IA et données de santé : comment rester conforme au RGPD ?

Dans les hôpitaux et les cliniques, l’IA sauve déjà des vies. Les outils d’intelligence artificielle sont, en effet, capables d’assister les soignants dans leurs décisions thérapeutiques, voire même d’anticiper certaines pathologies. Mais derrière ces algorithmes se cachent des milliers de données sensibles. Si l’IA ouvre la voie à une médecine prédictive et personnalisée, elle soulève aussi de nouveaux défis : fuite d’informations, biais algorithmiques, risques de traitements non autorisés.

Dans ce contexte, le Règlement général sur la protection des données (RGPD) encadre l’usage des données de santé afin de promouvoir une innovation respectueuse des droits fondamentaux des patients. En garantissant la sécurité des traitements, il préserve la relation de confiance entre patients et soignants, indispensable pour légitimer les innovations qui façonneront la médecine de demain.

Au sein du cabinet TLMR Avocats, nous accompagnons des acteurs du secteur de la santé confrontés à ces nouveaux défis. Notre expérience montre que la conformité RGPD est souvent perçue comme un frein à l’innovation, alors qu’elle en est, au contraire, le garde-fou indispensable. Dans cet article, nos avocats en droit du numérique font le point sur les règles à connaître, les risques à anticiper et les bonnes pratiques à adopter pour utiliser l’intelligence artificielle dans le domaine de la santé, en toute conformité avec le cadre légal.

L’essentiel à retenir

• Les données de santé traitées dans le cadre d’une IA restent soumises au RGPD.
• Les hôpitaux et praticiens sont responsables des traitements réalisés pour le suivi patient. Les concepteurs d’IA le deviennent lorsqu’ils réutilisent les données pour entraîner leurs modèles.
• Seules certaines bases légales permettent le traitement des données de santé : consentement explicite, intérêt public ou recherche scientifique.
• Une analyse d’impact, des mesures de sécurité renforcées et un hébergement agréé HDS sont indispensables.
• Aucune décision médicale ne peut être fondée uniquement sur une IA : la supervision humaine reste une obligation légale et éthique.

Qu’est-ce qu’une donnée de santé ?

Avant d’aborder les enjeux soulevés par l’utilisation de l’intelligence artificielle dans le traitement des données médicales, il est essentiel de rappeler ce que recouvre la notion même de donnée de santé au sens du RGPD.

Une définition des données de santé précise et protectrice

Selon le RGPD, il s’agit de l’ensemble des “données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne.”

La CNIL regroupe les données de santé en trois catégories :

• les données de santé par nature ;
• les données de santé par croisement d’informations ;
• les données de santé par destination.

Cette définition est suffisamment large pour inclure :

• les informations données par un patient lors de son inscription à un service de soins ou lié à sa santé ;
• les informations collectées au moment du soin en lui-même ;
• les informations obtenues lors d’un examen médical ;
• les informations obtenues à partir d’un test réalisé sur une substance corporelle, ou à partir de données génétiques ou d’un échantillon biologique ;
• les informations concernant une maladie, un handicap, un risque de maladie ;
• les antécédents médicaux y compris les informations relatives à un traitement clinique ou l’état physiologique ou biomédical du patient.

La CNIL précise que ces données peuvent provenir de n’importe quel professionnel dans le domaine de la santé, d’un établissement hospitalier ou “d’un test de diagnostic in vitro”.

S’ajoutent enfin celles issues des dispositifs et les applications connectés (capteurs, montres, etc.), dès lors que ces outils contribuent à établir un diagnostic ou à évaluer un risque de santé.

En résumé, une donnée est considérée comme une donnée de santé dès lors qu’elle révèle, directement ou indirectement, un état de santé passé, présent ou futur d’une personne. Cette définition est large : à titre d’illustration, le poids d’une personne ou son niveau d’activité physique peuvent donc être considérés comme une donnée de santé.

Le régime juridique renforcé des données de santé

Les données de santé appartiennent aux catégories particulières de données définies à l’article 9 du RGPD. À ce titre, elles bénéficient d’une protection renforcée.

Leur traitement est en principe interdit, sauf si l’une des exceptions prévues par le texte s’applique :

• la personne concernée a donné son consentement explicite ;
• le traitement relève d’un intérêt public dans le domaine de la santé ;
• le traitement est requis à des fins de recherche scientifique ou médicale.

Le RGPD, pilier de la protection des données de santé traitées par l’IA

Dans le domaine médical, l’intelligence artificielle transforme la manière dont les données de santé sont exploitées.

• Les professionnels de santé (hôpitaux, cliniques, praticiens libéraux) utilisent l’IA pour assister un diagnostic, suivre un patient ou optimiser un parcours de soins.
• Les concepteurs d’IA médicales (start-ups, éditeurs de logiciels, laboratoires de recherche) peuvent, de leur côté, réutiliser des données médicales pour entraîner ou améliorer leurs algorithmes.

Qui est responsable du traitement des données de santé utilisées dans une IA ?

Selon le RGPD, le responsable du traitement est celui qui détermine les finalités et les moyens du traitement des données personnelles. Autrement dit, c’est lui qui décide pourquoi les données sont collectées et comment elles sont utilisées.

Lorsqu’un professionnel de santé utilise les données d’un patient dans le cadre d’un outil IA pour obtenir un diagnostic, il est responsable du traitement. Il détermine, en effet, les finalités (ex. : aide à la décision médicale) et les conditions d’utilisation des données (accès, durée de conservation, partage). Le fournisseur de l’outil agit alors comme sous-traitant, chargé de traiter les données pour le compte de l’établissement ou du soignant.

En revanche, quand un entrepreneur IA utilise des données de santé pour entraîner son algorithme, il devient responsable du traitement à part entière pour cette finalité.

Bon à savoir : le Règlement sur l’intelligence artificielle (AI Act) et les données de santé

L’AI Act vient y ajouter une nouvelle couche d’exigences. En raison de leur impact potentiel sur la vie et la santé des personnes, certaines applications d’IA médicale sont désormais qualifiées de systèmes à haut risque. Ce nouveau texte n’efface pas les obligations du RGPD, mais les complète. Il impose aux fournisseurs d’IA de garantir la transparence, la traçabilité et la supervision humaine de leurs outils, tout en reconnaissant la responsabilité partagée des utilisateurs finaux, notamment les professionnels de santé. Sollicitez un avocat en intelligence artificielle pour vous accompagner sur ce sujet.

Dans les deux cas, le principe reste le même. Tout traitement de données de santé à caractère personnel s’inscrit dans le cadre protecteur du RGPD.

Bon à savoir : Anonymisation et pseudonymisation des données de santé

Le RGPD s’applique lorsque les données permettent d’identifier directement ou indirectement les personnes concernées. Certains acteurs sont donc tentés de recourir à l’anonymisation des données pour échapper aux obligations de ce texte. Cette technique rend les données totalement non identifiables et fait sortir le traitement du champ du RGPD. En pratique, les données de santé (images, diagnostics rares, profils génétiques) conservent souvent un fort potentiel de réidentification. L’anonymisation ne doit pas être confondue avec la pseudonymisation qui consiste à remplacer les éléments identifiants directs d’une personne (nom, numéro de patient, date de naissance, etc.) par un code ou un identifiant aléatoire. Une clé de correspondance est conservée séparément, ce qui permet, si nécessaire, de lier les données à la personne concernée. Dans ce cas de figure, le RGPD continue donc de s’appliquer. Cette méthode, très utilisée dans le milieu médical, a le mérite de réduire considérablement les risques liés aux traitements de ces données sensibles. Elle constitue d’ailleurs une bonne pratique recommandée par la CNIL.

Quid de la responsabilité des professionnels de santé quant aux décisions médicales basées sur l’IA ?

Le responsable du traitement (hôpital, start-up, laboratoire, etc.) porte la responsabilité au regard de la législation sur la protection des données. Mais cela n’exonère pas pour autant les autres acteurs de leurs propres obligations de vigilance, d’information et de prudence professionnelle.

En clair, même dans les cas où le professionnel de santé ne serait pas directement responsable du traitement, il reste :

• juridiquement tenu à un devoir d’information et de prudence (code de déontologie médicale, art. R.4127-32 CSP) ;
• éthiquement responsable des décisions qu’il prend ou valide sur la base d’un outil d’IA ;
• pénalement responsable s’il commet une faute (négligence, défaut de surveillance, diagnostic aveugle sur IA).

Par ailleurs, selon l’article 22 du RGPD “toute personne a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, produisant des effets juridiques la concernant ou l’affectant de manière significative.”

Par conséquent, dans le cadre d’un diagnostic, d’une prescription ou d’une orientation thérapeutique, une décision médicale ne peut jamais reposer uniquement sur une IA, sans intervention humaine significative.

Les outils d’intelligence artificielle posent bien d’autres questions. Découvrez notre article sur l’IA et le droit à l’oubli.

Les principes fondamentaux à respecter dans le cadre d’un traitement de données de santé par une IA

L’article 5 du RGPD énonce les grands principes applicables à tout traitement réalisé notamment par un centre hospitalier, une start-up d’e-santé ou un laboratoire de recherche.

Ces principes constituent la base de la conformité :

• Licéité, loyauté et transparence : toute donnée doit être collectée de manière légale et compréhensible pour la personne concernée (patient, professionnel, participant à une étude, etc.).
• Limitation des finalités : les données ne peuvent être utilisées que pour l’objectif initialement prévu (ex. : une donnée utilisée pour un diagnostic ne peut pas servir à des fins commerciales sans nouveau consentement).
• Minimisation des données : seules les informations strictement nécessaires doivent être collectées et traitées.
• Exactitude : les données doivent être tenues à jour afin d’éviter toute erreur de diagnostic ou de traitement.
• Limitation de la conservation : les données ne peuvent être gardées au-delà de la durée nécessaire à la finalité du traitement.
• Intégrité et confidentialité : le responsable du traitement doit garantir la sécurité et la confidentialité des données (accès restreint, chiffrement, hébergement agréé HDS, etc.).

Ces principes s’appliquent intégralement aux systèmes d’intelligence artificielle utilisés dans le secteur de la santé. Le caractère innovant d’un projet ne dispense en aucun cas de respecter ce cadre juridique.

Consultez notre article sur IA et RGDP : ce que la CNIL attend de vous.

Nos conseils pour rester en conformité avec le RGPD dans un projet d’IA en santé

Voici un guide pratique pour vous permettre d’assurer la conformité de vos traitements de données de santé par l’IA.

1. Identifier les traitements concernés

La première étape consiste à cartographier les traitements dont vous êtes responsable (c’est-à-dire pour lesquels vous déterminez les finalités).

Pour cela, vous devez répondre aux questions suivantes :

• Quelles sont les données de santé que je collecte (imagerie, biologie, diagnostic, suivi patient, etc.) ?
• Quels sont la ou les finalités du traitement ?
• Quels sont les acteurs impliqués (responsable du traitement, sous-traitants, hébergeur, prestataires techniques) ?
• Quelle est la durée de conservation des données ?
• Dans quelles conditions les données sont-elles traitées ?

2. Déterminer la base légale des traitements des données de santé par une IA

Toute utilisation de données personnelles doit reposer sur une base légale claire et justifiable.

Dans le secteur de la santé, vous avez le choix entre :

• le consentement explicite du patient : vous avez obtenu son autorisation pour traiter les données qui le concerne dans un cadre bien précis ;
• un motif d’intérêt public (mission hospitalière, recherche médicale, santé publique) ;
• une nécessité pour les soins de santé dispensés à la personne concernée.

Cette base légale doit être formalisée par écrit, expliquée aux patients et vérifiable en cas de contrôle.

3. Réaliser une analyse d’impact (AIPD ou DPIA)

Comme nous l’avons vu précédemment, les traitements de données de santé sont considérés comme sensibles. Une analyse d’impact relative à la protection des données est donc obligatoire avant leur mise en œuvre.

Cette analyse vise :

• à évaluer les risques pour les droits et libertés des personnes concernées ;
• à mesurer les impacts potentiels d’une erreur ou d’une fuite de données ;
• à définir les mesures de sécurité et de gouvernance nécessaires (pseudonymisation, chiffrement, contrôle d’accès, audit).

4. Garantir la sécurité et la confidentialité des données de santé traitées par une IA

Les données de santé doivent être protégées, ce qui implique notamment :

• de recourir à un hébergeur de données de santé agréé (HDS) ;
• de mettre en place des protocoles de chiffrement et d’authentification ;
• de prévoir un contrôle strict des accès internes et externes ;
• d’assurer une traçabilité complète des actions réalisées sur les données.

En cas d’incident ou de violation, le responsable du traitement doit notifier la CNIL dans les 72 heures. Il doit également informer les personnes concernées si le risque est élevé.

5. Encadrer les relations avec les partenaires et les sous-traitants

Le RGPD impose que les collaborations entre les différents acteurs du projet IA soient encadrées par des contrats précisant les obligations de chacun (sécurité, confidentialité, assistance en cas de violation, audits, etc.).

Le responsable du traitement demeure toutefois seul garant de la conformité. Il doit donc s’assurer que ses partenaires respectent eux-mêmes le RGPD.

Retour sur les transferts de données de santé vers les États-Unis

De nombreux outils d’intelligence artificielle médicale sont aujourd’hui développés ou hébergés par des sociétés établies aux États-Unis. Cette réalité technologique pose la question du transfert de données de santé hors de l’Union européenne. Le RGPD encadre strictement ces transferts afin de garantir que les données bénéficient, même à l’étranger, d’un niveau de protection équivalent à celui prévu en Europe. Or, le droit américain est beaucoup moins protecteur notamment en matière des droits des personnes concernées. Par ailleurs, les autorités américaines peuvent, dans certains cas, accéder aux données pour des motifs de sécurité nationale, sans offrir de voies de recours équivalentes à celles du droit européen.

Pour sécuriser ces échanges, l’Union européenne et les États-Unis ont mis en place en 2023 le Data Privacy Framework, successeur du Privacy Shield invalidé par la Cour de justice de l’Union européenne (arrêt Schrems II). Ce mécanisme permet, sous conditions strictes, d’encadrer les transferts de données vers des entreprises américaines certifiées. Toutefois, dans le domaine hautement sensible des données de santé, la prudence reste de mise.

Les responsables de traitement doivent :

• vérifier la certification de leurs prestataires américains au titre du Data Privacy Framework ;
• préférer, lorsque cela est possible, un hébergement au sein de l’Union européenne ;
• et compléter les contrats de sous-traitance par des clauses types de la Commission européenne (SCC) pour garantir un niveau de protection équivalent.

En résumé, si vous avez recours à des solutions d’IA de santé développées ou hébergées aux États-Unis, restez vigilants. La CNIL est particulièrement attentive sur ce point.

6. Former, informer et documenter

La conformité est avant tout une démarche collective et continue qui suppose :

• la formation de vos équipes (médicales, techniques, administratives) aux principes du RGPD ;
• une information claire des patients sur l’utilisation de leurs données ;
• une mise à jour régulièrement de la documentation (politiques internes, registres, procédures de sécurité, analyses d’impact, contrats).

IA et données de santé : quelles sont les sanctions en cas de non-conformité au RGPD ?

Les données de santé figurent parmi les plus sensibles. Leur traitement par des systèmes d’intelligence artificielle accroît les risques : fuites ou piratages, erreurs liées à des biais algorithmiques, ou encore perte de contrôle sur les finalités lorsque les données sont partagées avec des prestataires externes.

Le non-respect du RGPD peut avoir de lourdes conséquences pour votre activité. La CNIL peut infliger jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial, ordonner la suspension d’un traitement ou rendre publique la sanction. Ces dernières années, plusieurs décisions ont visé des acteurs du secteur de la santé, notamment pour hébergement non conforme ou collecte excessive de données médicales sans base légale adaptée.

Au-delà des conséquences financières, c’est surtout la confiance des patients qui est en jeu. L’IA médicale ne peut se développer durablement que si les données sont traitées avec rigueur, transparence et sécurité.

Le RGPD n’a pas été conçu pour freiner l’innovation, mais pour la sécuriser. En encadrant le traitement des données de santé, il protège non seulement les patients mais aussi les professionnels de santé, les laboratoires et les start-ups médicales contre les dérives. Pour le mettre en œuvre efficacement et en maîtriser toutes les subtilités, l’accompagnement d’un avocat compétent en droit du numérique et en IA est indispensable. Le cabinet TLMR Avocats aide les établissements de santé et les entreprises innovantes à traduire les exigences du RGPD en actions concrètes.

Contactez-nous pour faire de la conformité votre meilleur atout d’innovation responsable.

FAQ sur les liens entre IA, données de santé et RGPD

Les données de santé sont-elles toujours considérées comme des données sensibles au sens du RGPD ?

Oui. L’article 9 du RGPD classe les données relatives à la santé parmi les catégories particulières de données. Leur traitement est en principe interdit, sauf exceptions strictement encadrées (consentement explicite, intérêt public en matière de santé, recherche scientifique, etc.).

Le recours à l’intelligence artificielle dans le domaine médical est-il compatible avec le RGPD ?

Oui, à condition que les principes du RGPD soient respectés : licéité, transparence, minimisation, sécurité et limitation des finalités.

Faut-il obtenir le consentement du patient pour utiliser ses données dans un algorithme d’IA ?

Tout dépend de la finalité. Le consentement explicite du patient est nécessaire lorsque le traitement n’entre pas dans une mission d’intérêt public ou une finalité médicale directe. En revanche, les établissements de santé peuvent parfois s’appuyer sur d’autres bases légales (intérêt public, recherche médicale encadrée) pour échapper à cette contrainte. Chaque cas doit être analysé individuellement.

Quelles sont les principales sanctions en cas de non-conformité ?

La CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Elle peut aussi ordonner la suspension d’un traitement ou rendre publique une sanction. Au-delà des risques financiers, une violation de données de santé peut gravement affecter la réputation de l’acteur concerné et la confiance des patients.

Peut-on utiliser une solution d’IA médicale hébergée aux États-Unis ?

Oui, mais avec prudence. Les transferts de données vers les États-Unis sont strictement encadrés. Vous devez notamment vous assurer que le prestataire est certifié au titre du Data Privacy Framework et prévoir des clauses contractuelles types garantissant un niveau de protection équivalent à celui du RGPD.

Comment le cabinet TLMR Avocats peut-il aider à assurer la conformité RGPD d’un projet d’IA médicale ?

Nos avocats sont compétents en droit du numérique, en droit de l’IA et droit informatique, notamment pour assister les professionnels du monde de la santé. Nos avocats accompagnent les établissements de santé, les laboratoires et les start-ups à chaque étape de la mise en conformité : audit des traitements, rédaction de contrats de sous-traitance, analyses d’impact (AIPD), gouvernance RGPD, hébergement de données de santé, transferts internationaux et relations avec la CNIL.