Assises de l'esanté : quel cadre juridique belge et européen face à l'IA ?

Entre pseudonymisation, RGPD et ChatGPT, l'e-santé entre dans le dur. Jeudi soir, aux assises de l'e-santé à Bastogne, le juriste Stefaan Callens a brossé un panorama du cadre juridique européen en pleine mutation et du cadre belge. Les IA débarquent dans les dossiers médicaux, et il faudra faire avec. Les hôpitaux seront bientôt tenus de partager leurs données à des fins de test. Le patient reste propriétaire de ses données, mais pas de leur usage secondaire. Et pendant que l'Europe encadre, le cloud se sert.

...

Le juriste renommé Stefaan Callens, du cabinet d'avocats éponyme, s'est d'abord demandé pourquoi la solution viendrait des textes de loi de l'Union européenne alors que ce sont les Etats-membres, selon l'article 168 du Traité sur le fonctionnement de l'Union européenne qui sont compétents pour leur politique de santé. En réalité, c'est bien la législation européenne qui favoriser la libre circulation des personnes, des services et des données - dans le cadre du marché intérieur." Il existe un texte central : le Règlement général sur la protection des données (RGPD). Il est bien connu, mais certaines questions émergent aujourd'hui avec le développement de l'intelligence artificielle, notamment les modèles de langage comme ChatGPT. Par exemple : peut-on appliquer ce type d'IA à l'analyse de dossiers médicaux ? Imaginons un hôpital universitaire qui utilise un système d'IA pour fouiller les données d'un patient de 23 ou 25 ans. L'idée semble prometteuse pour la recherche d'informations pertinentes. Dans la pratique actuelle, nous utilisons déjà des IA pour interroger des bases de données juridiques, comme Stradalex, mais pas encore sur les dossiers patients. Cela viendra. Mais cela soulève une série de questions juridiques : ces IA sont-elles formées à partir de données à caractère personnel ? Si oui, cela peut poser un problème de respect de la vie privée. "Le Pr Callens prend l'exemple d'un " prompt " (question à l'IA) appliqué à des données stockées dans un cloud hospitalier. Ce sont des données personnelles. Il est licite de les consulter si le patient a donné son consentement. Mais à des fins d'étude randomisée, ce consentement n'est pas requis. " L'article 9 du RGPD permet néanmoins certains traitements pour des motifs d'intérêt public, notamment à des fins de recherche scientifique, à condition qu'ils soient encadrés par le droit de l'Union et qu'ils respectent des garanties comme la pseudonymisation. Cela rend possible les tests d'IA sur des données médicales, sous réserve. "Stefaan Callens évoque ensuite le droit à l'information des patients. Il n'est pas absolu. Une des exceptions : si l'information au patient est impossible ou nécessite des efforts disproportionnés.Mais le plus important sans doute est la qualité des réponses de l'IA : peut-on s'y fier ? " L'article 5 du RGPD exige l'exactitude des données. Les fournisseurs d'IA devront donc préciser qu'ils donnent des probabilités, pas des certitudes, comme c'est déjà le cas dans certains diagnostics d'imagerie médicale. "Mais un règlement majeur a été adopté en février 2025, c'est le règlement sur l'Espace européen des données de santé dont les objectifs sont de renforcer le droit des patients à accéder à leurs données et permettre une utilisation secondaire des données, notamment à des fins de test ou de développement d'IA." Ce règlement reconnaît que le dossier médical appartient de plus en plus au patient. Il prévoit un droit d'accès immédiat, notamment pour les données essentielles dans le résumé du dossier. En cas de diagnostic grave, ce droit peut toutefois être différé pour permettre au médecin de faire d'abord l'annonce. "Par ailleurs, le patient a le droit d'ajouter des remarques personnelles dans son dossier sans toutefois modifier les données médicales ainsi que la portabilité des données d'un médecin à un autre ou la possibilité de limiter l'accès à certaines données." L'usage secondaire des données est aussi encadré. Les détenteurs de données - principalement les hôpitaux, les registres, les firmes pharmaceutiques - sont obligés de partager leurs données, sous condition, avec ceux qui veulent développer ou tester des dispositifs médicaux ou des systèmes d'IA. Cela se fait dans des espaces sécurisés, sur base de données anonymes ou pseudonymisées. "Enfin, le Règlement sur l'IA (IA Act), en vigueur depuis février 2025, interdit toute utilisation d'IA pour évaluer des individus sur base de leur comportement social (type crédit social à la chinoise). " Et dès août 2025, des obligations précises s'appliqueront aux modèles d'IA à usage général, dont les ChatGPT-like. "Les professionnels de santé devront comprendre les limites des systèmes, éviter la confiance excessive (biais d'automatisation), et disposer d'un bouton d'arrêt. Ces exigences s'appliqueront pleinement à partir d'août 2027.