L’AI in ambulatorio: alleata invisibile dei medici di medicina generale

Loi n.132 : de nombreuses exigences pour les données en santé

ParSteven de Simseo

Le 17 septembre dernier, le Parlement a approuvé – avec publication au Journal Officiel – la loi 132/2025 « Dispositions et délégations au Gouvernement en matière d'intelligence artificielle» (ci-après « Loi italienne sur l'IA »), qui définit une série de principes et de règles générales dans le but de promouvoir le développement et l'utilisation corrects, transparents et responsables des systèmes d'intelligence artificielle (ci-après « IA ») dans toute une série de secteurs clés, y compris la santé.

Des principes qui nécessitent non seulement une interprétation et une application conformes aux dispositions du Règlement UE 2024/1689 (Loi IA), mais également une coordination avec le Règlement UE 2016/679 (RGPD), si l’utilisation de systèmes d’IA implique le traitement de données personnelles.

Les principes à respecter lors du traitement de données personnelles avec des systèmes d’IA

C'est précisément dans cet esprit que notre législateur a prévu – déjà dans l'art. 4 – que :

  • l'utilisation de systèmes d'IA doit garantir le traitement licite, correct et transparent des données à caractère personnel et leur compatibilité avec les finalités pour lesquelles elles ont été collectées ;
  • les informations concernant le traitement des données personnelles liées à l'utilisation de systèmes d'IA doivent être fournies dans un langage simple et clair, de manière à permettre à l'intéressé de comprendre les risques liés et d'exercer son droit d'opposition au traitement ;
  • l'accès aux systèmes d'IA pour les mineurs de moins de 14 ans et le traitement des données personnelles qui en résulte nécessitent le consentement des personnes exerçant la responsabilité parentale.

Ces dispositions doivent évidemment être appliquées dans tous les secteurs, y compris celui de la santé où, par ailleurs, le traitement concerne non seulement des données à caractère personnel, mais aussi – et surtout – des données particulières.

Actualités dans le secteur de la santé

Il existe quatre articles de la loi n.132 dédiés au monde de la santé :

  1. À l'art. 7 notre législateur établit, tout d'abord, que l'utilisation des systèmes d'IA dans le secteur de la santé peut constituer un support dans les processus de prévention, de diagnostic, de traitement et de choix thérapeutique. Si d'une part les avantages découlant de l'utilisation de ces outils sont indéniables, d'autre part il est nécessaire qu'ils soient toujours supervisés par des humains et, plus particulièrement, par des professionnels de santé. