III. SE METTRE EN ORDRE DE BATAILLE POUR TIRER LE MEILLEUR PARTI DE L'IA POUR NOTRE SYSTÈME DE SANTÉ
A. DONNER UN CADRE ÉTHIQUE SOLIDE À L'IA EN SANTÉ
Les pratiques médicales doivent être conformes à l'éthique. Celle-ci implique un certain nombre de comportements vertueux qui reposent sur quelques principes solides : ceux du code de Nuremberg de 1947 (impliquant par exemple le consentement libre et éclairé des individus dans le cadre de la recherche médicale), de la déclaration d'Helsinki de 1964 ou encore de la Convention d'Oviedo de 1997.
Quatre principes constituent le socle de la bioéthique : le respect de l'autonomie de la personne, la bienfaisance, la non-malfaisance et la justice (principes énoncés par le rapport Belmont de 1979). Le développement du numérique dans le domaine de la santé transforme les conditions d'exercice de l'éthique médicale et l'IA ajoute une complexité supplémentaire.
À l'échelle internationale, l'OMS a publié en 2021 des lignes directrices pour l'éthique et la gouvernance de l'IA pour la santé37(*), complétées en 2024 par des lignes directrices pour l'éthique et la gouvernance des grands modèles multimodaux38(*) qui fixent quelques grands principes.
Les 6 principes éthiques régissant l'utilisation de l'intelligence artificielle pour la santé d'après l'OMS
· Protéger l'autonomie de l'être humain : la décision médicale ne peut être totalement déléguée à la machine ;
· Promouvoir le bien-être et la sécurité des personnes et l'intérêt public : les IA ne doivent pas pouvoir nuire ;
· Garantir la transparence, l'explicabilité et l'intelligibilité des IA ;
· Favoriser la responsabilité et la responsabilisation : l'IA ne doit pas conduire à exonérer les humains de leurs responsabilités ;
· Garantir l'inclusion et l'équité : l'IA ne doit pas être discriminatoire et corriger les biais ;
· Promouvoir une IA réactive et durable (en limitant son impact environnemental).
Dans ses lignes directrices de 2024, l'OMS indique que les grands modèles multimodaux (LMM) de l'IA générative font peser des risques supplémentaires (augmentation des biais d'automatisation) qui nécessitent de renforcer les exigences éthiques par un renforcement des audits des outils d'IA et une évaluation plus approfondie des résultats.
À l'échelle nationale, un corpus éthique sur l'IA en santé est aussi en cours de construction. Créé en 1983, le Comité consultatif national d'éthique (CCNE) formule des avis qui constituent autant de lignes directrices que l'ensemble des acteurs du secteur médical et biomédical (chercheurs, médecins, ingénieurs) doivent s'efforcer de mettre en oeuvre. Il a créé en son sein en 2019 un Comité national pilote d'éthique du numérique (CNPEN) pour aborder de manière globale les enjeux d'éthique du numérique.
Les IA ne répondent pas à des impératifs moraux. Ce sont des outils dotés d'une certaine autonomie de fonctionnement mais sans conscience et sans affect. Toutefois, les concepteurs de ces IA peuvent les doter de filtres permettant de respecter certaines prescriptions morales. Par ailleurs, la manière de se servir des IA n'est pas neutre et les données manipulées, touchant à la santé des individus et à leur vie privée, sont sensibles.
Le CNPEN a déjà formulé plusieurs avis sur les utilisations de l'IA en santé39(*) et un avis commun au CCNE et au CNPEN est en préparation sur l'IA dans le diagnostic médical. L'acceptabilité sociale de l'IA en santé passe en effet par le respect de règles éthiques garantissant une certaine morale de l'IA.
