La riche révision de la loi relative à la bioéthique par la loi n° 2021-1017 du 2 août 2021 (mod. Loi n° 2011-814, 7 juill. 2011) intéresse de nombreux domaines (pour une présentation générale, v. Dalloz actualité, 7 sept. 2021, obs. E. Supiot). De manière plus anecdotique, elle était attendue pour son ancien article 11, devenu l’article 17, introduisant un cadre légal à l’utilisation de dispositifs médicaux embarquant un système particulier d’intelligence artificielle.
Est ainsi inséré un nouvel article L. 4001-3 au sein du code de la santé publique (CSP), se situant dans la quatrième partie « Professions de santé », livre préliminaire « Dispositions communes », titre préliminaire « Missions des professionnels de santé », chapitre Ier « Dispositions générales ». Outre le champ d’application du texte qui nécessite quelques explications, l’article L. 4001-3 consacre un droit à l’information des patients et renforce la maîtrise par le professionnel de santé des outils embarquant un système d’intelligence artificielle.
Champ d’application du texte
L’article L. 4001-3, I, du CSP vise l’utilisation par un professionnel de santé d’un « dispositif médical comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives » pour « un acte de prévention, de diagnostic ou de soin ».
La nature des dispositifs médicaux mentionnés par le texte et leurs modalités d’utilisation seront fixées par arrêté du ministre chargé de la santé après avis de la HAS et de la CNIL (CSP, art. L. 4001-3, IV).
Seuls les dispositifs médicaux « comportant un traitement de données algorithmique dont l’apprentissage a été réalisé à partir de données massives » sont concernés. Initialement, l’article 11 du projet de loi bioéthique faisait état d’un simple « traitement algorithmique de données massives » (AN, projet de loi n° 2187 du 24 juill. 2019).
Cette précision est louable car elle a le mérite d’apporter une plus grande clarté. Un apprentissage réalisé à partir de données massives renvoie aux systèmes d’apprentissage automatique, plus connus sous le vocable « machine learning ». Il s’agit, selon le vocabulaire de l’intelligence artificielle, d’un « Processus par lequel un algorithme évalue et améliore ses performances sans l’intervention d’un programmeur, en répétant son exécution sur des jeux de données jusqu’à obtenir, de manière régulière, des résultats pertinents » (JO 9 déc. 2018, NOR : CTNR1832601K). Autrement dit, les techniques d’apprentissage automatique permettent de faire évoluer un logiciel grâce la répétition d’entraînements utilisant des jeux de données.
Cette définition exclut du champ d’application de l’article tous les autres systèmes qui pourraient être qualifiés de systèmes d’intelligence artificielle, comme les systèmes experts qui sont des systèmes à base de règles.
L’article fait mention de « données massives », dont l’imprécision a pu être critiquée (v. not. B. Bévière-Boyer, Numérique en santé : le projet de loi relatif à la bioéthique a accouché d’une souris, in N. Nevejans [dir.], Données et technologies juridiques, Mare & Martin, 2021, spéc. p. 245 et 246 ; CNIL 11 juill. 2019, délib. n° 2019-097 portant avis sur un projet de loi relatif à la bioéthique. Sur cette notion, v. CCNE 28 mai 2019, avis n° 130). Les rapports précédant la révision de la loi bioéthique constatent que les données peuvent provenir tant de sources publiques, comme celles tirées du système national des données de santé (SNDS), que de sources privées vu le développement des techniques de « quantified self », permettant de se mesurer (v. not. Conseil d’État, Révision de la loi de bioéthique : quelles options pour demain ?, 28 juin 2018, p. 194 à 196). En l’absence de distinction, l’entraînement de ces systèmes pourrait alors se faire quelle que soit la nature juridique de la donnée utilisée, peu important donc qu’il s’agisse d’un traitement de données à caractère personnel, de données de santé, de données sensibles, de données publiques ou non.
Enfin, le dispositif médical doit comporter un « traitement de données algorithmique », supposant une analyse automatique des données d’entrée par le système d’apprentissage machine qui y est embarqué.
