AI Sigil Logo
Contact Us
Retour à tous les articles

Utilisation des données patients pour l’IA : enjeux et considérations réglementaires

A locked filing cabinet

Réutilisation des données patient dans la recherche scientifique pour former des systèmes d’IA – considérations importantes sur le RGPD

Dans la phase de découverte de la recherche scientifique, les systèmes d’IA peuvent être utilisés pour examiner des brevets et identifier de nouveaux médicaments potentiels pour des essais cliniques. Si une organisation développe son propre système d’IA en interne sans utiliser de données patients, la loi sur l’IA ne s’applique pas, comme cela serait le cas sous l’exemption de recherche. De même, le RGPD n’est pas pertinent dans de tels cas, car aucune donnée personnelle n’est traitée.

Cependant, lorsque des données patients sont utilisées pour former un système d’IA, le RGPD devient applicable. Les données patients peuvent provenir de divers endroits, y compris des dossiers de santé recueillis par des institutions telles que le NHS, des registres volontaires où les patients consentent à partager leurs données à des fins de recherche, ou des données obtenues lors d’essais cliniques antérieurs. Cependant, ces ensembles de données ont été initialement collectés à des fins spécifiques, nécessitant une évaluation pour déterminer s’ils peuvent être réutilisés pour former des modèles d’IA.

Évaluation de la compatibilité pour la réutilisation secondaire des données patients

Le RGPD comprend un principe de limitation des finalités, qui exige que les données personnelles soient collectées pour une finalité spécifique, explicite et légitime, et ne soient pas traitées d’une manière incompatible avec cette finalité. Si les données doivent être réutilisées à des fins différentes, une évaluation de compatibilité est requise. Plusieurs facteurs influencent cette évaluation :

  • Lien entre les finalités initiales et secondaires : plus le lien est étroit, plus il est probable qu’il soit jugé compatible.
  • Contexte et attentes raisonnables des sujets de données : si les sujets de données ont été informés au moment de la collecte des utilisations secondaires potentielles, la réutilisation est plus susceptible d’être justifiée.
  • Nature des données : plus les données personnelles sont sensibles (comme les données de santé), plus la portée de la compatibilité sera étroite.
  • Conséquences pour les sujets de données : tant les conséquences positives que négatives doivent être évaluées.
  • Existence de garanties appropriées : des mesures telles que le chiffrement, la pseudonymisation, la transparence et les options de retrait doivent être prises en compte.

Le principe de limitation des finalités vise à maintenir le contrôle des individus sur leurs données et à empêcher la réutilisation non autorisée. Si l’utilisation secondaire est en adéquation avec des attentes raisonnables, elle sera plus susceptible d’être jugée compatible. Notamment, la recherche scientifique est généralement considérée comme une utilisation secondaire compatible, à condition que des garanties appropriées soient en place.

Recherche scientifique et conformité au RGPD

Le RGPD ne définit pas explicitement « la recherche scientifique », mais le considérant 159 suggère une large interprétation, couvrant le développement technologique, la recherche fondamentale et appliquée, ainsi que les études financées par des fonds privés ou publics. Le Comité européen de la protection des données (CEPD) conseille que la recherche scientifique doit respecter des normes éthiques et méthodologiques établies. Tant la phase de découverte que la recherche clinique suivent généralement des méthodes ou des protocoles stricts, de sorte qu’elles devraient être considérées comme de la recherche scientifique.

Bien que le CEPD ait prévu de publier des directives en 2021 sur la définition de la recherche scientifique et sur les garanties appropriées à adopter, cela ne s’est pas encore matérialisé. Étant donné cette incertitude, il est conseillé de ne pas présumer de la compatibilité automatique mais de mener une évaluation approfondie de la compatibilité.

Résultats de l’évaluation de compatibilité

Si l’utilisation secondaire est incompatible avec la collecte initiale, les données ne peuvent pas être réutilisées à des fins secondaires, sauf si ce traitement peut être fondé sur le consentement du sujet de données ou une loi de l’Union ou d’un État membre garantissant des objectifs importants d’intérêt général (par exemple, la santé publique).

Si l’utilisation secondaire est compatible avec la collecte initiale, on peut s’appuyer sur la base légale utilisée pour la collecte initiale des données. Cependant, tous les autres principes de protection des données doivent toujours être respectés pour le traitement ultérieur, y compris l’information des sujets de données sur le traitement ultérieur et sur les droits des sujets de données, ainsi que la réalisation d’une évaluation d’impact sur le traitement des données si nécessaire. L’évaluation de compatibilité et les mesures adoptées doivent être documentées pour répondre au principe de responsabilité.

