Open in app

Sign in

Write

Sign in

Comment assurer la protection des données patients dans le cadre du développement d’une intelligence artificielle ?

Patricia Massako
AZmed
Published in
20 min readJul 31, 2020

Nombreuses sont les startups qui interviennent dans le domaine de l’intelligence artificielle et participent à son expansion. De nouveaux concepts émergent mais se heurtent systématiquement au challenge de la protection des données. En effet, les données ne sont pas encore produites, ni considérées comme des ressources numériques industrielles, alors qu’elles sont le point de départ de toute stratégie en IA : elles sont générées « brutes », avec leur caractère personnel et ne sont donc pas adaptées à des fins de recherches.

Dans la plupart des cas, plus les données sont disponibles et de qualité, moins les outils développés à partir de celles-ci sont biaisés et plus ils sont efficaces. L’accès et la sécurisation de ces données font partie des principaux enjeux auxquels les acteurs de l’intelligence artificielle font actuellement face.

Dans son rapport de synthèse France Intelligence Artificielle publié en mars 2017, le gouvernement français répond à ces problématiques en soutenant la constitution de bases de données médicales et de santé permettant l’ouverture à ces données et favorisant ainsi le développement de la santé numérique et de la télémédecine. La plateforme du Health Data Hub a été créée en 2019 à ces fins. Elle croise les diverses bases de données de santé et facilite leurs utilisations par de nombreuses équipes de recherche et de développement avec un respect total de la vie privée des usagers du système de santé.

Cette initiative ouvre la porte à de nombreux projets et études impliquant l’IA, dont les premières étapes de mise en place se concentrent sur une réflexion préventive des risques relatifs à la protection des données de santé. Afin de bénéficier des opportunités qu’offre l’intelligence artificielle, il est logique que les DSI (Directeur des systèmes d’information) se positionnent de plus en plus comme des acteurs stratégiques de ces projets, en combinant leurs compétences informatiques et réglementaires pour sécuriser les données personnelles.

Les startups spécialisées en IA ont-elles les moyens de franchir cette barrière et de garantir la sécurisation des données qu’elles utilisent en masse ? Qui sont leurs meilleurs alliés pour remporter ce défi ?

Pour répondre à ces questions et illustrer nos propos tout le long de cet article nous nous focaliserons sur le secteur médical et apporterons quelques exemples propres à la société AZmed.

Qu’est-ce qu’une donnée de santé ?

Selon le RGPD, Art.4 alinéa 15, une donnée de santé est une donnée à caractère personnel relative à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins, de santé, qui révèlent des informations sur l’état de la personne.

Contrairement aux attentes, les données de santé n’appartiennent à personne. Bien qu’elles expriment l’individualité des personnes, le droit de propriété ne peut pas s’appliquer.

Premièrement, si une personne est désignée propriétaire de ses données, elle en serait également le responsable de traitement, avec une grande responsabilité d’en assurer la protection. Toutefois, elle s’exposerait fortement à des risques occasionnés par une protection insuffisante de ses données. Pour éviter que les individus sacrifient la protection de leurs données au profit de services dont ils ignorent les rouages, la loi informatique et des libertés met en avant le droit de contrôle du traitement des données personnelles au lieu du droit de propriété.

Deuxièmement, les données sont considérées comme un prolongement de l’être et ne sont donc pas appropriables. Par conséquent, aucun établissement de santé traitant des données personnelles ne peut attester en être propriétaire, ni propriétaire de la personne concernée.

Quels référentiels légaux et réglementaires pour la protection des données de santé ?

Trois référentiels encadrent la protection des données personnelles :

  • Le code de la santé publique qui s’applique au niveau national
  • La loi informatique et des libertés relative à l’informatique, aux fichiers et aux libertés, créée en 1978, également appliquée au niveau national. Elle concerne l’ensemble des traitements automatisés de données personnelles. Depuis le 1er juin 2019, la loi est en vigueur dans une nouvelle rédaction pour faire face au besoin de s’actualiser avec l’essor du Big Data, afin de répondre aux enjeux de collecte de données personnelles dans le monde entier.
  • Le règlement général de protection des données (RGPD) de santé en vigueur depuis le 25 mai 2018, répond au besoin de mise à jour de la loi informatique et des libertés en apportant des nouveautés liées aux technologies modernes. Le RGPD vient ainsi uniformiser toutes les législations européennes sur la protection des données personnelles. Désormais, les entreprises ont une obligation de résultats.

Toutes les entreprises qui traitent des données personnelles ont donc les obligations suivantes :

  • Déclarer auprès de la CNIL les fichiers contenant des données personnelles
  • Assurer la sécurité de l’ensemble des données collectées
  • Informer les individus concernés de la collecte de leurs données, obtenir leur consentement ou leur non-opposition selon les cas de figures et en garder les preuves
  • Informer les individus sur leur droit d’accès, la modification et la suppression de leurs données
  • Respecter le principe de licéité et de loyauté de collecte de données : les données à caractère personnel doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.
  • L’interdiction de collecter des données à caractère sensible, c’est-à-dire données relatives à la religion, la santé, la politique (sauf si leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL)

La CNIL est l’institution chargée de veiller au respect de ces obligations au niveau national.

Pour mener à bien l’application de ces règles au sein des organisations de tous secteurs confondus, le RGPD demande qu’un Correspondant informatique et libertés encore nommé Délégué de protection des données (DPO) soit désigné. Il a pour rôle de s’assurer que la protection des données de santé s’inscrit dans la démarche d’amélioration de la qualité et la sécurité des soins. La protection des données doit donc être intégrée en amont de tout projet, en prenant place au sein des procédures de conformité et de gestion des risques de sécurité du système d’information.

La protection des données en pratique : focus sur les différentes méthodes de sécurisation dans le cadre de l’utilisation des solutions d’IA

Que signifie protéger les données ?

Selon le RGPD, sécuriser les données signifie appliquer des mesures techniques et organisationnelles pour en préserver l’intégrité, maintenir leur niveau de confidentialité et en assurer la disponibilité en temps voulu et pour les traitements prévus.

Rappelons que dans le cadre de l’utilisation des solutions d’intelligence artificielle, la question de la sécurisation des données intervient à deux phases distinctes.

Premièrement, les algorithmes d’intelligence artificielle nécessitent un entrainement préalable sur un nombre de données important pour pouvoir être opérationnels et réaliser des prédictions fiables. Les algorithmes les plus avancés sont développés et enrichis progressivement par un volume important de données, annotées ou non, renforçant ainsi leur capacité à améliorer leurs performances. Cela implique une collecte réalisée auprès des structures médicales partenaires, ou auprès de Biobanques accréditées. Cette première phase implique donc de la part des entreprises qui les exploitent, de sécuriser leur processus de collecte et de manipulation des données médicales conformément à la réglementation.

Dans un second temps, une fois les algorithmes entrainés, opérationnels et mis en production pour leur utilisation en routine clinique, ils doivent avoir accès aux données pour réaliser leurs prédictions. Ainsi, le fait de permettre aux algorithmes d’accéder aux données générées en routine rend les systèmes d’information vulnérables à de nombreuses menaces.

Or la plupart des données médicales n’ont pas été produites à des fins de recherche et peuvent contenir les informations personnelles des patients. Elles posent donc de nombreux problèmes pour leur exploitation. Il faut donc s’assurer que ces données sont utilisées à bon escient et dans le respect des lois.

1-Avant la collecte des données

En premier lieu, il faut obtenir le droit de traiter les données de santé. On parle du principe de licéité et de loyauté de traitement : le droit de traitement des données peut être obtenu par consentement direct ou non-opposition de la personne concernée ou par contrat avec celle-ci, par obligation légale ou encore lorsqu’un intérêt légitime de traitement est justifié.

  • Le contrat de traitement

Conformément au RGPD, l’entreprise souhaitant collecter les données personnelles produites dans un établissement de santé, doit présenter la nature des données dont elle a besoin, les opérations prévues avec ces données et leur finalité.

L’obtention de l’autorisation de ces établissements est l’expression de leur reconnaissance de l’intérêt légitime du traitement explicité dans le contrat.

  • Obtention du consentement des patients

Les données de santé étant considérées comme des données sensibles, toute entreprise a interdiction de les collecter. Cependant, le RGPD prévoit une exception, faisant du consentement de la personne concernée un préalable nécessaire au traitement des données liés à sa santé. Ce consentement doit être non contraint, pour une seule finalité, univoque pour être considéré comme légal. Pour les entreprises collectant des données de santé mais n’étant pas directement en contact avec les patients, il incombe aux établissements de santé d’agir en tant que responsables de traitement des données qu’ils produisent, de répondre à l’impératif de transparence et d’obtenir le consentement des patients concernés.

2-Pendant la collecte des données

  • Suppression de tout caractère identifiant des données

Traiter les informations sans leur caractère personnel fait partie des mesures de sécurisation existantes, telles que la sécurité des locaux, le contrôle d’accès ou encore les systèmes de sauvegardes périodiques des données.

Concentrons-nous sur deux méthodes communément appliquées dans le domaine de l’IA: l’anonymisation ou la pseudonymisation.

L’anonymisation consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et ce de manière irréversible. Elle est obligatoire lorsque les entreprises souhaitent diffuser les données, par exemple en les publiant en ligne.

La pseudonymisation permet de remplacer les données directement identifiables (nom, prénom) par des données indirectement identifiables (alias, numéro etc..). Contrairement à l’anonymisation, il est toujours possible de retrouver l’identité d’une personne à partir de données pseudonymisées, en ayant recours à des informations supplémentaires. Ces dernières ne sont autres que les clés d’identification qui permettent de relier les données personnelles aux données pseudonymisées. Cette opération est donc réversible, c’est pourquoi les données pseudonymisées demeurent des données personnelles.

Pour limiter le risque de ré-identification à partir de données pseudonymisées, le RGPD prévoit les pratiques suivantes:

  • Si les données n’ont pas besoin d’être ré-identifiées, la clé d’identification peut être supprimée. On réduit ainsi considérablement le risque de retrouver l’identité des patients.
  • Si la conservation de la clé est nécessaire, elle devra être suffisamment complexe pour ne pas affaiblir le processus de pseudonymisation. Des mesures qui renforcent la confidentialité et limite l’accès à cette clé sont donc à privilégier.

Dans tous les cas, les données pseudonymisées sont soumises aux obligations du RGPD, au même titre que les données personnelles. Ces obligations s’appliquent aussi bien pour l’établissement qui génèrent ces données que pour les entités qui les collectent et les traitent.

  • Assurer la sécurité des données collectées

Pour assurer un haut niveau de sécurité de données collectées, faire appel à un hébergeur de données de santé est bien souvent la solution la plus adaptée. Tous les hébergeurs de santé sont certifiés HDS, ce qui apporte l’assurance que les données qui y sont conservées sont préservées sur la base des critères DICA (Disponibilité, Intégrité, Confidentialité et Auditabilité).

3-Lorsque l’algorithme est en production

Les logiciels ont accès aux données pour réaliser leurs prédictions. Les méthodes de sécurisation pouvant être appliquées lors de ce processus ne sont autres que toutes les mesures de cybersécurité inhérentes à la conception du logiciel. Par conséquent, une planification de la sécurité doit être intégrée dans les nouvelles offres de produits et de services afin d’éviter les failles éventuelles.

Par exemple en radiologie, les données analysées par les modèles d’IA sont présentées sous forme de Fichiers DICOM qui, outre les images numériques, véhiculent aussi nombre d’informations textuelles concernant le patient et l’examen réalisé. Pour comprendre comment ces données sont exploitées sans risque d’intrusion dans la vie privée des patients, prenons l’exemple de l’approche assimilée au sein AZmed :

Notre avons opté pour une approche systémique pour protéger notre patrimoine informationnel, moyennant des mesures de surveillance des risques à toutes les étapes de traitement des données:

