IA et données de santé : quels garde-fous ?

La collecte massive des données de santé, leur traitement algorithmique, leur partage croisé entre acteurs publics et privés, leur transfert au-delà des frontières de l’Union européenne soulèvent des interrogations majeures. À qui appartiennent-elles réellement ? Quelles garanties le patient a-t-il de disposer d’une information claire, complète et accessible sur l’utilisation de ses données ? Que deviennent les flux de données issus de solutions d’IA intégrées dans la pratique clinique, parfois sans que le patient en ait conscience ? Quelle place le droit occupe-t-il dans cet écosystème évoluant rapidement, et plus encore : est-il encore en mesure d’en contenir les dérives ?
Les prestataires de soins se retrouvent en première ligne, à la fois utilisateurs, prescripteurs et parfois développeurs de solutions d’IA. Ils doivent composer avec des outils majoritairement conçus par des acteurs privés, souvent extraeuropéens, et répondre à des exigences juridiques complexes dans un environnement technique qu’ils ne maîtrisent pas toujours. L’enjeu est autant éthique que juridique : préserver la confiance du patient, garantir la loyauté du soin, mais aussi assurer la souveraineté numérique des systèmes de santé européens.

Le RGPD, socle de protection des données de santé

Le Règlement général sur la protection des données (RGPD)¹ constitue le socle européen de la protection des données à caractère personnel, qualifiant explicitement les données de santé comme sensibles et bénéficiant de garanties renforcées ². Dans un contexte de soins, il cohabite avec d’autres sources de droit, notamment les règles relatives au secret médical. Le professionnel de santé, souvent désigné comme responsable de traitement, seul ou conjointement avec son établissement, doit mettre en œuvre une série d’obligations : limitation des finalités, minimisation des données, information des personnes, sécurité des traitements, gestion des incidents, documentation de la conformité, etc.
L’introduction de l’IA dans les parcours de soins complexifie cette responsabilité. Les traitements deviennent moins lisibles, moins maîtrisables³. Cela soulève la question suivante : les données dites « inférées » par l’algorithme à partir de données brutes (comme des profils de risque ou des prédictions de diagnostics) sont-elles soumises au RGPD ? Et surtout, qui est responsable : l’éditeur, l’établissement, le professionnel ?
Anonymisation vs pseudonymisation. Le RGPD distingue deux notions clés : les données anonymisées (qui échappent au champ d’application du Règlement) et les données pseudonymisées (qui restent considérées comme des données personnelles). Les données ne sont considérées comme véritablement anonymes que si la réidentification est « raisonnablement impossible », même en recoupant avec d’autres sources. Toutefois, en santé, garantir une anonymisation irréversible est extrêmement difficile. Les données de santé sont souvent hautement corrélées (âge, pathologie rare, lieu de traitement) et peuvent être croisées avec d’autres bases (génétiques, comportementales, administratives). De nombreuses études ont démontré que quelques attributs suffisent parfois à réidentifier un individu⁴.
La pseudonymisation en revanche n’offre qu’une protection relative. Les données restent personnelles et soumises au RGPD ⁵. Les professionnels de santé, souvent peu formés à ces distinctions techniques, s’en remettent aux éditeurs de solutions d’IA, or une qualification erronée peut avoir des conséquences lourdes en cas de fuite ou d’utilisation secondaire non conforme.
Dans ce cadre, travailler avec des données synthétiques, générées artificiellement à partir de données réelles, constitue une solution intéressante. Elles visent à reproduire les caractéristiques statistiques d’un jeu de données sans identifier directement une personne réelle ⁶. Leurs défenseurs affirment que, dans certaines conditions spécifiques, les données synthétiques pourraient être classées comme des données anonymes, échappant ainsi au champ d’application du RGPD⁷. Cependant cette technique comporte des risques de réidentification, qui varient selon le niveau d’utilité nécessaire pour la recherche ou l’usage prévu. Même si ce risque est souvent faible, il ne peut jamais être totalement exclu, notamment en raison de possibles attaques par inférence ou recoupements avec d’autres données. Par conséquent, il est recommandé de rester prudent et de traiter ces données souvent comme des données personnelles, avec les protections associées, tout en mettant en place des mesures techniques pour limiter ces risques.
Cette distinction entre anonymisation et pseudonymisation nécessite une vigilance accrue : en santé, le label « anonymisé » ou « pseudonymisé » ne garantit pas une sécurité absolue. Il est dès lors essentiel que les prestataires de soins ne se contentent pas de faire confiance aux affirmations des fournisseurs, mais qu’ils maîtrisent pleinement les notions et qu’ils exigent des vérifications rigoureuses.
Décisions automatisées et transparence. L’art. 22 du RGPD interdit, sauf exception, les décisions individuelles fondées exclusivement sur un traitement automatisé, y compris le profilage, lorsqu’elles produisent des effets juridiques ou significatifs. Cela concerne notamment certains dispositifs d’IA médicale, tels que les outils de triage d’urgence, les systèmes de prédiction de récidive ou l’ajustement automatique des traitements. Dans ces cas, le patient doit être informé de l’existence d’une décision automatisée, mais aussi disposer du droit d’intervenir, de contester cette décision et d’obtenir une explication. L’opacité des algorithmes, notamment en machine learning (l’apprentissage automatique), rend cependant difficile l’application de ces garanties⁸.

