Face à la numérisation croissante du secteur médical, l’utilisation d’algorithmes décisionnels en santé publique soulève des questions juridiques fondamentales. Entre promesses d’efficacité et risques pour les droits des patients, le cadre normatif encadrant ces technologies reste en construction. L’Union européenne, avec son règlement sur l’intelligence artificielle, place les systèmes médicaux dans la catégorie à haut risque, tandis que les législations nationales tentent de s’adapter. Cette tension entre innovation technologique et protection des individus impose une réflexion approfondie sur les mécanismes juridiques capables d’encadrer l’IA décisionnelle tout en préservant son potentiel transformateur pour nos systèmes de santé.
Le cadre juridique émergent de l’IA en santé : entre règlements européens et dispositifs nationaux
Le paysage réglementaire entourant l’intelligence artificielle dans le domaine de la santé publique se construit progressivement à différentes échelles. Au niveau européen, le Règlement sur l’Intelligence Artificielle (AI Act) constitue la pierre angulaire de cette construction normative. Ce texte, dont l’adoption définitive est attendue, catégorise les systèmes d’IA selon leur niveau de risque. Les applications médicales décisionnelles sont classées comme systèmes à haut risque, ce qui les soumet à des exigences particulièrement strictes en matière de transparence, de robustesse et de supervision humaine.
Parallèlement, le Règlement général sur la protection des données (RGPD) demeure un texte fondamental pour encadrer le traitement des données de santé par les algorithmes. Son article 22 limite spécifiquement les décisions entièrement automatisées, y compris le profilage, lorsqu’elles produisent des effets juridiques ou affectent significativement les personnes. Cette disposition revêt une importance majeure pour les systèmes d’IA décisionnels en santé, imposant des garanties comme le consentement explicite ou l’intervention humaine.
Au niveau national, la France a développé un cadre normatif spécifique avec la loi de bioéthique de 2021 qui aborde l’utilisation des algorithmes dans le domaine médical. L’article 17 de cette loi modifie le Code de la santé publique pour y intégrer des dispositions relatives à l’information des patients lorsqu’un traitement algorithmique est utilisé à des fins de soins. La Haute Autorité de Santé (HAS) joue un rôle déterminant dans l’évaluation de ces dispositifs avant leur mise sur le marché.
En Allemagne, le Digitale-Versorgung-Gesetz (DVG) a créé un cadre pour l’intégration des applications numériques de santé, incluant celles basées sur l’IA, dans le système de remboursement des soins. Ce modèle pionnier établit un processus d’évaluation en deux phases qui pourrait inspirer d’autres juridictions européennes.
Les défis de l’harmonisation réglementaire
L’un des défis majeurs reste l’harmonisation entre ces différents niveaux réglementaires. La Commission européenne tente de résoudre cette complexité à travers son Espace européen des données de santé (European Health Data Space), qui vise à faciliter l’accès aux données de santé pour la recherche et l’innovation tout en garantissant le respect des droits fondamentaux.
- Tension entre régulation ex-ante (avant mise sur le marché) et supervision continue
- Articulation entre règles sectorielles (santé) et règles transversales (IA, données)
- Reconnaissance mutuelle des certifications entre États membres
Cette construction normative multiniveau témoigne de la volonté des législateurs d’encadrer l’IA décisionnelle en santé sans freiner l’innovation. Toutefois, elle génère une complexité juridique que les développeurs et établissements de santé peinent parfois à naviguer, appelant à des efforts de pédagogie et d’accompagnement.
Responsabilité juridique et chaîne de décision : qui répond des choix de l’algorithme ?
La question de la responsabilité juridique constitue l’un des enjeux les plus épineux de l’utilisation de l’IA décisionnelle en santé publique. Lorsqu’un algorithme participe à une décision médicale qui cause un préjudice au patient, déterminer qui doit en répondre devient particulièrement complexe. Le cadre traditionnel de la responsabilité médicale se trouve bousculé par l’introduction d’un nouvel acteur non-humain dans la chaîne décisionnelle.
