Vous devez être connecté pour accèder à cette archive.

Se connecter
X
X
S'abonner au magazine
Prestations & Services > Conseil
Dossiers > Réglementation

Digitalisation de la santé : regards croisés IA et cyber

Publié le 18 février 2025 par Patrick RENARD
Des cyberattaques peuvent intervenir dans les phases d’entraînement et d’inférence du modèle d’IA.
Crédit photo : Who is Danny - stock.adobe.com

Les fabricants de DM utilisant l'intelligence artificielle doivent intégrer les exigences de l'AI Act dans leurs processus de conformité. Mais il leur faut aussi redoubler de vigilance en matière de risques cyber inhérents aux systèmes d’IA. Explications de PwC France...

Joanna Papadamaki (crédit photo : PwC)

Par Joanna Papadamaki, Consultante senior e-santé chez PwC France

Face aux défis du secteur sanitaire, les outils numériques en santé, notamment l’intelligence artificielle (IA), ont connu un développement considérable. Cet essor, qui contribue à la digitalisation de la santé, doit cependant respecter des règles strictes. Les fournisseurs de dispositifs médicaux (DM) doivent se conformer à plusieurs réglementations, telles que le RGPD1, le RDM2 et le RDIV3. À ce cadre réglementaire déjà complexe s’ajoute désormais le Règlement européen sur l’IA4.

L’IA en santé : optimiser ses avantages tout en gérant les risques

L’IA est intégrée dans un nombre croissant de DM au profit d'une plus grande précision des diagnostics, de la personnalisation des traitements, ou encore d'une surveillance plus efficace des patients.

Le sujet de cet article a fait l'objet d’une table ronde organisée par PwC en partenariat avec Medicalps, qui s’est tenue le 26 novembre 2024 à Medytec.

Au-delà de ces éléments très prometteurs, il est nécessaire de mesurer les enjeux juridiques soulevés par l’utilisation de l’IA et de prendre en compte les considérations éthiques. Si, pendant un temps, l’utilisation de l’IA était régulée par un cadre peu normatif comportant notamment des bonnes pratiques et des recommandations, elle commence à être appréhendée dans un cadre juridique dont l’incarnation principale est le Règlement européen sur l’IA.

L’Artificial Intelligence Act (AI Act)

Proposée en 2021 par la Commission européenne et publiée en juillet dernier, l'AI Act est la première réglementation mondiale sur l’IA. Non spécifique au secteur de la santé, elle procède à une classification des systèmes d’IA en fonction des risques pour la sécurité et les droits fondamentaux. Les systèmes à risque limité sont soumis à certaines recommandations tandis que ceux à haut risque sont soumis à un ensemble d’exigences. Parmi celles-ci figurent :

  • la mise en place d’un système de gestion des risques,
  • l’introduction d’un contrôle humain,
  • l’établissement d’une documentation technique,
  • l’utilisation de données d’entraînement de haute qualité.

Un système de santé est considéré comme une IA à haut risque lorsqu’il est destiné à être utilisé comme composant de sécurité d’un DM ou constitue lui-même un DM, et lorsqu'il est soumis à une évaluation de la conformité par un tiers avant sa mise sur le marché.

PwC : conseil et audit avec expertise numérique

Le cabinet PwC France accompagne les entreprises dans leur transformation numérique et leur développement durable. Dans ce cadre, il offre des services de conseil, d’audit, et d’expertise juridique et fiscale. Il aide les organisations à devenir plus performantes, notamment grâce à l’intelligence artificielle et au cloud.

Pour le secteur de la santé, PwC France épaule les sociétés dans leurs ambitions dans l'Hexagone ou à l’international pour leur permettre de franchir un cap dans leur développement. Il propose dans ce contexte un accompagnement complet pour les acteurs de la santé – en particulier les fabricants de dispositifs médicaux : opérations de marché/financement ; risques et contrôle interne (dont SOC1, SOC2) ; data et cybersécurité ; stratégie et deals (market access et réglementaire) ; conseil juridique et fiscal.

Fortes de plus de 300 collaborateurs, les équipes pluridisciplinaires de PwC France conjuguent leur savoir-faire au sein d’un réseau international de 149 pays.

Si la date générale d’application de l'AI Act est fixée au 2 août 2026, il sera applicable aux DM à haut risque à partir du 2 août 2027. Ceci dit, les DM à haut risque mis sur le marché avant le 2 août 2026 peuvent être concernés par l'AI Act s'ils font l’objet d’importantes modifications de leur conception après cette date.

Des risques cyber associés à l'IA

Les risques cyber inhérents aux systèmes d’IA n’échappent pas au législateur européen, qui introduit des exigences de robustesse et de sécurité. Les solutions d’IA appliquées à la santé reposent sur l’utilisation de données sensibles. Ces données personnelles, constituant une cible de cyberattaque, doivent être sécurisées afin de limiter le risque de fuite. En effet, le secteur de la santé fait partie des secteurs les plus touchés par les cyberattaques, avec les établissements de soins comme cibles principales5.

Les fabricants de DM peuvent être exposés à ces risques cyber, notamment pendant les phases d’entraînement et d’inférence du modèle d’IA. Plus précisément, durant l’entraînement, un risque propre à l’IA est l’empoisonnement des données, pouvant biaiser le modèle entraîné. Une étude récente6 montre que même une quantité infime de 0,001 % de fausses informations dans les données d’apprentissage est suffisante pour empoisonner un modèle de langage (LLM) médical et propager des erreurs médicales actuellement indétectables par les tests de référence. Quant à la phase d’inférence, il existe un risque de reconstruction de données personnelles par inversion du modèle, permettant à un attaquant de reconstituer une partie des données d’entraînement.

Pour les fabricants de DM, il est ainsi essentiel de mettre en place des mesures de sécurité pour protéger leurs données et éviter les pertes financières importantes liées à ces types d’attaques.

Pour conclure, les fabricants de DM intégrant de l'IA - en cours de développement ou, le cas échéant, déjà mis sur le marché – doivent prendre connaissance des obligations introduites par l'AI Act et les intégrer dans leurs processus de conformité.

En anticipant ces exigences, ils peuvent non seulement éviter des retards coûteux dans la mise sur le marché de leurs produits, mais aussi renforcer la confiance des utilisateurs et des régulateurs dans la fiabilité et la sécurité de leurs dispositifs médicaux.

--------------------------------------------------

1 Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

2 Règlement (UE) 2017/745 relatif aux dispositifs médicaux

3 Règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro

4 Règlement (UE) 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle

5 ANSSI, Secteur de la santé – Etat de menace informatique, 2024

6 "Medical large language models are vulnerable to data-poisoning attacks", Nature, 8 janvier 2025.

www.pwc.fr

Partagez cet article sur les réseaux sociaux ou par email :
Mots-clés :
AI
Artificial Intelligent Act
cyber-attaque
cyber-sécurité
digitalisation
e-santé
IA
intelligence artificielle
PWC
santé numérique

A lire aussi

Optimiser le traitement du plastique recyclé avec les canaux chauds Système d'alimentation flexible pour petites pièces Le bureau d'études belge Covartim s'implante en Nouvelle-Aquitaine