Exceptions en vertu de l’article 9 du RGPD pour le traitement des données de santé

Même lorsque l’utilisation secondaire est jugée compatible, une exception supplémentaire est requise en vertu de l’article 9 du RGPD pour le traitement des données de santé. Les exceptions potentielles incluent :

  • Consentement explicite (art. 9(2)(a)).
  • Raisons d’intérêt public dans le domaine de la santé publique fondées sur une loi de l’Union ou d’un État membre (art. 9(2)(i)).
  • Recherche scientifique fondée sur une loi de l’Union ou d’un État membre et adoption de garanties appropriées (art. 9(2)(j)).

Conclusion

L’utilisation des données patients pour le développement ou la formation de systèmes d’IA utilisés pour la recherche scientifique nécessite une attention réglementaire minutieuse. Lorsque des données patients sont impliquées, la conformité au RGPD devient cruciale, et les organisations doivent évaluer la compatibilité de l’utilisation secondaire des données en plus des autres principes et obligations du RGPD.

Articles

A lock with a digital key

Gouvernance des données : clé de l’IA dans les télécommunications

août 18, 2025 Digital AI Innovation,IA,Regulation IA,Sécurité des données IA
L'intelligence artificielle (IA) transforme déjà le secteur des télécommunications en révolutionnant la manière dont les opérateurs fonctionnent et offrent de la valeur. Cependant, cette révolution...
Read More
A compass pointing towards innovation

Maroc : Leader précoce dans la gouvernance mondiale de l’IA

août 18, 2025 AI Ethics,IA,Regulation IA
Le Maroc a pris les devants parmi les acteurs influents pour faire progresser la gouvernance mondiale de l'intelligence artificielle (IA), selon l'ambassadeur Omar Hilale. Le Royaume aspire à...
Read More
A traffic light indicating control and the need for clear guidelines in AI development.

La bataille pour la régulation de l’IA : enjeux et perspectives

août 18, 2025 IA,Regulation de l'IA
La lutte pour savoir qui régule l'IA est loin d'être terminée, avec des propositions législatives qui pourraient avoir un impact significatif sur la réglementation des modèles et des applications d'IA...
Read More
A laboratory flask

Préparer l’Industrie Pharmaceutique à l’Intelligence Artificielle

août 18, 2025 AI Ethics,Conformité des dispositifs médicaux IA,IA,Régulation IA dans le secteur médical
L'intelligence artificielle est sur le point de transformer chaque aspect de l'industrie pharmaceutique, de la découverte de molécules aux essais cliniques et au-delà. Cependant, dans un domaine où...
Read More
A fortress

Renforcer la sécurité des LLM : l’alignement responsable de l’IA

août 17, 2025 AI Ethics,IA,Regulation IA
Ce document traite de l'alignement responsable de l'IA dans le développement de phi-3, mettant l'accent sur les principes de sécurité adoptés par Microsoft. Des méthodes de test et des ensembles de...
Read More
A digital blueprint of a manufacturing plant

Contrôle des données dans l’ère des clouds IA souverains

août 17, 2025 Conformité des technologies IA,Conformité IA,IA,Regulation IA
Les nuages d'IA souverains offrent à la fois contrôle et conformité, répondant aux préoccupations croissantes concernant la résidence des données et le risque réglementaire. Dans un environnement où...
Read More
A tree with data branches

L’Alliance Écossaise de l’IA : Vers une Intelligence Artificielle Éthique

août 17, 2025 AI Ethics,Conformité éthique IA,IA,Régulation éthique IA
L'Alliance écossaise de l'IA a publié son rapport d'impact 2024/2025, révélant une année de progrès significatifs dans la promotion d'une intelligence artificielle éthique et inclusive en Écosse. Le...
Read More
A compass illustrating guidance and direction in navigating AI legislation.

UE AI Act : Préparez-vous au changement inévitable

août 17, 2025 Conformité des données IA,Conformité IA UE,IA,Régulation IA EU
L'annonce de la Commission européenne vendredi dernier selon laquelle il n'y aura pas de retard concernant la loi sur l'IA de l'UE a suscité des réactions passionnées des deux côtés. Il est temps de...
Read More
A shield

Fiabilité des modèles linguistiques : un défi à relever avec la loi sur l’IA de l’UE

août 16, 2025 IA
Les modèles de langage de grande taille (LLM) ont considérablement amélioré la capacité des machines à comprendre et à traiter des séquences de texte complexes. Cependant, leur déploiement croissant...
Read More