L’invité de l’Anfh
« La formation des professionnels utilisant des systèmes d’IA est une priorité. »

Le recours à des systèmes d’IA aura des impacts sur le monde du travail, au sein de la FPH comme partout ailleurs.

Entretien avec Marie-Laure Denis, conseillère d’État, présidente de la CNIL (Commission nationale de l’informatique et des libertés)

Quel regard la CNIL porte-t-elle sur le déploiement et l’utilisation de systèmes d’IA dans le domaine de la santé ?

Le déploiement et l’utilisation de l’intelligence artificielle représentent une opportunité majeure pour répondre aux défis de notre système de santé. Les applications sont nombreuses et leurs intérêts sont indiscutables : optimisation des pratiques professionnelles et de l’organisation des établissements, amélioration de la sécurité des produits et des soins, amélioration du parcours patient, soutien à la surveillance épidémiologique. Au-delà des promesses, il s’agit déjà d’une réalité dans l’univers de la recherche et le quotidien de certains services, notamment l’imagerie médicale et l’anatomopathologie.

Toutefois, le recours aux technologies d’IA est également porteur de forts enjeux humains, sociaux et environnementaux. Pour y répondre correctement, il est plus que jamais nécessaire d’adopter une approche pluridisciplinaire impliquant chercheurs, soignants, décideurs et usagers, cela afin de déterminer ensemble le cadre nécessaire au développement de systèmes d’IA responsables, sûrs et éthiques.

Il est essentiel de garder à l’esprit que l’entraînement et le fonctionnement de ces outils conduisent à l’utilisation de nombreuses données personnelles, ce qui doit faire l’objet d’une attention particulière de la part des responsables des organisations les utilisant. Dans cet objectif, il est indispensable de mettre en œuvre une gouvernance claire et efficiente associant le délégué à la protection des données (DPO) afin d’apprécier la conformité des systèmes proposés et de formuler des recommandations pour leur mise en place.

Dans ce contexte d’arrivée rapide et massive des IA, quels enjeux et défis se posent pour les établissements de la FPH ?

Tout d’abord, l’arrivée rapide et massive de l’intelligence artificielle dans les établissements de santé constitue un enjeu en termes de transparence et de loyauté. Concernant les patients, il est nécessaire de les informer afin de démythifier le fonctionnement et l’usage de ces technologies, de leur expliquer leur rôle réel dans leur prise en charge et de les sensibiliser aux bonnes pratiques liées à l’utilisation de ces systèmes. Les professionnels doivent être en mesure de comprendre le fonctionnement des algorithmes afin d’utiliser ces outils de manière éclairée, en complément de leur expertise métier.

Ensuite, le recours aux systèmes d’IA renouvelle le défi en matière de cybersécurité. L’actualité quotidienne le montre : les établissements de santé sont des cibles privilégiées des attaques informatiques. Il est impératif que l’utilisation de systèmes d’IA, qui sont dans la majorité des cas fournis par des prestataires, ne compromette pas les mesures de sécurité mises en œuvre pour garantir la confidentialité des données.

Enfin, ces systèmes sont soumis à des réglementations européennes et nationales fixant des exigences juridiques et techniques qui supposent de la part des établissements de se doter des expertises adéquates pour garantir leur sécurité juridique. Définir et mettre en œuvre les mesures et les procédures permettant d’assurer un respect efficace du cadre légal représente un défi nécessitant d’impliquer les prestataires, notamment pour qu’ils fournissent des outils conformes.

Quel type d’accompagnement la CNIL peut-elle offrir sur ces sujets ?

L’intelligence artificielle en santé n’est pas un sujet nouveau pour la CNIL. Depuis plusieurs années, elle a déployé une stratégie d’accompagnement poussée qui se traduit par :  

  • La production de « droit souple » (référentiels, lignes directrices, recommandations), qui précise l’application de la réglementation à des cas d’usage et apporte de la sécurité juridique. La CNIL a ainsi publié une recommandation relative au dossier patient informatisé (DPI) qui est mise en consultation jusqu’à mi‑mai 2025 ;

  • Une procédure de « demande de conseils », qui permet de répondre aux interrogations des sociétés développant des systèmes d’intelligence artificielle ainsi qu’aux organismes qui les utilisent, dont les établissements de santé ;

  • Des outils de formation innovants, à travers son cours en ligne (MOOC RGPD) ou des webinaires ;  

  • Un « bac à sable » thématique annuel : en 2021, la CNIL a, par exemple, accompagné un projet du CHU de Lille et d’Inria visant à mettre en œuvre des technologies d’apprentissage fédérées appliquées aux études cliniques ; 

  • Une offre d’accompagnement renforcé, qui permet de conseiller durant plusieurs mois des entreprises proposant notamment des outils innovants. Pour l’édition 2024, la CNIL a accompagné la société DOCAPOSTE qui développe une solution d’IA générative visant à produire des synthèses médicales ; 

  • Un accompagnement « surmesure » pour certains projets identifiés comme stratégiques. C’est grâce aux cas d’usage qui lui sont présentés que la CNIL est en mesure de formuler des recommandations pratiques contribuant à l’émergence d’une innovation respectueuse des droits et libertés des personnes.