Ainsi, les fournisseurs de solutions d'IA sont incités à former les utilisateurs, leur décrire les possibles biais, leur fournir une documentation claire et les informer des effets d'éventuelles mises à jour. De leur côté, les utilisateurs de l'IA doivent informer les patients des méthodes qu'ils utilisent pour formuler un diagnostic. L'utilisation de l'IA ne doit pas être cachée et l'IA ne doit pas constituer une « boîte noire » incompréhensible.
Un autre principe éthique impose que les responsabilités du fournisseur d'IA et de son utilisateur soient bien définies. Ce dernier doit disposer également d'outils de contrôle. La décision finale ne doit pas lui échapper.
Une autre exigence tient au consentement des patients et à la protection de leur vie privée : la collecte des données doit avoir été acceptée et ces dernières doivent être anonymisées. Seules les données nécessaires au traitement doivent être collectées.
Le développement de l'IA conduit à devoir adapter le cadre juridique de la collecte et du traitement des données ainsi que des usages qui en découlent. Le cadre de la protection des données personnelles régi par la loi de 1978 et mis en oeuvre par la Cnil doit ainsi évoluer. À l'échelle européenne, la conciliation entre une exigence forte de protection des droits et de soutien à l'innovation s'est concrétisée dans la « loi européenne sur l'intelligence artificielle » dite AI Act. Ce texte, formellement adopté en mars 2024, impose que les produits, services et procédés mis sur le marché européen respectent une série d'exigences : non-discrimination dans la construction des algorithmes, sécurité informatique, garantie d'un contrôle humain, information et transparence, marquage CE mais aussi durabilité environnementale.
L'AI Act : un règlement européen pour concilier innovation et protection
Le règlement européen sur l'IA définit différents niveaux de risques :
· les systèmes d'IA à risque inacceptable sont interdits : il s'agit par exemple des systèmes de notation sociale ou des IA manipulatrices (techniques subliminales, exploitation de vulnérabilités, systèmes de notation sociale) ;
· les systèmes d'IA à haut risque (dont la liste est établie à l'annexe III du règlement) sont fortement réglementés : leurs fournisseurs doivent informer de la manière dont ils collectent et traitent les données, garantir la cybersécurité de leur dispositif, prendre des précautions dans la gestion de leurs données ;
· les systèmes d'IA à risque limité sont soumis à des obligations légères de transparence ;
· les systèmes d'IA considérés comme sans risque ne sont soumis à aucune obligation.
Les IA organisant l'accès aux soins de santé sont considérées comme à haut risque. Néanmoins, les outils construits pour la recherche sont hors du champ d'application du règlement. Par ailleurs, son article 59 prévoit que les données à caractère personnel collectées légalement peuvent être utilisées pour entraîner des algorithmes en mode dit « bac à sable » pour la détection, le diagnostic, la prévention, le contrôle et le traitement des maladies ainsi que l'amélioration des systèmes de soins de santé.
Le projet de règlement européen prévoyant la mise en place d'un espace européen des données de santé (EEDS), en cours d'adoption, normalise les possibilités de recueil des données de santé, de partage et de traitement de celles-ci, pour concilier là aussi l'exigence de protection des données personnelles et l'impératif d'utilisation des données disponibles sur la santé pour améliorer globalement la prise en charge des patients.
* 37 World Health Organization, Ethics and governance of artificial intelligence for health - WHO guidance, 28 juin 2021 ; https://www.who.int/publications/i/item/9789240029200.
* 38 World Health Organization, Ethics and governance of artificial intelligence for health: guidance on large multi-modal models, 2024 ; https://iris.who.int/handle/10665/375579.
* 39 Quatre avis rendus :
- n° 7 du 30 juin 2023 « Systèmes d'intelligence artificielle générative : enjeux d'éthique » ;
- n° 5 du 9 mai 2023 « Plateformes de données de santé : enjeux d'éthique » ;
- n° 4 du 10 janvier 2023 « Diagnostic médical et intelligence artificielle : enjeux éthiques » ;
- n° 3 du 9 novembre 2021 « Agents conversationnels : enjeux d'éthique ».