La Commission de l’intelligence artificielle pour « contribuer à faire de la France un pays à la pointe de la révolution de l’IA » a remis son rapport le 13 mars dernier. Elle formule 25 recommandations pour que la France puisse tirer parti de la révolution technologique de l’IA. La recherche dans le secteur de la santé est ciblée, avec un enjeu majeur : les données de santé. La question de l’équilibre entre protection des données personnelles et libération au profit de l’innovation revient une nouvelle fois au cœur du débat. Retour sur ce rapport tant attendu dont on attend désormais les suites.
Analyse par Alexandre Fievée, avocat associé, et Alice Robert, Avocat Counsel du cabinet Derriennic Associés pour La Veille Acteurs de Santé.
La Commission de l’intelligence artificielle pour « contribuer à faire de la France un pays à la pointe de la révolution de l’IA » a été installé en septembre 2023 par le Gouvernement. Son rapport part d’un constat largement partagé et aujourd’hui devenu banal à savoir que l’IA est un défi majeur pour l’avenir de l’Europe et la France. Il rappelle que l’IA est une révolution technologique incontournable qui affecte absolument tous les domaines d’activité. Il adopte un scénario raisonnable sur l’impact attendu, en soulignant que l’IA ne doit susciter ni excès de pessimisme, ni excès d’optimisme (« Nous n’anticipons ni chômage de masse, ni accélération automatique de la croissance »).
Toutefois, la commission estime que la France comme l’Europe doivent relever le défi de l’IA, « faute de quoi nous n’aurons pas la maîtrise de notre avenir ». Un défi que la France tout comme l’Europe peuvent relever, la Commission estimant que nous disposons des atouts pour le faire. Mais il n’y a pas de temps à perdre.
Pour cela, le rapport dégage six grandes lignes d’actions :
- Lancer immédiatement un plan de sensibilisation et de formation de la nation ;
- Réorienter structurellement l’épargne vers l’innovation et créer, à court terme, un fonds « France & IA » de 10 Md euros ;
- Faire de la France un pôle majeur de la puissance de calcul ;
- Faciliter l’accès aux données ;
- Assumer le principe d’une « exception IA » dans la recherche publique ; et
- Promouvoir une gouvernance mondiale de l’IA.
Le développement de l’IA dans la santé passe par la libération des données
Le rapport identifie clairement la Santé comme l’un des domaines d’avenir clé pour le développement de l’IA.
Premier constat : l’IA permet d’appréhender un volume considérable de données disponibles, que l’intelligence humaine ne peut pas traiter. « Plus de 5 millions d’articles scientifiques sont publiés chaque année, dont la moitié dans le seul domaine de la recherche médicale, indique la Commission. Il est évidemment impossible qu’un chercheur ou une équipe de chercheurs, même de haute volée, puisse les lire, et encore moins les évaluer et les analyser. »
Deuxième constat : les données constituent un ingrédient indispensable aux développements récents de l’intelligence artificielle. Et si ces données ne sont pas nécessairement personnelles, force est de constater que nombre d’entre elles ont un caractère personnel. « Exploiter le potentiel de l’intelligence artificielle et permettre son déploiement au service de l’humain exige par conséquent que les chercheurs, les développeurs et les innovateurs disposent d’un accès à des données massives, fiables, aisément manipulables et dont la représentativité et la qualité peuvent être évaluées, souligne la Commission.
Dans un contexte d’évolution technologique rapide et de concurrence accrue, cet accès doit en outre pouvoir leur être ouvert rapidement et les données être utilisées sans contraintes excessives, au risque de favoriser davantage encore les acteurs en place ou de voir d’autres s’approprier nos recherches et nos innovations, en nous devançant dans leur expérimentation et leur diffusion. »
Troisième constat : l’accès aux données est souvent compliqué et les contraintes sont considérées comme excessives par les acteurs de l’IA, quels qu’ils soient (entreprises, chercheurs, laboratoires, institutions publiques et privées, associations).
Des contraintes règlementaires à lever pour l’accès aux données
Selon la Commission, les contraintes sont de deux ordres. Tout d’abord, certaines règles et pratiques françaises sont plus contraignantes que le cadre européen en matière de traitement de données personnelles. Si le RGPD a, avec les principes de liberté et de responsabilité, renversé complètement la logique du droit qui prévalait en France depuis la loi « Informatique et Libertés » du 6 janvier 1978 (en application de laquelle les traitements des données à caractère personnel reposaient sur des procédures d’autorisation ou de déclaration préalables auprès de la CNIL), les contraintes sont encore trop fortes dans le secteur dans la santé.
« Il demeure des procédures d’autorisation préalables non prévues par le droit européen », regrette la Commission. « C’est en particulier le cas pour l’accès aux données de santé pour la recherche. Une procédure simplifiée de déclaration de conformité à des méthodologies de référence existe mais elle est loin d’être généralisée. En pratique, la procédure simplifiée reste l’exception par rapport à la procédure d’autorisation préalable car le moindre écart par rapport à ces méthodologies implique d’en passer par une autorisation préalable qui peut impliquer jusqu’à trois niveaux d’autorisation préalable. »
Ensuite, la Commission relève « un décalage croissant entre la logique centrée sur la protection de l’individu et l’évolution des modes d’utilisation collective des données ». Selon la Commission, plusieurs notions clés du RGPD sont peu adaptées face au fonctionnement de l’IA :
- la notion de « responsable du traitement », « pour laquelle la répartition des responsabilités entre le développeur qui a procédé à l’entraînement d’une IA générative et qui la met à disposition de tiers et l’utilisateur final du système pour ses propres besoins n’apparaît pas forcément aller de soi » ;
- la notion de « finalité du traitement », « qui conditionne la nature des données pouvant légalement être utilisées et sur laquelle porte le consentement des personnes concernées est également plus complexe à appréhender, eu égard aux nombreuses utilisations possibles d’une IA générative une fois celle-ci entraînée » ;
- la notion même de « donnée personnelle », « qui constitue la clé d’application du RGPD, suscite des interrogations dans un contexte croissant d’utilisation de données collectives ».
Même l’anonymisation des données personnelles qui permet de « sortir » du régime de protection des données personnelles du RGPD, ne semble pas adaptée car « la technologie ouvre de plus en plus loin des possibilités de réidentification de données anonymisées ».
Vers une réforme de la loi « Informatique et Libertés » ?
La Commission recommande « de supprimer des procédures d’autorisation préalable d’accès aux données de santé et de réduire les délais de réponse de la CNIL ». Elle ajoute que cette évolution devrait s’accompagner d’une réforme du mandat confié à la CNIL, pour y intégrer un « objectif d’innovation ». Elle termine en suggérant l’idée d’une « gouvernance collective » de la donnée qui pourrait poser « les jalons d’une évolution du cadre juridique qui prendrait mieux en considération l’évolution des modes d’utilisation des données. » Reste maintenant à connaître le plan que le gouvernement souhaite mettre en place sur la base de ce rapport…