IA ACT : Protection des droits et intelligence artificielle

IA ACT : Présentation générale et transectorielle

‍

L'intelligence artificielle (IA) est un ensemble de technologies en constante évolution, apportant de nombreux avantages économiques, environnementaux et sociaux à divers secteurs.

‍

Toutefois, selon les contextes d'application, d'utilisation et le degré de développement technologique, l'IA peut engendrer des risques et menacer les intérêts publics, ou les droits fondamentaux garantis par le droit de l'Union Européenne.

‍

Afin d’encadrer les développements de l’IA, l’Union Européenne adopte son premier texte contraignant : Règlement UE 2024/1689  établissant des règles harmonisées concernant l’intelligence artificielle (IA Act).

‍

Ce texte a été définitivement adopté par le Parlement européen et le Conseil le 13 juin 2024, puis publié au Journal officiel de l'Union européenne le 12 juillet 2024. Son entrée en vigueur varie en fonction des dispositions concernées, s'étalant entre un et trois ans.

‍

Avant l’introduction de ce règlement, de nombreuses de déclarations sur l’éthique portant l’Intelligence Artificielle ont été adoptées. Mais avec l’évolution de la technologie, l’Union Européenne modifie son approche, elle abandonne sa stratégie de soft law, et met en place un règlement contraignant, fondé sur une approche par les risques.

‍

Cette approche par les risques articule toutes les dispositions du règlement. Tout d’abord, l’IA Act interdit certaines pratiques dont la liste est arrêtée à l’article 5. De plus, étant donné l'évolution rapide des technologies, la Commission Européenne sera tenue de procéder chaque année à une évaluation de la nécessité de réviser la liste des pratiques prohibées, afin de prévenir le risque d'obsolescence programmée des outils numériques, compte tenu de la vitesse de développement de l'intelligence artificielle.

‍

En effet, le système d’IA ne peut avoir pour effet ou objet la manipulation des comportements, la notation sociale, l’identification biométriques ou la catégorisation des individus. La mise en place de ces pratiques est sanctionnée par une amende administrative, ou par des sanctions non monétaires prévues par les États Membres.

‍

Ensuite, le règlement mentionne l'existence d'une intelligence artificielle à haut risque, dont le système peut avoir des répercussions sur la sécurité ou les droits fondamentaux des individus. Ce système peut être intégré à un produit ou être associé à un domaine particulier. Enfin, le règlement évoque l'intelligence artificielle à usage général, désignant ainsi un système pouvant être intégré à tout produit.

‍

L'instauration de bacs à sable réglementaires pour l'intelligence artificielle illustre la volonté de l'Union européenne d'adopter une approche qui recherche un équilibre entre l’objectif de ne pas paralyser l’innovation, tout en essayant de limiter la survenue des risques pour les personnes concernées.

‍

Ainsi, ces bacs à sable créent un environnement contrôlé d’expérimentation et d’essai au stade du développement et de la pré-commercialisation, permettant la réutilisation de données personnelles, y compris de données sensibles, facilitant ainsi le développement de systèmes revêtant un intérêt public majeur, tels que l'amélioration du système de santé.

‍

L'un des enjeux majeurs du règlement réside dans la prise en compte du rôle et de la multiplicité des acteurs intervenant dans la chaîne de responsabilité. Une distinction importante est faite entre d’une part les opérateurs directs et d’autres les opérateurs indirects.

‍

1 – Opérateurs directs

‍

Tout d'abord, en ce qui concerne les opérateurs directs, le fournisseur assume la plus grande part de responsabilité.

‍

Le fournisseur développe l’IA et le met sur le marché, dès lors que l’IA est mis sur le marché, il peut être responsable. Phase essentielle de prévention de la survenue des risques au travers d’une procédure de certification qui va se cumuler à d’autres démarches en fonction des caractéristiques du produit concerné en particulier dans le domaine de la santé.

‍

Le déployeur est une personne physique ou morale utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel. Le distributeur est une personne physique ou morale faisant partie de la chaîne d’approvisionnement, il met un système d’IA à disposition sur le marché de l’Union, il pourrait être responsable de cette intégration.