AI Act : vers un encadrement spécifique

Le nouveau Règlement AI Act⁹ complète le RGPD en encadrant spécifiquement les systèmes d’IA considérés comme « à haut risque », dont ceux à usage médical. Ainsi, ces systèmes d’IA ¹⁰ doivent satisfaire à des exigences strictes avant leur commercialisation. La responsabilité juridique reste néanmoins complexe entre praticiens, fournisseurs et régulations, notamment en cas de préjudice. Les fournisseurs d’IA sont les principaux redevables de ces obligations. Mais les professionnels de santé, en tant qu’utilisateurs finaux, ont aussi des responsabilités : s’assurer que les outils sont certifiés (marquage CE), comprendre leur fonctionnement, en expliquer l’usage au patient, et pouvoir intervenir ou contester leurs recommandations.
En cas de préjudice causé par un système d’IA défectueux, les victimes peuvent engager des actions civiles, appuyées notamment par la directive européenne sur la responsabilité du fait des produits ¹¹. La responsabilité du praticien dépendra quant à elle du degré de contrôle sur la décision, de la qualité de l’outil utilisé, ainsi que des règles déontologiques applicables.
L’AI Act interagit également avec le règlement sur les dispositifs médicaux¹² ainsi qu’avec le nouveau Règlement sur l’Espace européen des données de santé (EHDS), entré en vigueur en mars 2025¹³, qui vise à faciliter la réutilisation des données de santé à des fins de recherche tout en renforçant les droits des individus.

Une indépendance à construire

La majorité des solutions d’intelligence artificielle utilisées dans les établissements de santé sont fournies par des entreprises américaines. Les GAFAM, via leur large offre de services cloud et leurs outils de transcription médicale automatique, captent une part importante des flux de données de santé et créent de facto une forte dépendance vis-à-vis des États-Unis. De plus, les lois américaines, notamment le Cloud Act¹⁴, permettent aux autorités d’accéder à ces données, même lorsqu’elles sont hébergées en Europe. Par ailleurs, les États-Unis ne disposent pas d’un cadre juridique global et uniforme équivalent au RGPD en matière de protection des données personnelles ¹⁵.
Les prestataires de soins se retrouvent fréquemment démunis, faute de ressources juridiques adéquates et d’alternatives techniques suffisamment développées. Dès lors, faut-il chercher à rattraper notre retard technologique ou au contraire imposer davantage de contrôles et de garde-fous pour protéger nos données et nos citoyens ? La réponse déterminera notre capacité à construire une véritable souveraineté numérique capable de concilier innovation et protection des droits fondamentaux.