Ces dispositifs ainsi décrits entrent dans le champ de la proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (Comm. eur., 21 avr. 2021, COM(2021) 206 finals, Dalloz actualité, 3 mai 2021 et 4 mai 2021, nos obs ; RLDI 2021, n° 183, p. 36, obs. A. Petel). D’une part, le règlement s’applique à tout système d’intelligence artificiel, défini comme un logiciel développé au moyen d’une ou plusieurs approches énumérées à l’annexe I (art. 3, 1), laquelle vise en son a) les approches « d’apprentissage automatique, y compris d’apprentissage supervisé, non supervisé et par renforcement, utilisant une grande variété de méthodes, y compris l’apprentissage profond ». D’autre part, les dispositifs médicaux qui embarquent un système d’IA sont considérés comme à haut risque conformément à l’article 6, § 1, qui renvoie à l’annexe II, laquelle vise en sa section A le règlement (UE) 2017/745 du 5 avril 2017 relatif aux dispositifs médicaux. Si la proposition de règlement est adoptée en l’état, un régime de conformité s’appliquerait à ces systèmes nonobstant les nouvelles dispositions du code de la santé publique qu’il convient désormais de présenter.
Droit à l’information des personnes
L’article L. 4001-3, I, dispose que le professionnel de santé qui utilise le dispositif médical précédemment décrit « s’assure que la personne concernée en a été informée et qu’elle est, le cas échéant, avertie de l’interprétation qui en résulte ». Autrement dit, la personne doit être informée de l’utilisation dudit dispositif et c’est au professionnel de santé qu’il incombe de lui expliquer clairement le résultat de sortie.
L’article ainsi consacré par la nouvelle loi « bioéthique » ne prévoit pas de consentement à l’utilisation d’un tel dispositif, renvoyant aux dispositions générales de l’article L. 1111-4 du CSP le soin de le réglementer. Pour autant, il est patent que le consentement d’une personne n’est effectif que lorsqu’elle agit en toute connaissance de cause, et qu’elle a donc obtenu toutes les informations permettant d’effectuer un choix éclairé. Les rapports et études sur l’utilisation de l’intelligence artificielle dans le domaine de la santé sont unanimes sur cette question, en estimant qu’il est nécessaire de renforcer le droit à l’information des patients pour le cas spécifique de l’utilisation de l’intelligence artificielle afin de permettre la délivrance d’un consentement libre et éclairé.
Ainsi, l’avis 129 du Comité consultatif national d’éthique (CCNE) relatif à la révision de la loi de bioéthique a formulé dès 2018 le souhait de créer une « déclinaison expresse dans la prochaine loi de bioéthique » du principe d’information préalable du recours à un algorithme (p. 103, § 6.3) dont voici la teneur : « toute personne ayant recours à l’intelligence artificielle dans le cadre de son parcours de soins, en [est] préalablement informée afin qu’elle puisse donner son consentement libre et éclairé » (p. 105). Cette proposition a été reprise et suivie par le rapport d’information de l’Assemblée nationale qui envisageait d’introduire une exigence d’information préalable sans toutefois modifier l’article L. 1111-4 du code de la santé publique relatif au consentement (AN, rapport n° 1572 du 15 janv. 2019, p. 268 à 270 ; proposition n° 50). Enfin, par son avis du 11 juillet 2019, la CNIL recommandait également que le recours au traitement automatisé fasse l’objet d’une information préalable (v. délib. n° 2019-097, préc.).