Quels peuvent être les impacts de l’IA sur l’évolution des métiers de la FPH ? Existe-t-il un risque de déperdition de compétences pour les agents ?

Le recours à des systèmes d’IA aura des impacts sur le monde du travail, au sein de la FPH comme partout ailleurs. De nouveaux métiers vont être créés et des métiers existants évolueront en conséquence.

Il est toutefois important de relativiser l’impact des technologies d’IA. Elles ne se substitueront pas aux agents publics mais permettront plutôt de les accompagner dans leurs tâches quotidiennes et leur donneront la possibilité d’optimiser leurs pratiques.

Par exemple, l’automatisation de certaines tâches administratives répétitives doit permettre aux agents de se concentrer sur des tâches à plus forte valeur ajoutée et nécessitant une expertise humaine ou de consacrer plus de temps à la relation avec les usagers du système de santé : les patients.

Quelle importance revêt la formation professionnelle et la sensibilisation à l’IA ? Quels besoins identifiez-vous comme prioritaires dans ce domaine ?

La formation des professionnels utilisant des systèmes d’IA est une priorité afin que les changements liés à ces technologies soient bien appréhendés. Ce besoin de formation est plus large et couvre les usages numériques de manière générale. Les pouvoirs publics y portent une attention particulière, comme l’illustrent les différentes feuilles de route du ministère de la Santé sur le sujet.

En ce qui concerne l’IA, le besoin de formation porte sur des aspects génériques à l’intelligence artificielle (de quoi s’agit-il ? Comment cela fonctionne-t-il ? Quels sont les enjeux éthiques et réglementaires ?) et des aspects spécifiques liés à l’utilisation d’un système (comment interpréter les résultats d’aide à la décision ? Quelles sont les limites de ce système ? Comment le résultat a‑t‑il été obtenu ?).

La formation devra également prendre en compte les spécificités du secteur de la santé. Il sera nécessaire qu’elle aborde les sujets de la transparence et l’explicabilité (comment informer les patients ? Comment leur expliquer l’impact de ce système sur leur prise en charge ?) ainsi que l’éthique et la déontologie (comment préserver mon indépendance professionnelle dans l’analyse et la prise de décision ?).

Les données de santé étant particulièrement sensibles, comment concilier innovation et protection des données ?

De par leur sensibilité, les données de santé font l’objet d’une protection particulière par le règlement général sur la protection des données (RGPD) ainsi que par la législation nationale (loi « informatique et libertés » et code de la santé publique). La CNIL est toutefois pleinement convaincue qu’innovation et protection des données ne sont pas opposées. Au contraire, la prise en compte de la protection des droits et libertés dès la conception est un vecteur de confiance pour la société, qui est essentiel à l’adoption de ces technologies. Depuis son entrée en application, le RGPD a démontré à plusieurs reprises sa compatibilité avec l’émergence de technologies innovantes.

La CNIL s’est ainsi inscrite dans une logique d’écoute des besoins des acteurs afin de simplifier leurs formalités administratives. Elle a organisé en 2024 une consultation publique pour faire le bilan de ses référentiels santé et identifier les besoins de modification attendus par les acteurs. Le programme de travail établi en conséquence sera bientôt rendu public.

Par ailleurs, la CNIL développe le dialogue avec les autres autorités compétentes afin d’apporter aux acteurs une réponse transversale à leurs interrogations. Une initiative a ainsi été menée en 2024 par la Direction générale de la santé (DGS), la Direction générale de l’offre de soins (DGOS), l’Agence nationale du médicament (ANSM) et la CNIL pour accompagner une vingtaine de promoteurs dans la conception de leurs projets de recherches en matière d’essais cliniques décentralisés1.

  1. www.cnil.fr/fr/essais-cliniques-decentralises-lancement- dune-phase-pilote-par-la-dgs-la-dgos-lansm-et-la-cnil

Quel regard portez-vous sur l’AI Act, le règlement européen sur l’IA ?

Le règlement relatif à l’intelligence artificielle (RIA en français) est ambitieux. Il s’agit de la première législation générale au monde sur l’intelligence artificielle. Il vise à encadrer le développement, la mise sur le marché et l’utilisation de systèmes d’IA qui peuvent présenter des risques pour la santé, la sécurité ou les droits fondamentaux.

Les interrogations concernant son application sont nombreuses et la CNIL a déjà manifesté son intention d’apporter des premières clarifications du cadre réglementaire. Cela se matérialise par la création d’un service dédié à l’intelligence artificielle, la publication de fiches pratiques destinées à encadrer le développement des systèmes d’IA ainsi que l’inscription de cette thématique dans son plan stratégique 2025/2028.

En effet, même si leur champ d’application est différent, le RIA s’intéressant aux systèmes d’IA et le RGPD à l’exploitation des données personnelles, ces réglementations sont complémentaires et de nombreuses synergies existent entre elles. Clarifier l’application des exigences du RGPD à ces nouvelles technologies en prenant en compte les apports du RIA permettra de faire émerger en Europe des systèmes d’IA de confiance, efficaces et dont le développement et l’utilisation seront respectueux des droits et libertés des personnes.