Par Maître Maud Geneste
La rédaction d’un compte rendu médical par un service d’IA (type Chatgpt) est conforme à RGPD et au secret médical, si celui ne comporte aucune information d’identification (ni direct, ni indirect) ?
L’article 4-15 du RGPD définit les données concernant la santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Or, le traitement de données personnelles est interdit par le RGPD, sauf
- obtention du consentement libre et éclairé de la personne
- exceptions à l’obligation de consentement
S'agissant du consentement de la personne, celui-ci doit être :
Libre : il ne doit pas être contraint ni influencé
Spécifique : il doit correspondre à un seul traitement, pour une finalité déterminée
Eclairé : il doit être accompagné d’un certain nombre d’informations communiquées à la personne physique
Univoque : il doit être donné par une déclaration ou tout autre acte positif clair
Attention, ne sont pas considérées comme univoques les cases pré-cochées ou pré-activées, les consentements « groupés », ou encore l’inaction.
Le RGPD prévoit des exceptions à l’obligation de consentement permettant le traitement des données de santé, notamment :
La prévention de la santé publique
La préservation des intérêts vitaux de la personnes physique concernée
L’appréciation médicale
La médecine du travail ou la mise en œuvre du respect du pourcentage légal d’emploi de personnes atteintes d’un handicap
La gestion des systèmes et services de santé ou de la protection sociale
En dehors de ces cas, vous ne pouvez pas traiter des données de santé notamment via un serveur d'IA.
Pour ne plus appartenir à la catégorie des données personnelles (dont le traitement est interdit), il faut que les informations soient totalement anonymisées. Les données anonymisées n’étant plus considérées comme des données personnelles, le RGPD ne s’applique pas. L’anonymisation vous permet de vous affranchir totalement des règles du RGPD. Le RGPD a vocation à protéger uniquement les données personnelles des individus. Dès lors qu’une donnée n’identifie personne, le RGPD n’a rien à protéger.
En conséquence vous êtes totalement libre dans l’utilisation de ces données. Vous n’avez notamment plus l’obligation de déclaration de l’utilisation que vous faites de ces données dans un registre de traitements (article 30 RGPD).
Attention la pseudonymisation ne suffit pas. La pseudonymisation est définie par le RGPD à l’article 4 comme l’action par laquelle un organisme relie des données personnelles non plus à l’identité de la personne concernée mais un pseudo ne permettant plus de l’identifier directement. L’anonymisation consiste à altérer la donnée de manière irréversible pour rendre impossible l'identification d’une personne.
En revanche, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénom) par des données indirectement identifiantes (alias). Il s’agit d’un remplacement des données qui n’efface pas le caractère personnel des informations. De plus, ce processus est réversible. Or, même sans nom, prénom ou numéro de sécurité sociale, un compte rendu médical contient généralement des données de santé qui restent des "données à caractère personnel" au sens du RGPD si la personne reste identifiable par recoupement (âge précis, pathologie rare, contexte particulier, etc.). A l'inverse de l’anonymisation, la pseudonymisation des données ne leur retire pas leur caractère personnel, et en qualité de données personnelles, elle sont soumises au RGPD. Si les données ne sont pas anonymisées, mais seulement pseudomisées, il vous faudra donc opter pour une des solutions suivantes :
Utiliser des solutions spécialisées en santé avec contrat de sous-traitance (DPA) conforme au RGPD
Opter pour des IA en local sans transmission externe des données
Choisir des services avec garanties spécifiques : pas d'entraînement sur les données, hébergement santé certifié (HDS en France), chiffrement bout-en-bout
Obtenir le consentement éclairé du patient sur l'usage d'IA pour ses données de santé
Les services d'IA généralistes grand public ne sont pas conformes pour un usage professionnel médical, même avec pseudonymisation. Si vous les utilisez, soyez certains que vos comptes rendus médicaux sont totalement anonymisées au sens du RGPD.
