L'Intelligence Artificielle (IA) est utilisée dans le secteur de la santé depuis de nombreuses années, notamment en radiologie, mais ses cas d'usage et applications se sont multipliés de manière exponentielle ces derniers mois, s'appuyant sur l'IA générative. La capacité des systèmes d'IA à traiter, analyser et interpréter un très grand nombre de données est cruciale dans ce secteur qui génère de plus en plus de données complexes.
C'est dans ce contexte que, le 13 mars 2024, le Parlement européen a adopté le règlement sur l’intelligence artificielle (AI Act) établissant un cadre juridique uniforme pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans le respect des valeurs de l'Union Européenne.
Ambitions et champ d'application de l'IA Act
Le texte vise à promouvoir l'adoption de l'intelligence artificielle (IA) axée sur le facteur humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux contre les effets néfastes des systèmes d'IA dans l'Union. Il impose à tous les acteurs de la chaîne de valeur de maîtriser du système d'IA, au cours de la phase de développement, pendant son utilisation, dans l'interprétation des résultats ; en garantissant une transparence sur les possibilités et risques du système d'IA.
La définition large des systèmes d'IA et la graduation des règles et exigences applicables, selon la nature et le niveau de risques des systèmes, garantissent tout à la fois la sécurité juridique et la souplesse nécessaire pour tenir compte des évolutions technologiques. Le texte couvre tous les opérateurs ainsi que toute utilisation de systèmes d'IA et/ou de ses résultats sur le territoire de l'UE ou ayant un impact au sein de l'UE, permettant d'assurer une convergence internationale.
L'entrée en vigueur de l'AI Act interviendra 20 jours après sa publication, puis son entrée en application sera progressive, selon le niveau de risques : 6 mois pour les dispositions relatives aux pratiques interdites, 12 mois pour celles concernant les modèles d'IA à usage général et enfin 36 mois pour les exigences applicables aux systèmes à haut risque.
Qualification des systèmes d'IA en santé
Les systèmes d'IA à haut risque ne peuvent être mis sur le marché, mis en service ou utilisés que s'ils satisfont à des exigences spécifiques.
Les systèmes d'IA destinés à participer au diagnostic, à la prévention, à la surveillance, à la prédiction, au pronostic, au traitement ou à l'atténuation d'une maladie, constituent des IA à haut risque.
En effet, les systèmes d'IA destinés à être utilisés à des fins médicales, de classe IIa ou supérieure constituent des IA à haut risque.
De même, constituent des systèmes d'IA à haut risque ceux destinés à évaluer les appels d'urgence émanant de personnes physiques ou à être utilisés pour établir des priorités dans l'envoi des services d'intervention d'urgence, ou pour les systèmes de tri des patients admis dans les services de santé d'urgence, sauf ceux n'ayant pas d'incidence significative sur le résultat de la prise de décision, tels que les systèmes destinés (i) à accomplir un tâche procédurale étroit (comme transformer des données non structurées en données structurées, classer les documents entrants par catégories ou détecter les doublons parmi un grand nombre d'applications), ou (ii) à améliorer le résultat d'une activité humaine préalablement réalisée (le système d'IA n'ajoute qu'une couche supplémentaire à une activité humaine : cette condition s'appliquerait par exemple aux systèmes d'IA destinés à améliorer la façon dont un document est rédigé, pour lui donner un style académique) ou (iii) à détecter les constantes en matière de prise de décision ou les écarts par rapport aux constantes habituelles sans se substituer à l'évaluation humaine préalablement réalisée sans examen approprié, ou (iv) à exécuter une tâche préparatoire avant un acte médical (le risque serait réduit, l'utilisation du système d'IA intervenant après la réalisation d'une évaluation humaine et n'étant pas destinée à se substituer à celle-ci ni à l'influencer, sans examen humain approprié).
Afin de garantir la traçabilité et la transparence, un fournisseur qui considère qu'un système d'IA n'est pas à haut risque, sur la base de ces conditions, est tenu de documenter l'évaluation avant la mise sur le marché ou la mise en service du système et fournir cette documentation aux autorités nationales compétentes sur demande.
La Commission fournira des lignes directrices fournira une liste d'exemples pratiques de cas d'utilisation de systèmes d'IA qui sont à haut risque et de cas d'utilisation qui ne le sont pas.
IA à haut risque et exigences applicables aux fournisseurs et déployeurs
Les systèmes d'IA à haut risque sont soumis au respect d'exigences spécifiques, en particulier en matière de gestion de la qualité, de traçabilité, d'évaluation de la conformité, de qualité des jeux de données utilisés, de transparence et information, de contrôle humain, de coopération avec les autorités, de robustesse, d'exactitude et de cybersécurité. Des exigences devraient s'appliquer aux systèmes d'IA à haut risque en ce qui concerne la gestion des risques, la qualité et la pertinence des jeux de données utilisés, la documentation technique et la tenue de registres, la transparence et la fourniture d'informations aux déployeurs, le contrôle humain, ainsi que la robustesse, l'exactitude et la sécurité. Ces exigences sont nécessaires pour atténuer efficacement les risques pour la santé, la sécurité et les droits fondamentaux
Si les fournisseurs sont les premiers concernés par ces exigences, tous les acteurs impliqués dans le cycle de vie du système d'IA le sont également, y compris le "déployeur", défini comme "utilisant sous sa propre autorité un système d'IA à haut risque".
Tout déployeur de systèmes d'IA à haut risque, public ou privé, fournissant des soins de santé - un établissement de santé - doit procéder à une analyse d'impact préalable pour chacun de ces systèmes avant de les mettre en service, afin (i) d'identifier les risques spécifiques pour les droits des personnes et (ii) de déterminer les mesures à prendre en cas de matérialisation de ces risques. L'analyse d'impact doit identifier les processus pertinents du déployeur dans lesquels le système d'IA à haut risque sera utilisé conformément à sa destination, doit indiquer la durée pendant laquelle le système est destiné à être utilisé et selon quelle fréquence, ainsi que les catégories spécifiques de personnes physiques susceptibles d'être concernées dans le contexte spécifique d'utilisation. En outre, le déployeur doit prendre les mesures techniques et organisationnelles appropriées afin de garantir que les systèmes sont utilisés conformément à leurs notices, à s'assurer que les utilisateurs sont en capacité d'exercer leur contrôle humain, à veiller le cas échéant que les données d'entrée soient pertinentes et représentatives au regard de la destination du système, à surveiller son fonctionnement, informer de tout risque le fournisseur, et assurer la tenue des journaux générés automatiquement.
Enfin, bien sûr, le règlement consacre le contrôle humain devant être mis en œuvre par l'utilisateur pendant la période d'utilisation de l'IA à haut risque, garantissant ainsi une maîtrise de bout en bout du système d'IA.
Autant de garanties de nature à fonder une technologie axée sur l'humain, au bénéfice du système de santé, de ses utilisateurs et surtout de ses usagers…
Marguerite Brac de La Perrière,
Avocate Associée, Numérique & Santé, Cabinet Fieldfisher