pour examiner des brevets et identifier de nouveaux médicaments potentiels pour des essais cliniques. Si une organisation développe son propre système d’IA en interne sans utiliser de données patients, la loi sur l’IA ne s’applique pas, comme cela serait le cas sous l’exemption de recherche. De même, le RGPD n’est pas pertinent dans de tels cas, car aucune donnée personnelle n’est traitée.
Cependant, lorsque des données patients sont utilisées pour former un système d’IA, le RGPD devient applicable. Les données patients peuvent provenir de divers endroits, y compris des dossiers de santé recueillis par des institutions telles que le NHS, des registres volontaires où les patients consentent à partager leurs données à des fins de recherche, ou des données obtenues lors d’essais cliniques antérieurs. Cependant, ces ensembles de données ont été initialement collectés à des fins spécifiques, nécessitant une évaluation pour déterminer s’ils peuvent être réutilisés pour former des modèles d’IA.
Évaluation de la compatibilité pour la réutilisation secondaire des données patients
Le RGPD comprend un principe de limitation des finalités, qui exige que les données personnelles soient collectées pour une finalité spécifique, explicite et légitime, et ne soient pas traitées d’une manière incompatible avec cette finalité. Si les données doivent être réutilisées à des fins différentes, une évaluation de compatibilité est requise. Plusieurs facteurs influencent cette évaluation :
- Lien entre les finalités initiales et secondaires : plus le lien est étroit, plus il est probable qu’il soit jugé compatible.
- Contexte et attentes raisonnables des sujets de données : si les sujets de données ont été informés au moment de la collecte des utilisations secondaires potentielles, la réutilisation est plus susceptible d’être justifiée.
- Nature des données : plus les données personnelles sont sensibles (comme les données de santé), plus la portée de la compatibilité sera étroite.
- Conséquences pour les sujets de données : tant les conséquences positives que négatives doivent être évaluées.
- Existence de garanties appropriées : des mesures telles que le chiffrement, la pseudonymisation, la transparence et les options de retrait doivent être prises en compte.
Le principe de limitation des finalités vise à maintenir le contrôle des individus sur leurs données et à empêcher la réutilisation non autorisée. Si l’utilisation secondaire est en adéquation avec des attentes raisonnables, elle sera plus susceptible d’être jugée compatible. Notamment, la recherche scientifique est généralement considérée comme une utilisation secondaire compatible, à condition que des garanties appropriées soient en place.
Recherche scientifique et conformité au RGPD
Le RGPD ne définit pas explicitement « la recherche scientifique », mais le considérant 159 suggère une large interprétation, couvrant le développement technologique, la recherche fondamentale et appliquée, ainsi que les études financées par des fonds privés ou publics. Le Comité européen de la protection des données (CEPD) conseille que la recherche scientifique doit respecter des normes éthiques et méthodologiques établies. Tant la phase de découverte que la recherche clinique suivent généralement des méthodes ou des protocoles stricts, de sorte qu’elles devraient être considérées comme de la recherche scientifique.
Bien que le CEPD ait prévu de publier des directives en 2021 sur la définition de la recherche scientifique et sur les garanties appropriées à adopter, cela ne s’est pas encore matérialisé. Étant donné cette incertitude, il est conseillé de ne pas présumer de la compatibilité automatique mais de mener une évaluation approfondie de la compatibilité.
Résultats de l’évaluation de compatibilité
Si l’utilisation secondaire est incompatible avec la collecte initiale, les données ne peuvent pas être réutilisées à des fins secondaires, sauf si ce traitement peut être fondé sur le consentement du sujet de données ou une loi de l’Union ou d’un État membre garantissant des objectifs importants d’intérêt général (par exemple, la santé publique).
Si l’utilisation secondaire est compatible avec la collecte initiale, on peut s’appuyer sur la base légale utilisée pour la collecte initiale des données. Cependant, tous les autres principes de protection des données doivent toujours être respectés pour le traitement ultérieur, y compris l’information des sujets de données sur le traitement ultérieur et sur les droits des sujets de données, ainsi que la réalisation d’une évaluation d’impact sur le traitement des données si nécessaire. L’évaluation de compatibilité et les mesures adoptées doivent être documentées pour répondre au principe de responsabilité.
Exceptions en vertu de l’article 9 du RGPD pour le traitement des données de santé
Même lorsque l’utilisation secondaire est jugée compatible, une exception supplémentaire est requise en vertu de l’article 9 du RGPD pour le traitement des données de santé. Les exceptions potentielles incluent :
- Consentement explicite (art. 9(2)(a)).
- Raisons d’intérêt public dans le domaine de la santé publique fondées sur une loi de l’Union ou d’un État membre (art. 9(2)(i)).
- Recherche scientifique fondée sur une loi de l’Union ou d’un État membre et adoption de garanties appropriées (art. 9(2)(j)).
Conclusion
L’utilisation des données patients pour le développement ou la formation de systèmes d’IA utilisés pour la recherche scientifique nécessite une attention réglementaire minutieuse. Lorsque des données patients sont impliquées, la conformité au RGPD devient cruciale, et les organisations doivent évaluer la compatibilité de l’utilisation secondaire des données en plus des autres principes et obligations du RGPD.