  • Avant la collecte des données, nous obtenons le droit de collecter et de traiter les données par contrat avec l’établissement de santé avec qui nous sommes en partenariat.
  • Au moment où les données sont collectées, elles sont anonymisées. Lorsqu’elles sont introduites dans notre système informatique, elles ne sont donc plus considérées comme des données personnelles. Nous avons préféré cette technique à la pseudonymisation car elle est irréversible. Par conséquent, les impacts potentiels de leur diffusion ou de leur réutilisation sur la vie privée des patients sont ainsi grandement limités. Dans ce cas, le RGPD ne s’applique plus. Notre obligation en matière de sécurisation des données personnelles se limite légalement à l’obtention de l’autorisation des centres médicaux de collecter les données de santé. Le contrat de traitement, appelé « contrat de sous-traitance » dans le RGPD, doit impérativement expliciter cette autorisation.
  • Après la collecte de données: Bien que notre obligation légale se limite à obtenir l’autorisation de l’établissement de santé, nous nous sommes engagés dans une approche processus qui vise à considérer les risques systèmes et produit et à les réduire à un niveau acceptable pour le patient et pour les établissements avec qui nous travaillons : Premièrement, bien que nous ne traitons aucunes données personnelles (grâce à l’anonymisation directe des données collectées) nous avons fait le choix d’en assurer tout de même un niveau maximal de sécurité dès l’étape de stockage : elles sont stockées en toute sécurité chez un hébergeur de données de santé certifié HDS, pour préserver leur intégrité. Deuxièmement, nous nous appuyons sur des mesures de cybersécurité (que nous aborderons plus loin dans cet article) que nous appliquons dès la phase de conception de notre solution, nous permettant ainsi d’anticiper les menaces potentielles lorsque le logiciel est mis en service dans les établissements de santé.
  • Lorsque l’algorithme est en production : il a accès en temps réel aux fichiers DICOM pour les analyser et générer la prédiction. A cette fin, les fichiers DICOM sont récupérés du PACS puis dupliqués. La prédiction de l’algorithme est insérée sur ces fichiers dupliqués, puis renvoyée au radiologue pour soutenir son diagnostic. Les fichiers DICOM originaux et toutes informations propres au patient et à l’examen nécessaire au diagnostic du radiologue ne sont donc pas modifiés. Afin d’optimiser la protection des fichiers à ce niveau de traitement, notre dispositif est conçu de manière à ne conserver aucune de ces données après le processus d’analyse.

Quelles sont les bonnes pratiques à suivre en cas de collecte de données personnelles ?

Nous avons parlé de l’anonymisation qui supprime le caractère identifiant des données et limite ainsi l’applicabilité du RGPD.

Voyons ce qu’il en est des actions à mener lorsque les données sont traitées telles quelles, ou sous leur forme pseudonymisée:

Tout d’abord, l’entreprise qui traite les données avec leur caractère personnel, est considérée comme co-responsable de traitement avec l’établissement de santé qui les génère. Elle doit donc appliquer les mêmes pratiques que cet établissement, à savoir :

  • La désignation d’un DPO ou une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au RGPD
  • La constitution d’un registre de traitement des données : Il permet d’avoir une vision d’ensemble de chaque activité, les catégories de données utilisées, leur durée de conservation et les personnes y ayant accès. C’est un exercice qui nécessite de la prise de recul sur tous les services de l’organisation et permet de faire le tri en éliminant les informations inutiles au système et en concentrant les efforts de protection aux données clé
  • Informer et respecter le droit des personnes : Il est par exemple possible de créer une lettre d’information destinée aux personnes concernées, qui les renseigne sur la finalité des traitements de leur données, les clauses législatives ou contractuelles qui autorisent ce traitement, les flux hors UE de ces données, les services ou personnes ayant accès, la durée de conservation et les modalités selon lesquelles les personnes peuvent exercer leur droit.
  • Sécuriser les données : Prendre des mesures informatiques ou physiques proportionnelles au niveau de sensibilité des données traitées et au niveau du risque qui incombe aux personnes concernées. Notons par exemple des mesures minimisant les risques de perte de données ou de piratage comme : changer régulièrement les mots de passe, chiffrement des données échangées, sécuriser les portails de communication pour garantir la confidentialité des échanges de données entre divers organismes, mise en place de procédure de sauvegarde et de récupération des données en cas d’incident.
  • Surveillance constante des systèmes de protection moyennant des audits externalisés par des organismes accrédités, afin de maintenir le niveau de protection adapté aux traitements des données prévus sur le long terme.

La sécurisation des données personnelles et du système d’information dans lequel elles sont générées et traitées exige de prendre en compte tous les aspects de sa gestion, tant au niveau organisationnel que technique. Ainsi lorsqu’un projet ayant pour finalité la collecte ou le traitement des données personnelles est initié, il est nécessaire d’avoir une approche risque en amont de ce projet afin de mobiliser les ressources nécessaires et activer les canaux de surveillance adéquats pour protéger les données personnelles des patients.