Toutefois, le texte final ne précise pas le moment où l’information doit être délivrée (v. déjà, regrettant cette absence de précision dans le projet, B. Bévière-Boyer, Numérique en santé : le projet de loi relatif à la bioéthique a accouché d’une souris, préc., p. 246 à 248). Le projet de loi, modifié en deuxième lecture par le Sénat, énonçait pourtant que « le professionnel de santé qui décide [d’utiliser le dispositif médical] s’assure que la personne concernée en a été informée au préalable et qu’elle est, le cas échéant, avertie de l’interprétation qui en résulte » (sur ce point, v. B. Bévière-Boyer, Droit, intelligence artificielle et système de santé, in M. Bouteille-Brigant [dir.], La personne face à l’intelligence artificielle, IFJD, 2021, p. 152 et 153). Or, le texte adopté en nouvelle lecture par l’Assemblée nationale le 9 juin 2021 a supprimé la mention « au préalable ». Cette suppression est issue de l’amendement n° 1581 déposé par le gouvernement, arguant au sein de son exposé sommaire que « selon les actes réalisés et les dispositions qui leur sont applicables, l’information du patient pourra avoir lieu a priori ou a posteriori de la mise en œuvre du traitement d’intelligence artificielle ». Et celui-ci de préciser : « Par exemple, l’information sera nécessairement préalable s’agissant de l’implantation d’un dispositif médical de type pancréas artificiel, puisqu’elle implique une opération chirurgicale nécessitant un consentement libre et éclairé (CSP, art. L. 1111-4). En revanche, l’information qu’un dispositif d’intelligence artificielle a été utilisé dans le cadre d’un diagnostic radiologique sera faite par le professionnel de santé lors de la communication au patient des résultats rendus par ce dispositif et de l’interprétation qu’il en fait. Le patient pourra demander l’interprétation de ces résultats par un autre professionnel de santé. La décision finale est alors une décision partagée qui s’appuie sur les résultats produits par ces dispositifs, l’interprétation du professionnel de santé, et les préférences du patient. Une telle rédaction permet à la fois de viser l’ensemble des dispositifs d’intelligence artificielle (qu’ils rendent ou non des résultats) et de préciser le contenu de l’information ». Le moment où l’information devra être délivrée dépend donc du contexte et doit s’articuler avec le code de la santé publique et la protection des données à caractère personnel.
En tout état de cause, effectivement, et dès lors que les données à caractère personnel du patient font l’objet d’un traitement, le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 et la loi « Informatique et libertés » n° 78-17 du 6 janvier 1978 exigent une information soit au moment où les données sont obtenues en cas de collecte directe (RGPD, art. 13), soit dans un délai raisonnable en cas de collecte indirecte (RGPD, art. 14). Relevons que le recueil du consentement n’est pas systématiquement exigé, par exemple dans les cas où le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (RGPD, art. 6, § 1, d et 9, § 1, c pour le traitement de données sensibles).
Maîtrise par le professionnel de santé des outils embarquant un système d’intelligence artificielle
L’article L. 4001-3 du CSP débute de la sorte : le professionnel de santé « qui décide d’utiliser » le dispositif médical comportant un système d’apprentissage automatique. Il en résulte une volonté d’assurer pour le professionnel de santé la maîtrise du choix de recourir ou non à ces solutions. Plus encore, le II de l’article énonce que « Les professionnels de santé concernés sont informés du recours à ce traitement de données. Les données du patient utilisées dans ce traitement et les résultats qui en sont issus leur sont accessibles ». Enfin, le III de l’article L. 4001-3 du CSP dispose que « Les concepteurs d’un traitement algorithmique mentionné au I s’assurent de l’explicabilité de son fonctionnement pour les utilisateurs ».
Ces éléments renforcent tous la maîtrise par le professionnel de santé de l’instrument qu’il utilise. Une approche globale tendrait à y déceler des bribes du principe d’une « garantie humaine » (sur cette notion, v. les travaux de D. Gruson, Régulation positive de l’intelligence artificielle en santé : les avancées de la garantie humaine algorithmique, Dalloz IP/IT 2020. 165 
; Enjeux juridiques de l’intelligence artificielle en santé : le stable et le mouvant, Revues des Juristes de Sciences Po 2021, n° 21, art. 16). Reprise par l’avis 129 du CCNE précité, la garantie humaine serait « la garantie d’une supervision humaine de toute utilisation du numérique en santé, et l’obligation d’instaurer pour toute personne le souhaitant et à tout moment, la possibilité d’un contact humain en mesure de lui transmettre l’ensemble des informations la concernant dans le cadre de son parcours de soin » (p. 105). Concernant l’utilisation d’un système d’IA, elle se matérialiserait par des « procédés de vérification régulière – ciblée et aléatoire – [et] l’aménagement d’une capacité d’exercice d’un deuxième regard médical humain » (§ 6.2, p. 102 et 103).