Enjeux éthiques et organisationnels

La collecte massive de données, la montée en puissance de l’IA et la complexité croissante des systèmes numériques posent aussi des questions d’ordre éthique et organisationnel. Le lien de confiance entre le soignant et le patient repose sur la confidentialité, la transparence, la capacité à expliquer les choix thérapeutiques. Cependant, l’IA, lorsqu’elle est mal intégrée, peut fragiliser ces fondements. Les biais algorithmiques, la déshumanisation de la relation de soin, le consentement mal éclairé, ou encore l’utilisation secondaire des données sans réelle maîtrise sont autant de dérives possibles. Les professionnels de santé, souvent peu formés au numérique, doivent être accompagnés. L’intégration responsable de l’IA suppose une gouvernance renforcée, une culture de la donnée et des moyens humains adaptés.
L’intelligence artificielle fait désormais partie intégrante des pratiques médicales, réorganisant les modes de décision, les responsabilités et les relations entre soignants, patients et technologies. Face à cette transformation rapide, le cadre juridique européen, bien que dense et structurant, ne suffit pas, à lui seul, à garantir un usage respectueux des droits fondamentaux.
Il ne suffit plus de cocher les cases d’une conformité formelle. Il faut construire, au sein des établissements de santé, une véritable culture de la protection des données. Cela suppose de former les professionnels, d’investir dans des solutions numériques si possible européennes, d’exiger davantage de transparence des fournisseurs de technologies, et d’impliquer les patients dans les choix qui les concernent.
Car au-delà des textes, ce sont des garde-fous concrets, durables et partagés qu’il faut mettre en place : des garde-fous juridiques, éthiques et organisationnels sans lesquels l’IA en santé risque de devenir un facteur de rupture, là où elle devrait être un levier de progrès. Souveraineté numérique, éthique du soin et respect des droits des personnes doivent rester les piliers de cette transition. C’est à cette condition que l’intelligence artificielle pourra véritablement servir la médecine et non s’y substituer.

Dans le contexte de l’IA appliquée à la santé, la mise en place de garde-fous concrets n’est pas une option, mais une nécessité. Cinq règles peuvent orienter cette vigilance :

• Considérer le contrat avec le fournisseur comme un véritable outil de protection, en y intégrant des clauses précises sur la localisation des données, en privilégiant si possible une solution d’hébergement en Europe et en prévoyant la possibilité d’audits externes.
• Exiger des preuves concernant les techniques d’anonymisation ou de pseudonymisation, afin d’assurer une réelle minimisation des données.
• Informer clairement le patient de l’utilisation de l’intelligence artificielle, de son rôle ainsi que de ses limites.
• Ne jamais se fier entièrement à une décision automatisée, en conservant toujours un pouvoir de validation ou de correction humaine.
• Surveiller sur le long terme la performance et l’éthique de l’outil, former les équipes et prévoir une réaction rapide en cas d’incidenta.

Ces actions, accessibles même sans expertise technique approfondie, permettent de dépasser une simple conformité formelle pour atteindre une meilleure maîtrise des risques, tout en préservant la confiance essentielle à la relation de soin.

1. Règlement (EU) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), OJ L 119, 4.5.2016.
2. RGPD, art. 9.
3. Sur le statut incertain des données inférées, v. S. Wachter et B. Mittelstadt, “A Right to Reasonable Inferences? Re-Thinking Data Protection Law in the Age of Big Data and AI”, Columbia Business Law Review, 2019(2) ; Groupe de travail « Article 29 », Avis 4/2007 sur le concept de données à caractère personnel, WP 136, 20 juin 2007.
4. L. Sweeney, “Simple Demographics Often Identify People Uniquely. Carnegie Mellon University”, Data Privacy Working Paper 3, 2000, https://dataprivacylab.org.
5. RGPD, Cons. 26 ; Groupe de travail « Article 29 », Avis 05/2014 sur les techniques d’anonymisation, WP 216, 10 avril 2014.
6. A. Beduschi, “Synthetic data protection: Towards a paradigm change in data regulation?”, Big Data & Society, 2024.
7. M. Finck et al., “They who Must Not Be Identified-Distinguishing Personal from Non-Personal Data Under the GDPR”, SSRN, 2019.
8. Y. Poullet, « L’intelligence artificielle dans le secteur des soins de santé face au législateur européen », Ethica Clinica n° 113, 2024.
9. Autorité belge de protection des données, « Les systèmes d’intelligence artificielle et le RGPD sous l’angle de la protection des données », www.autoriteprotection donnees.be
10. Les systèmes à haut risque sont définis à l’art. 6 du Règlement IA Act et dans l’Annexe III de ce même Règlement, https://artificialintelligenceact.eu.
11. Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux, https://eur-lex.europa.eu.
12. Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, et abrogeant la directive 90/385/CEE et la directive 93/42/CEE.
13. (UE) 2025/327 du Parlement européen et du Conseil du 11 février 2025 relatif à l’espace européen des données de santé et modifiant la directive 2011/24/UE et le règlement (UE) 2024/2847.
14. Cloud Act, Pub.L. 115-141, 132 Stat. 376 (2018), entré en vigueur le 23 mars 2018.
15. EDPB, EU-U.S. Data Privacy Framework F.A.Q. for European Businesses, 16 juillet 2024, www.edpb.europa.eu.