Parmi les acteurs qui doivent activement participer au déploiement d’un projet, citons le Directeur des Systèmes d’Information (DSI) dont les responsabilités sont complémentaires avec celle du Délégué de Protection des données personnelles (DPO).

Le DSI : garant de la sécurité des données

Le rôle d’un DSI est d’organiser, maintenir et faire évoluer le système d’information (SI) d’une entreprise. Il unifie et centralise la gestion du SI , en assurant la sécurité et la protection des données, en maintenant la disponibilité permanente des informations nécessaires au bon déroulement de l’organisation.

La transformation digitale des établissements de santé modifient l’équilibre des forces qui se tourne d’avantage vers les directions des Systèmes d’Information. Les nouvelles technologies appellent des projets de plus en plus complexes et imposent les DSI comme leader d’une transition technologique inévitable.

Au delà du simple rôle consultatif, le DSI donne l’impulsion aux divers projets informatiques, en disposant de preuves factuelles en matière de sécurité du SI et de protection des données, qu’il obtient grâce aux pratiques que nous verrons dans les parties suivantes.

- Analyse des risques en amont de tout projet

A chaque nouveau projet avec un lien informatique, le DSI effectue une analyse des risques moyennant l’outil AIPD (Analyse d’Impact Relative à la Protection des données), permettant de construire un traitement de données personnelles conforme au RGPD et respectueux des droits et libertés des personnes concernés.

Cette analyse est le point de départ de tout projet. C’est pour cela qu’elle doit être menée le plus en amont possible. Elle doit être mise à jour tout au long du cycle de vie du projet pour s’assurer que le niveau de risque reste acceptable. Pour déterminer le niveau d’acceptabilité des risques identifiés, le DSI se base sur les mesures de sécurité déjà présentes dans son environnement technique et organisationnel, mais également sur celles appliquées chez les entreprises qui souhaitent avoir accès à son système d’information pour collecter les données. La criticité des risques relatifs à la sécurité des données patient dépend donc des garanties de sécurité que les entreprises et les établissement de santé apporteront en amont du projet de traitement.

- Obtention de garanties de sécurité

Comme mentionné dans le paragraphe précédent, le DSI a besoin d’éléments tangibles qui témoignent du niveau de robustesse du traitement prévu par les entreprises d’IA, en termes de sécurité du SI et de protection des données. Le but étant de ne pas rajouter d’autres risques pouvant impacter la protection des données et le système informatique dont le DSI est en charge.

Citons quelques solutions possibles pour renforcer un système de sécurité et en apporter la preuve aux DSI:

  • Les certifications de système de management

Les systèmes de management sont construits à partir de normes managériales qui s’articulent autour de 7 principes managériaux, dont l’orientation client et l’approche processus. Ces derniers révèlent l’importance de prendre en compte les besoins des différentes parties prenantes pour développer un produit ou un service conforme à leurs besoins. Ils imposent des outils de traçabilité qui apportent une rigueur organisationnelle à l’entreprise. En clair, une organisation qui met en place un système de management, révèle sa capacité à s’améliorer continuellement en étant à constamment à l’écoute de sa sphère d’influence.

Prenons l’exemple de la norme ISO 27001 : C’est une norme managériale volontaire et certifiable qui décrit les exigences pour mettre en place un système de management de la sécurité de l’information (SMSI). Elle vise à renforcer la protection des données et à réduire les failles de sécurité au sein d’une organisation. Elle s’harmonise avec le RGPD puisqu’elle permet également d’assurer la confidentialité, l’intégrité et la disponibilité des données personnelles. Cette norme fait partie des textes normatifs que la CNIL met en avant comme outils de conformité dans un environnement réglementaire aussi technique et complexe que celui des données personnelles.

Les certifications représentent clairement des garanties

Alexandre Santos est responsable des Systèmes d’information (RSI) au centre d’Imagerie Médicale du Galilée (CIMG). Il est confronté dans son travail quotidien à l’émergence de projets informatiques dont il évalue la robustesse en termes de sécurité de l’information. Son rôle est donc clé dans la validation ou l’exclusion de ces projets, selon la mitigation des risques que ces projets occasionnent.

