Skip to main content

Article

TENDANCES ÉMERGENTES

8 Décembre, 2023

Les préoccupations en matière de protection de la vie privée dans le secteur des sciences de la vie sont influencées par la nature hautement sensible des données concernées. Le traitement de ces données est soumis à un régime strict. Dans le cas du règlement général européen sur la protection des données (RGPD), le traitement est interdit à moins qu’il ne relève de l’une des exceptions énumérées à l’article 9. Le RGPD souligne les risques significatifs pour les droits et libertés fondamentaux des individus, y compris la possibilité de discrimination, pour justifier cette approche. Dans ce contexte, il semble essentiel que les entreprises se tiennent au courant des évolutions technologiques et réglementaires afin de garantir le respect des exigences en matière de protection des données.

La numérisation et le développement de l’IA à un rythme rapide dans le secteur des sciences de la vie

La pandémie de COVID-19 a accéléré la transition de la recherche clinique vers un modèle plus décentralisé. Pour s’adapter aux circonstances exceptionnelles découlant de l’urgence sanitaire, de nombreux pays ont autorisé la surveillance à distance dans les essais cliniques. En outre, l’utilisation d’applications mobiles, d’appareils portables et de tous types de dispositifs facilitant la surveillance à distance des patients et la collecte de données est très répandue. Bien que très prometteur, cet environnement numérique et interconnecté accroît les défis à relever en termes de sécurité et de garantie des droits fondamentaux des personnes concernées en matière de protection des données et de la vie privée, tels qu’ils sont énoncés dans la Charte des droits fondamentaux de l’Union européenne (UE).

Nous vivons actuellement une ère de croissance de l’intelligence artificielle. Les secteurs de la médecine et des soins de santé seraient ceux qui investissent le plus dans l’IA, atteignant 6,1 milliards de dollars au niveau mondial en 2022. L’IA est déjà utilisée comme outil de prévention, de diagnostic et de pronostic (notamment en radiologie) et de médecine personnalisée.

L’impact de l’IA sur le secteur des sciences de la vie

L’impact de l’IA sur la découverte et le développement de médicaments devrait également s’accroître, ce qui permettra de réduire les coûts et d’améliorer les résultats. La Food and Drug Administration (FDA) des États-Unis a récemment délivré la première désignation de médicament orphelin découvert et développé grâce à l’IA générative, qui fait actuellement l’objet d’un essai de phase II. L’utilisation de l’IA s’étend à toutes les opérations liées à la recherche clinique, y compris la recherche et la conception de l’étude, la sélection du site, l’identification et le recrutement des patients, ainsi que la collecte et l’analyse des données cliniques.

D’autre part, l’utilisation de l’IA peut créer des tensions avec les principes de protection des données tels que :

Minimisation des données : les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités spécifiques pour lesquelles elles sont traitées. Ce principe peut entrer en conflit avec l’essence même des technologies de l’IA, qui nécessitent normalement l’accès à de vastes ensembles de données.

Limitation des finalités : avant de collecter des données, la finalité du traitement doit être clairement définie. Les technologies de l’IA permettent de réutiliser les données à des fins différentes de celles déterminées au moment de la collecte. Il est alors nécessaire de déterminer si ces nouvelles finalités sont compatibles avec les finalités initiales.

Transparence : des informations sur le traitement des données à caractère personnel doivent être fournies aux personnes concernées lors de l’utilisation d’outils numériques, de plateformes en ligne ou de technologies basées sur l’IA. Il est difficile d’établir le niveau d’information à fournir aux personnes concernées, car le fonctionnement des technologies d’IA peut être difficile à comprendre et à expliquer (la nature “boîte noire” de l’IA, c’est-à-dire que les entrées et les opérations du système sont invisibles pour l’utilisateur). En outre, la culture numérique des personnes concernées peut varier, et nous devrons peut-être trouver un équilibre pour respecter le principe de transparence sans accroître la réticence des personnes concernées à partager leurs données.

Il est donc essentiel de veiller au respect des réglementations en matière de protection des données tout au long du cycle de vie du système d’IA. Cela sera nécessaire pour éviter les préjugés et la discrimination, ainsi que pour permettre aux personnes concernées d’exercer leurs droits et de garder le contrôle sur leurs données. En outre, les entreprises doivent garder à l’esprit que l’utilisation de la technologie de l’IA entraînera souvent des risques élevés pour les droits des personnes concernées, ce qui déclenchera la réalisation obligatoire d’une analyse d’impact sur la protection des données.

Les technologies numériques et l’IA créent un paysage règlementaire complexe

Plusieurs instruments réglementaires devraient avoir une incidence sur la protection de la vie privée à l’ère de l’IA et de la numérisation du secteur des sciences de la vie. En outre, la vaste étendue géographique des essais cliniques et les lois nationales sur la protection des données et de la vie privée ajoutent de la complexité à la mosaïque réglementaire.

Loi sur l’IA

L’UE a proposé ce qui constituerait la première réglementation sur l’IA : la loi sur l’IA. L’objectif de cette loi est de garantir que le développement de technologies innovantes basées sur l’IA puisse se poursuivre tout en protégeant les droits des personnes. Dans le cadre de la législation proposée, les risques des technologies d’IA sont classés de minimes à inacceptables. Il est important de noter que les systèmes d’IA dans le domaine des soins de santé peuvent être classés comme présentant un risque élevé et seraient strictement réglementés. Pour le développement et l’évaluation des systèmes d’IA à haut risque, les acteurs doivent avoir accès à des ensembles de données de haute qualité et les utiliser. En outre, les risques que l’IA pourrait faire peser sur la vie privée des individus doivent être pris au sérieux, car l’IA peut révéler des informations personnelles sur un individu. Le RGPD est donc l’un des piliers de la législation sur l’IA. Ils visent à fournir un accès fiable, responsable et non discriminatoire à des données de haute qualité pour la formation, la validation et le test des systèmes d’IA, tout en protégeant la vie privée des individus. La proposition fait actuellement l’objet de réunions du trilogue et devrait être approuvée dans les prochains mois. Entre-temps, le Conseil européen de la protection des données suit de près l’évolution des négociations, afin d’assurer la compatibilité avec le RGPD.

