legge 132 sanità

Loi 132 : comment encadrer l'utilisation des données à des fins de recherche et développement

ParSteven de Simseo

Le 10 octobre dernier, la loi 132/2025 (« Loi IA ») est entrée en vigueur« ), avec laquelle l'Italie a introduit de nouvelles règles en matière d'intelligence artificielle (« IA »), intégrant les réglementations prévues par la loi européenne sur l'IA.

La loi IA réitère les principes de la loi IA concernant la nécessité de garantir une utilisation correcte, transparente et responsable de l'IA, dans une dimension anthropocentrique. Dans le même temps, il introduit des dispositions qui réglementent l’utilisation de l’IA dans des secteurs particuliers, notamment la santé.

C’est précisément dans ce domaine que la loi sur l’IA présente les innovations les plus significatives, réglementant l’utilisation et le développement de systèmes d’IA avec l’intention claire de simplifier les processus et de promouvoir l’innovation dans le secteur. Cependant, plusieurs aspects restent encore à définir, notamment par l'adoption de règlements d'application spécifiques.

Nous rapportons ci-dessous une analyse détaillée des principales innovations introduites par la nouvelle législation.

L’utilisation de l’intelligence artificielle dans les soins de santé

L'art. L'article 7 de la loi sur l'IA identifie les principes à respecter dans l'utilisation de l'IA dans le secteur de la santé, précisant tout d'abord que l'IA doit contribuer à l'amélioration du système de santé ainsi qu'à la prévention, au diagnostic et au traitement des maladies.

Le règlement précise également que l’IA peut représenter un support dans les processus de prévention, de diagnostic, de traitement et de choix thérapeutique, tout en laissant la responsabilité des décisions cliniques au médecin. L’obligation d’informer les patients sur l’utilisation de l’IA et d’éviter qu’une telle utilisation n’affecte l’accès aux traitements selon des critères discriminatoires est également réitérée.

Recherche scientifique en santé et utilisation secondaire des données

L'art. 8 de la loi IA apporte des précisions importantes sur le traitement des données, y compris les données personnelles, effectué à des fins de recherche scientifique et d'expérimentation dans la création de systèmes d'IA, à des fins liées à la protection de la santé (par exemple, la prévention, le diagnostic et le traitement de maladies, le développement de médicaments, de thérapies et de technologies de réadaptation, la création de dispositifs médicaux, etc.).

L'utilisation des données aux fins susmentionnées est qualifiée d'« d'intérêt public pertinent » si elle est effectuée par des entités publiques et privées à but non lucratif, des IRCCS ou des personnes privées intervenant dans le secteur de la santé dans le cadre de projets de recherche auxquels participent des entités publiques et privées à but non lucratif ou des IRCCS.

Cette précision est pertinente car elle identifie la base juridique du traitement des données personnelles – notamment celles des patients – dans l'art. 9(2)(g) du RGPD, évitant ainsi d'éventuelles incertitudes dans l'interprétation de la législation sur la protection de la vie privée qui entravent souvent les opérateurs du secteur de la santé et les activités de recherche. Cependant, la disposition ne contient pas tous les éléments nécessaires en vertu de la législation sur la protection de la vie privée, qui exige l'indication de certains détails sur l'utilisation des données. Il subsiste donc certaines marges d’incertitude qui, nous l’espérons, seront surmontées grâce aux futurs règlements d’application ou aux mesures de l’Autorité de protection des données.

Les dispositions de l'art sont encore plus pertinentes. 8 selon lequel, aux fins susmentionnées de recherche scientifique et d'expérimentation dans la création de systèmes d'IA, l'utilisation secondaire de données personnelles – y compris les données de santé – qui ne permettent pas de retrouver directement l'identité de l'intéressé (donc des données pseudonymisées, anonymisées ou synthétiques) est toujours autorisée.

L'utilisation secondaire désigne l'utilisation des données à des fins autres que celles pour lesquelles les données ont été collectées. Cette disposition permet donc l’utilisation des données des patients, collectées dans le cadre de la pratique clinique normale, sans nécessiter le consentement spécifique du patient. Ceci étant entendu que l'utilisation des données est :

  • réalisées par les entités publiques et privées à but non lucratif, les IRCCS ou les personnes privées intervenant dans le secteur de la santé dans le cadre de projets de recherche auxquels participent des entités publiques et privées à but non lucratif ou des IRCCS ;
  • orienté vers la recherche sur la création de systèmes d'IA aux fins susmentionnées liées à la protection de la santé ; Et
  • communiquée au préalable au Garant de la protection des données personnelles, accompagnée de « l'analyse d'impact sur la protection des données » pertinente mentionnée dans les articles. 35 et 36 du RGPD. Le Garant peut bloquer l'utilisation des données indiquées dans les 30 jours suivant la réception de la communication, après quoi l'utilisation peut commencer. Cette disposition implique une simplification par rapport à la version originale du projet de loi, qui nécessitait également l'approbation du comité d'éthique.

Enfin, l'art. 8 autorise le traitement des données à des fins d'anonymisation, de pseudonymisation et de synthèse, tant dans le cadre des activités de recherche et d'expérimentation mentionnées ci-dessus qu'à des fins de planification, de gestion, de contrôle et d'évaluation des soins de santé et, encore, pour l'étude et la recherche sur l'activité sportive.

Différence entre la recherche « pour le développement de l’IA » et la recherche « par l’IA »

Enfin, la loi IA distingue la recherche « pour » le développement de systèmes d'IA dans le secteur de la santé (art. 8) et la recherche réalisée « à travers » des systèmes d'IA (art. 9).

Ce n'est que dans le premier cas que l'utilisation secondaire des données de santé est toujours autorisée et qu'il est possible de s'appuyer sur la base juridique d'un « intérêt public pertinent », dans les limites décrites au paragraphe précédent.

Mais dans la seconde hypothèse, l’art. 9 prévoit que les modalités opérationnelles et l'éventuelle utilisation secondaire des données sont régies par un décret du ministère de la Santé, à adopter dans les 120 jours suivant la publication de la loi sur l'IA, après consultation du Garant, des organismes de recherche, des établissements de santé, des autorités et des opérateurs du secteur.

Cette fragmentation risque de générer davantage d’incertitudes opérationnelles et de zones grises susceptibles d’entraver la recherche.

Considérations finales

La loi sur l'IA introduit des innovations importantes pour encourager la recherche et l'innovation dans le secteur de la santé, atténuant certaines des contraintes découlant de la législation sur la protection des données personnelles, qui ont longtemps été considérées comme un obstacle par les opérateurs du secteur.
L'intervention réglementaire suit la voie tracée par l'Union européenne qui, notamment avec l'adoption du règlement (UE) 2025/327 sur l'espace européen des données de santé, vise à promouvoir le partage et la réutilisation des données de santé à des fins de recherche et de développement.

Toutefois, les incertitudes interprétatives mises en évidence et les nombreuses questions renvoyées aux futurs décrets d'application risquent de réduire l'impact réel des innovations introduites. Beaucoup dépendra de la rapidité et de la clarté des mesures de mise en œuvre qui seront adoptées dans les mois à venir.
En attendant, il sera essentiel que les acteurs du secteur adoptent une approche prudente, garantissant le plein respect des dispositions actuelles en matière d’IA et de protection des données.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.