Il témoigne : « Bien que le contrat de partenariat encadre les activités de traitement des données, lorsque le dispositif est en production, on doit toujours considérer que le risque zéro n’existe pas. D’où la nécessité d’avoir une assurance de sécurisation supplémentaire. Les certifications représentent clairement des garanties puisqu’elles témoignent de la surveillance permanente des activités des entreprises qui suivent ces démarches de certification, via des audits périodiques »

Illustrons ce propos avec le cas de figure d’AZmed:

Nous avons mis en place un système de management de la qualité conformément à la norme ISO 13485 qui s’applique au domaine des dispositifs médicaux. L’obtention de la certification de cette norme volontaire, témoigne de notre engagement sur le long terme à surveiller le niveau de sécurité qu’incombe notre dispositif sur tous les aspects relatifs à son utilisation.

Comme le mentionne Alexandre Santos, c’est grâce aux systèmes d’audits externalisés, réalisés par des organismes notifiés, que nous questionnons continuellement notre capacité à répondre aux besoins des établissements de santé et assurons la maîtrise des risques relatifs à notre patrimoine informationnel. C’est grâce à notre démarche qualité que nous disposons également d’un système de traçabilité constitué d’outils documentaires simples et adaptés à nos tâches quotidiennes, qui facilite l’apport de preuves concrètes de notre niveau se sécurité aux établissements qui les sollicitent.

Le « Privacy By design »

C’est un concept qui consiste à garantir la protection des données dès les premières phases de conception des applications technologiques. L’objectif est d’intégrer et d’activer par défaut les mesures de sécurité afin d’assurer un niveau de protection implicite et automatique dans le dispositif. C’est pour cela que chez AZmed, nous avons choisi de mobiliser le DSI de manière précoce dans notre projet afin d’implémenter des mesures de sécurité inhérentes à la conception du logiciel, qui répondent au mieux au besoin de protection des données des patients. Ainsi notre dispositif est conçu de manière à ne conserver aucunes données personnelles traitées, ce qui réduit fortement le risque de diffusion des données traitées et contribue à mitiger les risques identifiés par le DSI lors de son analyse d’impact.

Dans le cadre du partenariat noué entre AZmed et CIMG, Alexandre Santos affirme : « L’analyse de risque que nous avons menée dans le cadre du contrat de partenariat avec AZmed a été concluante et rassurante puisqu’ils anonymisent les données (privacy by design). De plus, leur dispositif se connecte au réseau du centre CIMG via un VPN, privatisant donc les données. Cette garantie nous a permis de réduire le niveau de risque de protection de données qui incombe au contrat de partenariat avec AZmed».

Le « Virtual Private Network (VPN) »

Le VPN, réseau privé virtuel est un tunnel de sécurité qui sécurise la connexion d’un appareil au réseau internet. Prenons à nouveau l’exemple du dispositif conçu par AZmed : il reçoit les images et renvoie la prédiction au PACS via ce canal de communication qui chiffre automatiquement les données échangées et assure ainsi leur confidentialité durant toute la période ou le dispositif est en production dans l’établissement de santé. De cette manière, aucune autre personne extérieure à l’organisation n’a accès ou peut utiliser les données traitées.

“les DSI doivent participer activement à la procédure de validation du contrat avant qu’il soit signé.”

Pour résumer, retenons que les DSI sont indispensables pour mener à bien les projets de traitement des données. En totale immersion dans l’univers du numérique et pleinement conscient des problématiques de sécurité de l’information et de protection des données, ils sont les leaders du changement numérique qui opère au sein des établissement de santé.

« Aujourd’hui, il est de notre devoir d’avoir un droit de regard sur les projets informatiques. De la même manière que j’ai été impliqué à la demande d’AZmed dans le processus de décision en amont de leur contrat de partenariat, les DSI doivent participer activement à la procédure de validation du contrat avant qu’il soit signé. Le plus tôt dans le projet l’analyse d’impact est réalisée, le plus tôt les potentiels risques relatifs à la protection des données et à la sécurité du systèmes d’informations sont décelés et le plus efficaces seront les mesures de sécurité » conclut Alexandre Santos

Conclusion

Nous évoluons dans un monde numérique, un monde de données. Ces données sont au cœur du fonctionnement des intelligences artificielles. Ces technologies ne sont plus à l’état de recherche, mais sont utilisées par les médecins dans leurs pratiques quotidiennes.

