Nous avons souhaité recueillir pour ce dossier l'avis d'un juriste expert dans les questions liées à l'intelligence artificielle en santé. Me Luysterborg décrit ici les implications de la nouvelle loi européenne sur l'IA pour les dispositifs médicaux et les principales difficultés qu'elle soulève pour les fabricants.

Erik Luysterborg (crédit photo : Erik Luysterborg)

Par Me Erik Luysterborg, Associé en charge du département Data Privacy & Digital Trust au sein du Cabinet Deloitte AG 

La loi européenne sur l'IA (« loi IA ») est entrée en vigueur le 1er août 2024 sous la forme d'un règlement européen 2024/1689 directement applicable. En tant que tel, il partage le même statut juridique que, par exemple, le règlement de l'UE sur les dispositifs médicaux (RDM) et le règlement général de l'UE sur la protection des données (RGPD).

La loi IA crée un cadre juridique uniforme et horizontalement efficace, en particulier pour le développement, la commercialisation et l'utilisation de l'intelligence artificielle en toute confiance. Les périodes de transition pour les organisations varient en fonction des types d'IA, avec une première échéance le 2 février 2025 (systèmes d'IA interdits et formation à l'IA), tandis que des obligations spécifiques s'appliqueront aux modèles d'IA à usage général à partir du 2 août 2025. La majorité des obligations prévues par la loi IA (p. ex. systèmes à haut risque) entreront en vigueur le 2 août 2026 et les autres le 2 août 2027.

Champs d'application et définition

La loi IA s'applique aux fournisseurs (c'est-à-dire aux « fabricants ») qui mettent des systèmes d'IA sur le marché de l'UE, aux utilisateurs (déploiements, importateurs, distributeurs, etc.) au sein de l'UE, ainsi qu'aux fournisseurs/utilisateurs non-européens si les résultats de leurs systèmes d'IA sont utilisés dans l'UE. Chaque catégorie a ses propres exigences. Cette portée extraterritoriale est similaire à celle du RGPD.

Elle prévoit une définition large de l'IA : « un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie, qui peut s'adapter après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ». En tant que telles, l’« autonomie » et la capacité d'« inférence » sont les attributs clés qui distinguent un système d'IA de tout autre logiciel.

Un classement à haut risque pour la plupart des DM intégrant de l'IA

Les systèmes d'IA sont ensuite classés en fonction du niveau de risque qu'ils présentent, de l'inacceptable (p. ex. manipulation de groupes vulnérables) et du risque élevé au risque limité et minimal. Les applications à risque limité sont soumises à des obligations de transparence (par exemple, les chatbots) et les systèmes d'IA à risque minimal échappent largement à la réglementation (par exemple, les jeux vidéo). La loi IA définit spécifiquement la plupart des dispositifs médicaux basés sur l'IA comme étant « à haut risque », ce qui se traduit par des obligations de conformité strictes, telles que des systèmes de gestion de la qualité, une gestion et une gouvernance des données solides, la sécurité, la documentation des choix techniques et éthiques, des obligations de transparence et de surveillance humaine, ainsi que la mise en place de systèmes de signalement des incidents graves et un contrôle permanent.

Pour les fabricants de dispositifs médicaux basés sur l'IA, cela signifie qu'ils doivent naviguer dans un paysage réglementaire complexe où les exigences spécifiques à la loi IA recoupent souvent les réglementations relatives aux dispositifs médicaux (par exemple, UE MDR) et à la protection des données (RGPD) et sont parfois incompatibles avec elles.

Quatre défis majeurs pour les fabricants de dispositifs médicaux

Décrire la liste complète des exigences légales spécifiques énoncées dans la loi IA nous emmènerait trop loin. Il est sans doute plus opportun ici de donner une vue basée sur le risque de certains des principaux défis de conformité qu'un FDM devra relever afin de se conformer à ces exigences. On peut distinguer quatre grands défis :

1 - Evaluer les recoupements entre les différents référentiels

Les fabricants de dispositifs médicaux (FDM) devront tout d'abord acquérir une vue d'ensemble claire des intersections entre les exigences réglementaires, notamment et a minima celles du RDM, du RGPD et de la loi IA. Bien qu'il y ait des recoupements avec les exigences du RDM et du RGPD qui peuvent être utiles pour la conformité à la loi IA (par exemple l'évaluation des risques, la gestion de la qualité, la documentation technique, le suivi post-commercialisation, la transparence, la responsabilité, etc.), il y a encore un manque de clarté et de cohérence de ces obligations.

