TicPharma

La Commission nationale de l’informatique et libertés (Cnil) veut « aller plus loin dans le travail de simplification des démarches » d’utilisation des données de santé par les professionnels et les chercheurs souhaitant y entraîner des algorithmes d’intelligence artificielle (IA), a affirmé la commissaire spécialiste de la santé, Valérie Peugeot, lors d’un colloque organisé mi-février au Conseil d’Etat.

Les données de santé sont « juridiquement qualifiées de données sensibles et bénéficient d’une protection renforcée », a rappelé la présidente de la Cnil, Marie-Laure Denis, en introduction de cette journée de travail et d’échanges autour de « l’IA et la big data » dans les pratiques médicales et la recherche.

Ce régime est « vécu comme contraignant pour les chercheurs et entreprises qui veulent créer et entraîner de l’IA à partir de données de santé », a-t-elle reconnu. « Je ne le nie pas mais [le cadre réglementaire] a aussi sa raison d’être et présente d’ores et déjà des flexibilités que nous voulons exploiter », a-t-elle fait savoir.

Ces flexibilités prennent notamment la forme de référentiels, qui permettent aux personnes souhaitant exploiter les données de le faire après déclaration de conformité et sans besoin de formuler une demande spécifique d’autorisation. « Aujourd’hui, pas moins de 11 référentiels ont été mis en place par Cnil, dont entre autres le référentiel d’entrepôts de données de santé pensé pour permettre l’IA », a souligné Valérie Peugeot. Ce texte publié en octobre 2021 précise le cadre juridique issu du règlement général sur la protection des données (RGPD) et des dispositions nationales et applicable aux entrepôts de données de santé, rappelle-t-on.

« La Cnil est prête à réviser ces référentiels, à les réévaluer et les faire progresser pour répondre aux besoins des professionnels, et en construire d’autres pour répondre à la spécificité des besoins des systèmes d’information d’IA », a déclaré Valérie Peugeot.

La Commission souhaite également « poursuivre le travail d’accompagnement dans l’appropriation » via sa direction de la conformité rebaptisée « direction de l’accompagnement », a-t-elle poursuivi.

Plus tôt dans la matinée, Marie-Laure Denis a aussi fait savoir que la Cnil va « continuer à adapter [ses] instruments juridiques pour créer un cadre efficace et protecteur » aux traitements de données à base d’IA. Elle a notamment cité un webinaire sur les données personnelles organisé « il y a quelques jours » sur les demandes d’autorisation en santé.

La Cnil prévoit d’ajouter à son cours en ligne, « notre Mooc déjà consulté 150.000 fois », un module sur les demandes d’autorisation dans le domaine de la santé, et de publier prochainement un guide de la recherche et des recommandations sur la constitution de bases de données pour l’IA en santé.

« J’ai voulu modifier plus radicalement les méthodes de la Cnil en créant un bac à sable, un dispositif où l’on sélectionne sur un thème des projets que nous accompagnons pas à pas pour garantir la conformité au RGPD et mettre en œuvre le Privacy by design à un stade précoce », a-t-elle rappelé.

Le premier bac à sable, inauguré en 2021, a porté sur les projets de données de santé. « Nous voulons aller plus loin, dans une dizaine de jours nous allons lancer un programme d’accompagnement ‘bac à sable’ renforcé et non thématique pour monter en quelques mois un projet innovant tout en assurant sa conformité au RGPD », a-t-elle fait savoir.

La présidente a aussi rappelé avoir créé au sein de la Cnil un « service de l’intelligence artificielle », chargé de faire monter en compétences la commission sur ce sujet, de préparer l’entrée en application du règlement européen sur l’IA et de développer les relations avec les acteurs de l’écosystème. Composé de cinq personnes, il se penchera aussi sur les bases de données d’apprentissage.

« Contrairement à certaines idées préconçues qui circulent, nous avons déjà facilité le travail de recherche avec l’intelligence artificielle », a aussi insisté Valérie Peugeot. Elle a mis en avant les « dix projets de recherche utilisant l’IA autorisés par la Cnil » en 2022. « Le délai d’instruction des autorisations de recherche par la Cnil en 2022 a été de 66 jours, cela me semble un temps raisonnable pour un chercheur », a-t-elle aussi estimé.

Par ailleurs, la Cnil a publié début février deux fiches destinées à guider les responsables de traitement dans le dépôt de leurs demandes d’autorisation de traitements dans le domaine de la santé, pour un projet de recherche et hors recherche.

Une demande d’autorisation déposée auprès de la Cnil doit « détailler les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques, afin que la Cnil puisse s’assurer que le projet de traitement respecte les dispositions pertinentes du RGPD et de la loi ‘Informatique et libertés' », a rappelé la commission sur son site.

Les deux fiches publiées lundi synthétisent les besoins pour la bonne instruction des demandes d’autorisation afin d’aider les responsables de traitement à élaborer leurs dossiers de demande:

• de recherches, études et évaluations dans le domaine de la santé
• de traitements de données de santé (hors recherche).

« Ces fiches abordent les caractéristiques principales d’un traitement de données dans le domaine de la santé. Elles invitent les responsables de traitement à se poser les bonnes questions préalablement au dépôt d’une demande d’autorisation auprès de la Cnil afin d’en faciliter l’instruction. » Elles peuvent servir de cadre de référence en guidant la mise en conformité des traitements, notamment ceux mis en œuvre dans le cadre d’une déclaration de conformité à un référentiel ».

Pour chaque critère à satisfaire, la Cnil a rappelé les grands principes à connaître et à respecter et indiqué ce dont elle a besoin pour donner son autorisation et la procédure à suivre (pièces à fournir, justifications, critères d’octroi, analyse d’impact, conformité à des référentiels etc.).

La première fiche est intitulée « Préparer sa demande d’autorisation de recherche en santé ».

« A l’exception des études ‘internes’, tous les projets de recherche dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la Cnil. Ainsi, lorsqu’ils ne sont pas conformes à une méthodologie de référence, ces projets doivent être autorisés par la Cnil », a-t-elle rappelé.

La deuxième fiche, intitulée « Préparer sa demande d’autorisation en santé (hors recherche) », est composée des mêmes items.

« Les traitements de données de santé (hors recherche) qui n’entrent pas dans les exceptions prévues par l’article 65 de la loi ‘Informatique et libertés’ doivent faire l’objet d’une formalité préalable auprès de la Cnil: lorsqu’ils ne sont pas conformes à un référentiel sectoriel, ces traitements doivent être autorisés par la Cnil », a précisé l’instance.