Le manque de transparence de ces technologies leur vaut d’être qualifié de « boite noire », et s’accompagne de nombreuses craintes concernant leur fiabilité en termes de sécurisation des données.

Voilà pourquoi il est d’intérêt général que nous nous saisissions collectivement de cette question. En commençant par considérer que toute personne impliquée dans cette transition numérique est un acteur clé de la protection des données de santé. Les startups spécialisées en IA ont donc toutes les cartes en main pour mener à bien leur collaboration avec les établissements de santé dans le respect des lois et de la vie privée des patients. Résumons les bonnes pratiques :

  • Le consentement du patient est un prérequis indispensable au traitement des données personnelles : Obtenir le consentement des patients est le point de départ de tout projet n’ayant pas recours au processus d’anonymisation préalable
  • Connaître ses droits et ses limites d’intervention : Cela concerne les patients, les établissements de santé et les entreprises développant les logiciels d’intelligence artificielle. Il incombe aux deux derniers de désigner un responsable réglementaire et technique qui surveille en permanence l’évolution des textes légaux et réglementaires qui leur sont applicables, afin de développer des mesures de protection conformes à ces textes.
  • Questionner la protection des données de santé dès les phases de décision : Pour que cette pratique soit efficace, une réflexion pluridisciplinaire faisant appel au DSI et au DPO en tant que décideurs stratégiques, en amont de tout projet est primordiale pour anticiper les risques sur toutes les étapes de traitement des données de santé.
  • Renforcer le système de sécurité tant que possible: En plus des méthodes techniques de sécurisation directes des données (anonymisation, cybersécurité etc..), consolider le système en ayant recours à des solutions organisationnelles telles que la mise en place et la certification de systèmes de management est une stratégie valorisante. Les certifications sont le reflet d’une politique forte en matière de gestion des risques et d’une surveillance périodique de l’organisation. Elles bénéficient aux entreprises sur le long terme et contribuent à rassurer davantage les partenaires.
  • Développer une culture de sécurité de l’information : Comme le décrit un des principes de management, la sensibilisation, l’implication et la responsabilisation de tous les membres de l’entreprise sont des démarches préventives majeures à la sécurisation du système de l’information.

Les innovations technologiques ne sont disruptives que lorsque nous sommes mal préparés. Pour accueillir ces innovations sans bouleverser les habitudes des médecins, les démarches entreprises en termes de protection des données représentent donc des prérequis essentiels, avant d’envisager toute collaboration avec des établissement de santé.

Patricia Massako

Ajouter une alternative

Responsable qualité et des affaires réglementaires chez AZmed. Issue d’un parcours scientifique (Sciences biologiques) et spécialisée dans les certifications de systèmes de management. Diplômée du Master 1 et 2 en Qualité, Sécurité et Environnement de l’université Gustave Eiffel — Champs-sur-marne.

“Je suis convaincue que les défis quotidiens et le dynamisme de l’intelligence artificielle sont compatibles avec la rigueur des textes réglementaires et normatifs. J’aspire à transformer ces derniers en alliés essentiels, pour tirer le meilleur de nos atouts

Références

[1] Guide pratique de sensibilisation au RGPD — Pour petite et moyennes entreprises : https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement

[2] Règlement Général sur la Protection des Données (RGPD) : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

[3] IA : comment protéger les données personnelles ? : https://www.mutualite.fr/actualites/ia-comment-proteger-les-donnees-personnelles/

[4] Loi informatique et des libertés: https://donnees-rgpd.fr/loi-informatique-libertes/

[5] Rapport de synthèse: France Intelligence Artificielle : https://www.vie-publique.fr/sites/default/files/rapport/pdf/174000247.pdf

[6] Demain : intelligence artificielle et santé, les données au service du patient : https://www.bpifrance.fr/A-la-une/Actualites/Demain-Intelligence-Artificielle-et-sante-les-donnees-au-service-du-patient-46430

--

--

Patricia Massako
AZmed

Written by Patricia Massako

1 Follower
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams