Trois. C’est le nombre de phrases qu’il faut pour légiférer sur l’IA en santé. A se demander pourquoi les instances consultatives, les parlementaires et les universitaires ont consacré des centaines de pages aux algorithmes. Si le projet de loi bioéthique dit tirer les conclusions des recommandations du CCNE, du Conseil d’Etat, de la CNIL et du rapport Villani, on en semble bien loin.
Le nouvel article L4001-3 doit s’inscrire dans la 4ème partie du Code de la Santé Publique dédiée aux « Professions de santé ». Le choix est curieux, lorsque l’on sait que l’objectif gouvernemental est d’éviter que l’IA ne s’érige en praticien. Il devient étrange, lorsque l’on sait que la 5ème partie est dédiée aux « Produits de santé ». Si cette partie contient les bien connus médicaments et dispositifs médicaux, elle régit également d’autres produits, comme les « logiciels qui ne sont pas des dispositifs médicaux et qui sont utilisés par les laboratoires de biologie médicale, pour la gestion des examens de biologie »[1]. Inscrire l’IA à la partie 5 du Code n’aurait donc pas forcément impliqué de la qualifier de dispositif médical. Le choix semble même empreint de frilosité, après lecture de l’avis du CCNE recommandant de créer un « principe fondamental d’une garantie humaine du numérique en santé ». Avouons-le, si l’objectif était de garantir les droits des malades, le texte n’avait-il pas sa place dans le tout premier chapitre du Code, relatif aux « Droits de la personne » ? Ou, un chapitre plus loin, aux côtés de ce texte garantissant au patient le droit de prendre les décisions le concernant, en concertation avec le professionnel de santé[2] ? Le projet de loi précise pourtant qu’un autre objectif est « de garantir qu’in fine la meilleure décision a pu être prise ou que l’acte le plus approprié a pu être mis en œuvre »…
Sous prétexte de ne pas remettre en cause cette libre décision, le II de l’article vise à interdire l’apparition de dispositifs médicaux reposant sur une IA autonome. Le Gouvernement n’a pas craint de se fonder ici sur le RGPD, en évoquant « le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé ». Mais le RGPD n’interdit pas les traitements automatisés. Il offre un droit aux personnes, celui de leur préférer la relation humaine. L’interdiction n’apparaît-elle pas comme une solution de facilité, permettant de contourner la problématique de cette « décision individuelle automatisée » (DIA) ? Le Conseil d’Etat avait demandé au Gouvernement de traiter ce point. En vain. L’interdiction ne serait-elle pas due au fait que la DIA ne peut se baser sur des données de santé, qu’avec le consentement exprès de la personne ? Consentement que le Gouvernement a refusé au CCNE, au motif que le recueillir serait difficilement praticable, eu égard à la diffusion rapide de l’IA dans de nombreux secteurs de la pratique médicale. Industriels et start-up, innovez ! Mais gardez à l’esprit que si vos résultats sont trop délicats à encadrer, il est plus simple de les interdire…
Dans la lignée des interrogations du Conseil d’Etat sur l’automatisme, on regrettera que le Gouvernement, qui fait état du caractère parfois inexplicable des décisions de l’IA, n’ait pas fait le lien avec l’article L311-3-1 du Code des Relations entre le Public et l’Administration qui impose à toute administration prenant une décision individuelle sur le fondement d’un traitement algorithmique de communiquer les règles et principales caractéristiques de sa mise en œuvre. Les hôpitaux assujettis à ce principe se verront-ils ainsi interdire le deep learning, faute de pouvoir en expliquer les résultats ? la compétitivité du secteur public en souffrirait.
Un autre sujet, totalement inabordé : la responsabilité en cas de dommage. Alors que la revue JAMA vient de publier un article revenant sur la responsabilité du médecin utilisateur, l’article 11 du projet de loi se borne à exiger « la traçabilité des actions d’un traitement (…) des données ayant été utilisées par celui-ci (…) et [des] informations qui en résultent ». La preuve sera effectivement essentielle. Notons ici que la question n’est pas totalement tranchée, le texte ne permettant pas de comprendre s’il faut garder les données concernant le patient introduites par le professionnel, les données du paramétrage et/ou les données ayant servi à « éduquer » l’algorithme. Ces dernières, comme le note le Gouvernement, sont importantes, sur le plan probatoire, puisqu’elles conditionnent la réponse. Autre point marquant, la terminologie utilisée par le Gouvernement. Celui-ci vise une utilisation « pour des actes à visée préventive, diagnostique ou thérapeutique » là où le droit médical encadre depuis 2002 la responsabilité « des conséquences dommageables d’actes de prévention, de diagnostic ou de soins qu’en cas de faute »[3]. Ne pas reprendre la terminologie existante, c’est accepter l’hypothèse d’une divergence jurisprudentielle. Et l’adjectif « thérapeutique », là où le législateur du 4 mars 2002 avait visé les soins, ne fait qu’encourager cette divergence.
Des milliers d’articles, des dizaines de rapports, mais seulement trois phrases dans le Code de la Santé Publique. Soit les experts sont hors sol, soit le premier dommage consécutif lié à l’IA va générer une jurisprudence abondante ou une loi réactionnelle, un Médiator 2.0.
[1] Art. L5311-1 CSP
[2] Art. L1111-4 CSP
[3] Art. L1142-1, I CSP.