‍

2 – Opérateurs indirects

‍

L’importateur est une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers, il peut être responsable si le système d’IA est à haut risque ou présente des risques systémiques.

‍

Le mandataire a reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement, il devra faire en sorte que le système d’IA soit conforme aux exigences.

‍

En pratique, ce texte sur l’IA act est une parfaite illustration de la Déclaration de l’UE pour la décennie numérique sur les valeurs en matière numérique dont on peut se réjouir en tant que citoyen. Il n’en reste pas moins que les industriels devront une fois encore tenir compte de cette nouvelle strate réglementaire. Le domaine de la santé offre à cet égard un exemple topique de ce phénomène de stratification légistique.

IA ACT : Application spécifique au domaine de la santé pour un fournisseur de DMN

‍

1 – Les différentes législations à respecter par le fournisseur DMN

‍

L’utilisation de l’IA dans le domaine de la santé remplit un objectif précis :  le partage et l’ouverture des données de santé pour la recherche.

‍

Cet objectif contribue à l’amélioration de la santé de tous. L’ouverture des données de santé va permettre d’accélérer et sécuriser l’accès aux données de santé, en toute transparence, notamment au profit des outils numériques intégrant des systèmes d’intelligence artificielle.

‍

L’intelligence artificielle est très prometteuse, elle peut nous aider à relever certains défis rencontrés dans le domaine de la santé, tels que la création de jeux de données médicales synthétiques ou la simulation de scénarios médicaux.

‍

Cependant, conformément au règlement général sur la protection des données (RGPD, Règlement (UE) 2016/679), les données de santé sont classées comme des données sensibles.

‍

Pour ce motif, leur traitement est en principe prohibé, sauf à pouvoir justifier d’être dans l’une des 10 exceptions prévues par l’article 9 du RGPD et le cas échéant dans le respect des formalités préalables à accomplir par le responsable de traitement.

‍

Les systèmes d'intelligence artificielle opérant dans le secteur de la santé seront généralement classés comme des IA à haut risque. Cela inclut, par exemple, les systèmes d'IA conçus pour contribuer au diagnostic ou à la prévention de certaines maladies.

‍

Ces systèmes ne peuvent être mis sur le marché de l’Union que s’ils satisfont certaines exigences qui garantissent qu’ils ne présentent pas de risques inacceptables pour les intérêts publics de l’Union tels qu’ils sont reconnus et protégés par le droit.

‍

Tout d’abord, dans le cadre d’une procédure de certification auprès d’un organisme certifié, le fournisseur doit satisfaire aux exigences de transparence, de documentation et de sécurité imposées par le règlement, il doit mettre en place un système de gestion des risques et une gouvernance des données (méthodes de collecte, vérification de l’adéquation, maitrise des biais, pseudonymisation…).

‍

Le respect de ces exigences se manifeste par l'attribution d'un marquage CE attestant de la conformité du produit.

‍

Une attention particulière mérite d’être accordée à l’articulation des diverses réglementations européennes imposant des obligations variées aux dispositifs médicaux numériques en vue de leur mise sur le marché. Lorsqu'un fournisseur souhaite commercialiser un dispositif médical numérique intégré au dossier patient, il doit se conformer aux exigences du droit de l'Union européenne.

‍

Cela inclut le respect des principes du RGPD concernant le traitement des données personnelles, notamment la licéité, la transparence et la limitation des finalités.

‍

Le fournisseur doit également procéder à une évaluation de son dispositif par un organisme national compétent, tel que l’AFNOR Certification en France, pour obtenir un marquage CE attestant de la conformité aux exigences de sécurité et de santé. En cas d'intégration du dispositif au dossier patient, le règlement EHDS de 2024 impose une déclaration UE de conformité, vérifiant l'interopérabilité et la portabilité du système.

‍

Si le dispositif utilise une intelligence artificielle classée à haut risque, une certification marquage CE est obligatoire afin d’attester du respect des exigences posées par le règlement  concernant la gestion des risques et la transparence.