Loi sur la gouvernance des données

En outre, l’UE a proposé la loi sur la gouvernance des données, qui est récemment entrée en vigueur. Cette loi vise à renforcer la confiance dans le partage des données, à optimiser les mécanismes de mise à disposition des données et à surmonter les obstacles techniques au partage des données.

Dans le secteur des soins de santé, le partage des données est important :

  • Au sein des hôpitaux et entre les hôpitaux : pour améliorer la qualité des soins médicaux, pour prescrire des traitements optimaux, en tenant compte des autres problèmes de santé de la personne.
  • Pour la médecine fondée sur des données probantes : pour prendre des décisions sur les soins à apporter à chaque patient. Cela implique des données collectées à partir d’essais cliniques et de la métanalyse de leurs résultats, mais aussi à partir d’études observationnelles et épidémiologiques.
  • Dans le secteur universitaire et pharmaceutique : développer de nouveaux médicaments et trouver des traitements pour les maladies rares.

Espace européen des données de santé (EHDS)

Les modes de partage des données personnelles sont façonnés par les progrès des technologies numériques. L’Espace européen des données de santé (“EHDS”) est censé être la réponse au problème technique posé par la grande quantité de données requises dans le domaine des soins de santé, y compris la recherche clinique, les hôpitaux ou les pharmacies. Toutefois, l’interaction avec le RGPD peut entraîner certaines frictions et incertitudes qui doivent encore être résolues. L’EHDS vise à permettre aux individus d’exercer un contrôle sur leurs données de santé et à mettre en place une voie sécurisée d’accès aux données pour les soins de santé et pour des utilisations secondaires dans les hôpitaux et pour la recherche clinique.

Le paysage réglementaire américain

Alors que nous attendons l’approbation de la loi américaine sur la protection et la confidentialité des données (ADPPA), plusieurs États américains travaillent à l’élaboration de leurs propres lois sur la protection de la vie privée. De nouvelles lois sont entrées en vigueur cette année (California Privacy Rights Act (modifiant la CCPA), Colorado Privacy Act, Connecticut Personal Data Privacy and Online Monitoring Act, et Virginia Consumer Data Protection Act), tandis que d’autres devraient être approuvées ou entrer en vigueur à court terme. En outre, certains États ont adopté une approche sectorielle, l’exemple le plus significatif étant la loi “My Health My Data Act” de Washington. Il convient également de noter le rôle prépondérant joué par la FTC en ce qui concerne les données de santé. En outre, la FTC a commencé à appliquer la règle de notification des atteintes à la santé, qui s’applique aux entités non couvertes par la loi sur la protection des renseignements personnels. En outre, l’amendement récemment proposé à cette règle précise que de nombreuses applications de santé entrent dans son champ d’application.

Dans le secteur des soins de santé, le partage des données est important :

  • Au sein des hôpitaux et entre eux : améliorer la qualité des soins médicaux, prescrire des traitements optimaux, en tenant compte des autres problèmes de santé de l’individu.
  • Pour la médecine fondée sur des données probantes : pour prendre des décisions concernant les soins prodigués à des patients individuels. Cela implique des données collectées à partir d’essais cliniques et de la métanalyse de leurs résultats, mais aussi à partir d’études d’observation et d’études épidémiologiques.
  • Dans le secteur universitaire et pharmaceutique : développer de nouveaux médicaments et trouver des traitements pour les maladies rares.

Garantir la sécurité des données et respecter la vie privée des personnes est plus important que jamais

Le secteur des soins de santé, et les hôpitaux en particulier, sont la principale cible des cyberattaques. C’est le cas de l’attaque par ransomware dont a été victime l’Hospital Clinic de Barcelone au début de l’année. À la suite de cet incident, des milliers de rendez-vous ont dû être reprogrammés car il était impossible d’utiliser les systèmes ou d’accéder aux dossiers cliniques, et des données très sensibles concernant les patients et le personnel ont été divulguées sur le deep web.

Ces types d’attaques entraînent souvent une interruption des opérations, des amendes réglementaires et une atteinte à la réputation. Selon le dernier rapport d’IBM sur les violations de données, ces violations sont plus coûteuses dans le secteur de la santé que dans tout autre secteur, atteignant en moyenne 10,93 millions de dollars en 2023.

En conclusion, si les nouvelles technologies offrent de nombreuses opportunités au secteur des sciences de la vie, les risques associés aux personnes concernées ne sont pas moins importants. Dans un écosystème complexe avec de nombreux acteurs impliqués, une numérisation et une connectivité accrues, et une escalade des menaces de sécurité, il est crucial pour les entreprises de mettre en œuvre une politique de protection des données qui assure la conformité avec l’environnement réglementaire complexe et changeant.

 

Noelia Fernández Freire

Data Protection Lawyer

Tatiana Revenco

PhD, Personal Development Lead, DPO certified

Helen Chen

Data Protection Manager

We are supporting our clients in all topics related Data Protection & Privacy. If you are interested, feel free to reach out to our team for support.

Contactez-nous