Même si, à long terme, ces incohérences seront corrigées, à court terme, ces charges supplémentaires liées à la conformité, combinées à la pénurie actuelle de ressources qualifiées, à l'augmentation de la charge de travail et des coûts au sein des FDM, nécessiteront des efforts et une attention considérables (en particulier pour les PME). En résumé, les principaux défis qui se recoupent sont liés à la responsabilité, à la transparence, à l'identification des finalités, à la surveillance humaine, à la non-discrimination et à l'équité, à l'exactitude, à la robustesse technique et à la cybersécurité.

2 - Adopter une approche holistique et uniforme de la gestion des données

La loi IA s'intéresse plus à l'impact des systèmes d'IA qu'au code complexe qui les sous-tend. Ainsi, elle cherche davantage à mettre en évidence qui utilise quelles données, dans quel but et comment elles sont protégées et surveillées. Cela nécessite une approche holistique et uniforme de la gestion des données de base et des processus de gouvernance (par exemple la suppression des données, la classification des données, etc.)

Aujourd'hui, les FDM ont souvent une approche très divergente des systèmes de gestion de la qualité, des pratiques de gouvernance des données, etc. dans les différentes unités opérationnelles. Afin de déployer tout le potentiel de l'IA dans les dispositifs médicaux, vous devez d'abord mettre de l'ordre dans vos pratiques de gestion des données, car elles constituent les fondements d'une analyse fiable des données.

3 - Harmoniser la gouvernance

La mise en œuvre réussie de la loi IA nécessitera des efforts combinés et efficaces de la part d'un large éventail de parties prenantes au sein de structures de gouvernance souvent cloisonnées et décentralisées. Cela présente des risques potentiels, car même si le FDM est prêt à se conformer à ses exigences, il peut y avoir d'importants problèmes de conformité dus à un manque de capacité, à des niveaux de maturité ou de gouvernance différents, à des approches de gestion des risques dans différentes unités commerciales. La nécessité d'une approche holistique avant, pendant et après la phase de développement et de mise sur le marché sera cruciale.

4 - Mettre en place une gouvernance flexible

Le rythme dynamique de l'innovation en matière d'IA pourrait souffrir d'une approche statique de la gouvernance. Une telle innovation nécessite un cadre de gouvernance souple, agile et adaptatif, capable d'accueillir les nouvelles avancées, technologies, méthodologies et défis de l'IA qui n'ont pas encore vu le jour. Pour ce faire, il faudra intégrer davantage de connaissances technologiques (IA) dans les fonctions de contrôle existantes. Cela sera particulièrement important dans les situations où des dispositifs médicaux réglementés sont combinés à des modèles d'IA à usage général développés par un tiers. Par exemple, un dispositif médical d'IA qui utilise l'apprentissage automatique classique pour analyser des images médicales afin de diagnostiquer un état pathologique pourrait être complété par une IA générale distincte, telle qu'un modèle de langage étendu (LLM), afin d'améliorer le « raisonnement » de l'IA médicale en amont, ainsi que d'étendre ses capacités de sortie (par exemple, fournir les résultats du diagnostic en langage naturel). Le LLM a commencé comme une IA générale (c'est-à-dire une IA avec une utilisation générale prévue), mais il est maintenant un sous-système d'IA au sein d'un système médical global ou d'un produit dont l'utilisation prévue est un diagnostic médical. Les responsables de conformité et autres fonctions de contrôle devront être en mesure de repérer de telles « transformations ».

Quelques remarques en conclusion

La loi de l’UE sur l'IA appliquée aux dispositifs médicaux repose sur une approche globale fondée sur les risques. La confiance des patients, un facteur essentiel dans le secteur de santé, peut être renforcée en répondant aux préoccupations éthiques et en garantissant la conformité aux réglementations, ce qui favorise la transparence dans la mise en œuvre des technologies de l'IA.

L'un des avantages les plus prometteurs de l'IA dans le domaine des dispositifs médicaux est qu'elle peut réduire de manière significative le temps que les médecins consacrent aux fonctions administratives. Paradoxalement, pour atteindre cet objectif, il faudra d'abord que les fabricants de dispositifs médicaux consacrent plus de temps à la mise en conformité avec les différentes exigences légales et de conformité en matière d'IA. Ceci ne nécessitera pas une « révolution » mais plutôt une « évolution constante et profonde » en termes de gestion et de gouvernance de données qui doit commencer dès maintenant.

www.deloitte.com