La mouture finale du texte semble s’éloigner du principe de garantie humaine tel qu’il était considéré initialement. Une traçabilité des traitements successifs devait par exemple être assurée lorsque le projet était adopté par l’Assemblée nationale en deuxième lecture. Il a ensuite été proposé d’insérer explicitement la mention de « garantie humaine » sans toutefois la définir, pour finalement l’abandonner. Enfin, la mise en œuvre des procédés de vérification des algorithmes et le contrôle humain relèvent davantage du domaine de l’Union européenne, l’une vis-à-vis de la certification des dispositifs médicaux et l’évaluation de conformité de la proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (règl. (UE) 2017/745, 5 avr. 2017, préc. ; Comm. eur., 21 avr. 2021, préc., art. 43, § 3) et l’autre vis-à-vis de la supervision humaine prévue dans ladite proposition de règlement (art. 14).
Demeure dans le texte final (i) le choix par le professionnel de santé d’utiliser le dispositif ; (ii) l’information délivrée aux professionnels de santé ; et (iii) l’explicabilité. Ces principes, bien qu’ils ne soient pas tout à fait conformes à la vision initiale, satisfont en réalité à l’exigence d’une garantie humaine puisqu’ils assurent au professionnel de santé une capacité minimale et réaliste de maîtrise des outils d’intelligence artificielle, renforçant par-là même son autonomie.
En effet, ils ont tout d’abord le choix d’utiliser ou non le dispositif médical. La maîtrise passant par une formation adaptée, le professionnel de santé a la liberté de se saisir des outils avec lesquels il peut exercer de manière optimale. Tous les professionnels de santé concernés doivent ensuite être informés, d’une part, du recours au dispositif médical et, d’autre part, des données du patient utilisées ainsi que du résultat qui en est issu (art. L. 4001-3, II). Cette disposition permet au professionnel d’agir en toute connaissance de cause car muni des informations nécessaires.
L’explicabilité, enfin, prévue au III du nouvel article, a été préférée à la transparence (sur cette notion, v. J. Rochfeld, Données à caractère personnel – Droit de ne pas subir une décision fondée sur un traitement automatisé, Rép. IP/IT, spéc. § 23). Dès 2018, déjà, le Conseil d’État favorisait l’explicabilité à la transparence, la publication seule du code source ne permettant pas « aux utilisateurs du dispositif d’en comprendre la logique générale de fonctionnement » (Conseil d’État, Révision de la loi de bioéthique : quelles options pour demain ?, préc., p. 206). Le rapport d’information n° 1572 de l’Assemblée nationale abonde dans ce sens en exposant que « la transparence ne consiste qu’à rendre public le code source d’un algorithme : elle ne suffit pas pour comprendre les mécanismes sous-jacents et les logiques algorithmiques qui fondent la proposition médicale » (AN 15 janv. 2019, rapp. préc., p. 266 et proposition n° 47). Concrètement, ce sont sur les concepteurs du « traitement algorithmique » incorporé dans le dispositif médical que pèse cette exigence, sans que la notion de « concepteur » ne soit définie. Il leur appartient de s’assurer de l’explicabilité du fonctionnement du traitement « pour les utilisateurs », qui sont les professionnels de santé utilisant le dispositif médical. Lors de son audition auprès de l’Assemblée nationale, le professeur Raja Chatila proposait effectivement que « seul le médecin soit destinataire de cette exigence d’explicabilité, à charge pour lui d’expliquer à son tour ces informations au patient » (v. AN, rapport n° 1572, préc., p. 266). Cette disposition rejoint l’esprit de la proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle en ce que l’utilisateur est la personne qui utilise le système d’IA, excluant l’utilisation à des fins personnelles, et que celui-ci est destinataire des obligations d’information (Comm. eur., 21 avr. 2021, préc., art. 3, 4 et 13).
