Quels cadres juridiques belge et européen face à l'IA?

Entre pseudonymisation, RGPD et ChatGPT, l'e-santé entre dans le dur. Aux Assises de l'e-santé (Bastogne), le juriste Stefaan Callens a brossé un panorama du cadre juridique européen en pleine mutation et de son pendant belge. Les IA débarquent dans les dossiers médicaux, et il faudra faire avec. Le patient reste propriétaire de ses données, mais pas de leur usage secondaire. Et pendant que l'Europe encadre, les données circulent.

...

Le juriste renommé Stefaan Callens, du cabinet d'avocats éponyme, s'est d'abord demandé pourquoi la solution viendrait des textes de loi de l'Union européenne alors que ce sont les États membres, selon l'article 168 du Traité sur le fonctionnement de l'Union européenne qui sont compétents, pour leur politique de santé. En réalité, c'est bien la législation européenne qui favorise la libre circulation des personnes, des services et des données - dans le cadre du marché intérieur. "Il existe un texte central: le Règlement général sur la protection des données (RGPD). Il est bien connu, mais certaines questions émergent aujourd'hui avec le développement de l'intelligence artificielle, notamment les modèles de langage comme ChatGPT. Par exemple: peut-on appliquer ce type d'IA à l'analyse de dossiers médicaux? Imaginons un hôpital universitaire qui utilise un système d'IA pour fouiller les données d'un patient de 23 ou 25 ans. L'idée semble prometteuse pour la recherche d'informations pertinentes. Dans la pratique actuelle, nous utilisons déjà des IA pour interroger des bases de données juridiques, comme Strada lex. Mais sur les dossiers patients, cela soulève une série de questions juridiques: ces IA sont-elles formées à partir de données à caractère personnel? Si oui, cela peut poser un problème de respect de la vie privée."Le Pr Callens prend l'exemple d'un "prompt" (question à l'IA) appliqué à des données stockées dans un cloud hospitalier. Ce sont des données personnelles. Il est licite de les consulter si le patient a donné son consentement. Mais à des fins d'étude randomisée, ce consentement n'est pas requis. "L'article 9 du RGPD permet certains traitements pour des motifs d'intérêt public, notamment à des fins de recherche scientifique, à condition qu'ils soient encadrés par le droit de l'Union et qu'ils respectent des garanties comme la pseudonymisation. Cela rend possible les tests d'IA sur des données médicales, sous réserve."Stefaan Callens évoque ensuite le droit à l'information des patients. Il n'est pas absolu. Une des exceptions: si l'information au patient est impossible ou nécessite des efforts disproportionnés. Mais le plus important est sans doute la qualité des réponses de l'IA: peut-on s'y fier? "L'article 5 du RGPD exige l'exactitude des données. Les fournisseurs d'IA devront donc préciser qu'ils donnent des probabilités, pas des certitudes, comme c'est déjà le cas dans certains diagnostics d'imagerie médicale."Mais un règlement majeur a été adopté à l'automne 2024. Le règlement sur l'Espace européen des données de santé a pour objectifs de renforcer le droit des patients à accéder à leurs données et permettre une utilisation secondaire des données, notamment à des fins de test ou de développement d'IA. "Ce règlement reconnaît que le dossier médical appartient de plus en plus au patient. Il prévoit un droit d'accès immédiat, notamment pour les données essentielles dans le résumé du dossier. En cas de diagnostic grave, ce droit peut toutefois être différé pour permettre au médecin de faire d'abord l'annonce."Par ailleurs, le patient a le droit d'ajouter des remarques personnelles dans son dossier sans toutefois modifier les données médicales. Il jouit aussi d'un droit à la portabilité de ses données d'un médecin à un autre ou de la possibilité de limiter l'accès à certaines données. "L'usage secondaire des données est aussi encadré. Les détenteurs de données - principalement les hôpitaux, les registres, les firmes pharmaceutiques - sont obligés de partager leurs données, sous conditions, avec ceux qui veulent développer ou tester des dispositifs médicaux ou des systèmes d'IA. Cela se fait dans des espaces sécurisés, sur base de données anonymes ou pseudonymisées."Enfin, le Règlement sur l'IA (AI Act), en vigueur depuis février 2025, interdit toute utilisation d'IA pour évaluer des individus sur base de leur comportement social (type crédit social à la chinoise). "Et dès août 2025, des obligations précises s'appliqueront aux modèles d'IA à usage général, dont les ChatGPT-like."Les professionnels de santé devront comprendre les limites des systèmes, éviter la confiance excessive (biais d'automatisation), et disposer d'un bouton d'arrêt. Ces exigences s'appliqueront pleinement à partir d'août 2027.