‍

A noter que, selon les règlements MDR et IA Act, un seul marquage CE peut suffire si le système d’IA à haut risque est soumis à d’autres législations de l’UE. Une note d'orientation par le bureau de l’intelligence artificielle et le groupe de coordination des règlements sur les dispositifs médicaux (MDR) et de diagnostic in vitro (IVDR) sera élaborée d'ici 2025 pour clarifier les liens entre ces règlements.

‍

Pour peu que le fournisseur souhaite pénétrer le marché français, il devra également veiller au respect des exigences franco-françaises relatives à la télésurveillance.

‍

En effet, selon les articles R6316-1 et suivants du Code de la Santé Publique, le professionnel de santé qui a recours à une activité de télésurveillance doit  réaliser son acte dans les conditions prévues par la loi (authentification des professionnels de santé intervenant dans l'acte ou encore identification du patient.)

‍

Le professionnel de santé doit également inscrire dans le dossier du patient et, le cas échéant, dans le dossier médical partagé son identité,  un compte rendu de la réalisation de l'acte de télésurveillance, les actes et les prescriptions effectués dans le cadre de l'acte de télémédecine ou de l'activité de télésoin.

‍

La prise en charge par l’Assurance Maladie s’effectuera uniquement en cas réunion des conditions prévues par le code de la sécurité sociale, et en cas de respect des conditions posées le Référentiel d’Interopérabilité et de Sécurité des dispositifs médicaux numériques de télésurveillance du 25 juillet 2022.

‍

2 – Responsabilité

‍

Il convient de souligner qu'avec l'émergence de l'intelligence artificielle, les dommages qu'elle pourrait engendrer sont susceptibles de se multiplier, entraînant ainsi une augmentation des demandes de réparation fondées sur le principe de responsabilité.

‍

Cependant, le droit national pourrait entraver la mise en œuvre effective des demandes en réparation, notamment en raison de la difficulté de prouver le préjudice subi par la victime, ou en raison des causes d'exonération prévues par le Code civil, telles que l'état des connaissances scientifiques et techniques au moment de la mise en circulation du produit.

‍

Par conséquent, des directives vont être adoptées la suite du règlement IA. Dans un premier temps, l’Union Européenne va adopter une directive sur la responsabilité extracontractuelle spécifique à l’IA, l’objectif est de simplifier les règles probatoires pour les victimes de dommages causés par une IA.

‍

Plus précisément, si la proposition de directive fait toujours peser la charge de la preuve sur la victime, elle entend aménager le régime probatoire par la mise en place de mesures de divulgation de preuves et de présomptions réfragables pour certains types d’IA.

‍

En d’autres termes, une juridiction pourra donc ordonner la divulgation aux victimes des éléments de preuve pertinents concernant des systèmes d’IA à haut risque soupçonnés d’avoir causé leur dommage, à condition que la divulgation soit nécessaire et proportionnée aux besoins de l’action.

‍

Une fois l’injonction délivrée, le destinataire sera tenu de fournir les éléments de preuve requis, sous peine de voir sa responsabilité présumée. Le texte pose aussi une présomption de causalité entre la faute et le dommage allégué, lorsque plusieurs conditions énumérées dans le texte sont remplies.

‍

D’autre part, l’Union Européenne entend adopter une directive pour adapter la responsabilité du fait des produits défectueux. Le demandeur devra établir la preuve du préjudice subi, démontrer que le produit ne garantit pas la sécurité que la victime était en droit d'attendre, ainsi que le lien de causalité entre ces deux éléments. Le texte continue d’établir un régime de responsabilité sans faute.

‍

De plus, la définition de défectuosité intègre de nouveaux critères pour s’adapter à problématiques liées à l’intelligence artificielle. Il sera dès lors évalué si l'opérateur maintient un contrôle sur son produit, et si l’IA a la capacité de poursuivre son apprentissage.

‍

Enfin, la notion de produit, initialement limitée aux seuls biens meubles, est expressément étendue aux logiciels, et donc aux systèmes d’IA défectueux.