En droit français, la responsabilité civile médicale repose traditionnellement sur la faute prouvée du praticien ou sur la responsabilité sans faute de l’établissement pour les défaillances matérielles. L’introduction d’un système d’IA pose la question de la qualification juridique : s’agit-il d’un simple outil dont l’utilisation engage la responsabilité du médecin, ou d’un dispositif médical dont le dysfonctionnement relèverait de la responsabilité du fait des produits défectueux ?
La jurisprudence commence à apporter des éléments de réponse. Dans plusieurs affaires récentes, les tribunaux européens ont considéré que le médecin conserve l’obligation de vérifier les recommandations formulées par un système d’aide à la décision. Ainsi, dans une décision du Tribunal administratif de Strasbourg en 2022, les juges ont estimé qu’un praticien ne pouvait s’exonérer de sa responsabilité en invoquant uniquement le suivi des préconisations algorithmiques.
Du côté des fabricants de ces technologies, la directive sur la responsabilité du fait des produits défectueux, actuellement en révision au niveau européen, pourrait voir son champ d’application élargi pour mieux couvrir les logiciels et systèmes d’IA. La proposition de règlement sur la responsabilité en matière d’IA présentée par la Commission européenne introduit par ailleurs un régime de présomption de causalité pour faciliter l’indemnisation des victimes.
Les mécanismes d’assurance et de garantie
Face à ces incertitudes, de nouveaux mécanismes assurantiels émergent. Des polices d’assurance spécifiques pour couvrir les risques liés à l’IA en santé sont développées par le secteur de l’assurance. Certains systèmes juridiques envisagent même la création de fonds de garantie dédiés, sur le modèle de ce qui existe pour les accidents médicaux sans faute.
- Obligation d’information renforcée du médecin sur l’utilisation d’un algorithme
- Devoir de vigilance dans la sélection et le paramétrage des systèmes d’IA
- Traçabilité des décisions algorithmiques comme élément de preuve
La co-responsabilité entre les différents acteurs (médecins, établissements de santé, développeurs, autorités de certification) semble s’imposer comme modèle dominant. Elle implique une clarification des obligations respectives et la mise en place de procédures d’audit et de contrôle tout au long de la chaîne de valeur. Cette approche pourrait permettre d’éviter tant la déresponsabilisation des acteurs humains que la paralysie de l’innovation par crainte du risque juridique.
Protection des données de santé et consentement du patient face aux algorithmes
La mise en œuvre de systèmes d’IA décisionnelle en santé publique repose fondamentalement sur l’exploitation massive de données personnelles sensibles. Le cadre juridique de cette utilisation est principalement défini par le RGPD qui qualifie les données de santé comme une catégorie particulière nécessitant une protection renforcée. L’article 9 du règlement pose un principe d’interdiction de traitement de ces données, assorti d’exceptions strictement encadrées, notamment pour les finalités de médecine préventive, de diagnostics médicaux ou de gestion des systèmes de soins.
Le consentement du patient occupe une place centrale dans ce dispositif. Pour être valide juridiquement, il doit être libre, spécifique, éclairé et univoque. Cette exigence soulève des difficultés particulières dans le contexte des algorithmes décisionnels dont le fonctionnement complexe peut être difficile à expliquer au patient. La Cour de justice de l’Union européenne a précisé dans plusieurs arrêts que le consentement ne pouvait être présumé et devait résulter d’un acte positif clair.
Le droit à l’information du patient se trouve renforcé par l’article 13 du RGPD qui impose une transparence sur l’existence d’une prise de décision automatisée, y compris le profilage. Cette obligation se heurte toutefois aux limites techniques de l’explicabilité des algorithmes d’apprentissage profond. Le Comité européen de la protection des données (CEPD) a publié des lignes directrices recommandant l’utilisation de méthodes pédagogiques adaptées pour rendre cette information accessible.
Au-delà du cadre général du RGPD, des dispositions spécifiques au secteur médical complètent la protection des patients. En France, le Code de la santé publique, modifié par la loi de bioéthique de 2021, impose désormais une information spécifique lorsqu’un traitement algorithmique est utilisé à l’appui d’une décision médicale. Le patient doit être informé de l’utilisation de l’algorithme et de son rôle dans la prise de décision.
Les enjeux du partage des données pour l’entraînement des algorithmes
L’efficacité des systèmes d’IA repose sur leur entraînement à partir de vastes ensembles de données. Cette nécessité entre parfois en tension avec les principes de minimisation des données et de limitation des finalités. Plusieurs mécanismes juridiques tentent de résoudre cette contradiction :
- L’anonymisation et la pseudonymisation comme techniques de protection
- Les régimes dérogatoires pour la recherche scientifique
- Les entrepôts de données de santé soumis à autorisation
Le Health Data Hub français illustre cette tentative d’équilibre entre facilitation de la recherche et protection des droits des patients. Toutefois, sa mise en œuvre a suscité des controverses juridiques, notamment concernant l’hébergement des données par des prestataires extra-européens. La Commission Nationale de l’Informatique et des Libertés (CNIL) a joué un rôle majeur dans l’encadrement de ce dispositif, imposant des garanties supplémentaires pour assurer la conformité au RGPD.
La question du transfert international des données de santé reste particulièrement sensible depuis l’invalidation du Privacy Shield par l’arrêt Schrems II de la Cour de Justice de l’Union Européenne. Les développeurs d’IA en santé doivent désormais mettre en place des garanties contractuelles renforcées et procéder à des analyses d’impact approfondies avant tout transfert vers des pays tiers.
Biais algorithmiques et équité d’accès aux soins : les défis de la non-discrimination
L’utilisation croissante de l’IA décisionnelle dans le secteur de la santé publique soulève des préoccupations majeures concernant les biais algorithmiques et leurs conséquences sur l’équité d’accès aux soins. Ces biais peuvent provenir des données d’entraînement, des choix méthodologiques ou des objectifs assignés aux systèmes. Le cadre juridique visant à prévenir ces discriminations commence à se structurer, tant au niveau européen que national.
Le droit de la non-discrimination s’applique pleinement aux décisions médicales assistées par algorithme. La Charte des droits fondamentaux de l’Union européenne prohibe dans son article 21 toute discrimination fondée notamment sur le sexe, la race, la couleur, les origines ethniques ou sociales. Cette interdiction générale se trouve complétée par des dispositions spécifiques dans le projet de règlement européen sur l’IA qui impose aux systèmes à haut risque, dont ceux utilisés en santé, des exigences de qualité des jeux de données pour prévenir les biais discriminatoires.
Les conséquences concrètes des biais algorithmiques en santé ont été documentées par plusieurs études scientifiques. Un cas emblématique concerne un algorithme largement utilisé aux États-Unis pour identifier les patients nécessitant des soins supplémentaires. Une recherche publiée dans Science en 2019 a démontré que ce système attribuait systématiquement des scores de risque inférieurs aux patients noirs par rapport aux patients blancs présentant les mêmes symptômes, en raison d’un biais dans la variable proxy utilisée (dépenses de santé historiques plutôt que besoin médical réel).
Pour répondre à ces risques, les autorités de régulation développent des méthodologies d’audit algorithmique. En France, la CNIL et le Défenseur des droits ont publié conjointement un guide pratique pour évaluer les risques discriminatoires des algorithmes. Ces outils d’évaluation sont progressivement intégrés dans les procédures de certification des dispositifs médicaux intégrant de l’IA.
Vers une régulation proactive des biais
Au-delà de l’approche réactive consistant à sanctionner les discriminations constatées, une tendance à la régulation proactive émerge. Elle se traduit par plusieurs obligations imposées aux concepteurs et utilisateurs de systèmes d’IA en santé :
- Documentation de la représentativité des données d’entraînement
- Tests systématiques sur différents groupes démographiques
- Monitoring continu des performances après déploiement
La jurisprudence commence également à se saisir de ces questions. Dans une décision remarquée aux Pays-Bas en 2020, un tribunal a jugé illégal l’algorithme SYRI utilisé pour détecter les fraudes aux prestations sociales, estimant qu’il violait le droit à la vie privée et risquait de perpétuer des discriminations indirectes. Ce précédent pourrait inspirer de futures actions en justice contre des algorithmes médicaux discriminatoires.
La gouvernance participative apparaît comme une voie prometteuse pour réduire les risques de biais. L’implication de représentants de patients, de minorités et de professionnels de terrain dans la conception et l’évaluation des systèmes d’IA en santé est encouragée par plusieurs initiatives réglementaires. Cette approche permet d’intégrer des perspectives diverses et de mieux identifier les risques discriminatoires avant le déploiement à grande échelle.
Vers un modèle de gouvernance éthico-juridique pour l’IA en santé publique
Face aux multiples défis posés par l’IA décisionnelle en santé publique, l’émergence d’un modèle de gouvernance hybride, alliant contrainte juridique et réflexion éthique, semble incontournable. Cette approche reconnaît que la seule régulation formelle ne peut anticiper toutes les implications de technologies en constante évolution, tandis que l’autorégulation isolée risque d’être insuffisante pour protéger les droits fondamentaux des patients.
Les comités d’éthique spécialisés jouent un rôle croissant dans cet écosystème réglementaire. En France, le Comité consultatif national d’éthique (CCNE) a publié en 2019 un avis sur les enjeux éthiques des algorithmes et de l’IA en santé, proposant un cadre de réflexion qui a influencé les évolutions législatives ultérieures. Au niveau européen, le Groupe européen d’éthique des sciences et des nouvelles technologies (GEE) formule des recommandations qui nourrissent l’élaboration des politiques communautaires.
La certification des systèmes d’IA en santé s’impose comme un mécanisme central de cette gouvernance. Le futur règlement européen sur l’IA prévoit un système d’évaluation de conformité préalable à la mise sur le marché pour les applications à haut risque. Cette approche s’inspire du modèle de certification des dispositifs médicaux, tout en l’adaptant aux spécificités de l’IA, notamment la capacité d’apprentissage continu qui peut modifier les performances du système après sa mise en service.
L’implication des utilisateurs finaux – professionnels de santé et patients – dans les processus de gouvernance représente une innovation majeure. Des mécanismes de démocratie sanitaire sont progressivement adaptés aux enjeux numériques. En Finlande, le projet MyData a expérimenté un modèle où les citoyens peuvent contrôler l’utilisation de leurs données de santé via une interface dédiée, illustrant une approche centrée sur l’autonomie individuelle qui pourrait inspirer d’autres juridictions.
Surveillance post-commercialisation et adaptation continue
Au-delà de l’autorisation initiale, la surveillance des systèmes d’IA après leur déploiement devient une composante essentielle du cadre réglementaire. Cette approche de régulation adaptative s’articule autour de plusieurs mécanismes :
- Obligation de signalement des incidents et effets indésirables
- Audits périodiques par des organismes indépendants
- Renouvellement conditionnel des certifications
La coopération internationale s’intensifie également dans ce domaine. L’Organisation mondiale de la santé (OMS) a publié en 2021 un rapport sur l’éthique et la gouvernance de l’IA en santé, proposant un cadre de référence mondial. Des initiatives comme le Global Partnership on AI (GPAI) facilitent le partage d’expériences réglementaires entre différentes juridictions, contribuant à l’émergence de standards harmonisés.
Cette gouvernance multiniveau et multi-acteurs reflète la complexité des enjeux soulevés par l’IA décisionnelle en santé. Elle tente de concilier des impératifs parfois contradictoires : stimuler l’innovation médicale, garantir la sécurité des patients, protéger les droits fondamentaux et maintenir la confiance du public. Son efficacité reposera sur sa capacité à évoluer au même rythme que les technologies qu’elle encadre, tout en maintenant des principes éthiques et juridiques stables.
Perspectives d’avenir : anticiper les évolutions technologiques et juridiques
L’évolution rapide des technologies d’intelligence artificielle en santé exige une anticipation constante des cadres juridiques. Les systèmes actuels d’IA décisionnelle ne représentent qu’une étape dans un développement technologique continu dont les prochaines innovations pourraient remettre en question les paradigmes réglementaires existants.
L’émergence des systèmes d’IA générative dans le domaine médical constitue un défi majeur pour les régulateurs. Ces technologies, capables de produire du contenu original à partir de vastes corpus d’apprentissage, pourraient révolutionner la rédaction de protocoles thérapeutiques ou l’interprétation de données cliniques complexes. Le droit d’auteur et la propriété intellectuelle des contenus générés par ces systèmes restent des zones d’incertitude juridique que les tribunaux et législateurs devront clarifier.
La convergence entre IA et autres technologies émergentes comme la médecine génomique, les nanotechnologies ou la robotique avancée créera des cas d’usage hybrides difficiles à catégoriser dans les cadres réglementaires sectoriels. Des approches réglementaires transversales, fondées sur les risques plutôt que sur les technologies spécifiques, semblent mieux adaptées à cette évolution. Le concept de réglementation technologiquement neutre gagne ainsi du terrain dans les cercles juridiques européens.
La territorialité du droit face à des technologies intrinsèquement globalisées pose également question. Les systèmes d’IA en santé sont souvent développés, entraînés et déployés dans des juridictions différentes, créant des défis de conformité réglementaire. L’effet extraterritorial du RGPD a montré la voie d’une certaine forme d’influence normative, mais des mécanismes plus systématiques de coordination internationale deviennent nécessaires. Les travaux du Conseil de l’Europe sur une convention relative à l’IA pourraient constituer une avancée significative dans cette direction.
Le rôle croissant de la jurisprudence
Face à ces évolutions rapides, les tribunaux joueront un rôle croissant dans l’interprétation et l’adaptation des normes existantes aux nouvelles réalités technologiques. Plusieurs affaires pendantes devant les juridictions européennes concernant des systèmes d’IA en santé pourraient établir des précédents déterminants :
- Contentieux sur la responsabilité en cas d’erreur diagnostique assistée par IA
- Recours contre des décisions d’allocation de ressources médicales basées sur des algorithmes
- Actions collectives concernant des violations de données de santé utilisées pour entraîner des modèles d’IA
La soft law continuera de jouer un rôle complémentaire essentiel. Les normes techniques développées par des organismes comme l’ISO ou le CEN (Comité Européen de Normalisation) contribuent à établir des standards de qualité et de sécurité pour les systèmes d’IA en santé. La norme ISO/IEC 42001 sur les systèmes de management de l’IA, actuellement en développement, pourrait devenir une référence mondiale pour les développeurs et utilisateurs.
L’approche du bac à sable réglementaire (regulatory sandbox) gagne en popularité comme méthode pour tester des innovations sous supervision réglementaire avant un déploiement plus large. Le Royaume-Uni, à travers son programme d’innovation de la MHRA (Medicines and Healthcare products Regulatory Agency), a pionné cette approche pour les technologies de santé, permettant d’identifier les ajustements réglementaires nécessaires dans un environnement contrôlé.
Ces évolutions réglementaires s’inscrivent dans une réflexion plus large sur la place de la technologie dans nos systèmes de santé et sur les valeurs que nous souhaitons préserver. Le défi majeur pour les années à venir sera de maintenir l’humain au centre du processus décisionnel médical, tout en bénéficiant des capacités augmentées que l’IA peut offrir. C’est dans cet équilibre subtil que réside la promesse d’une régulation réussie de l’IA décisionnelle en santé publique.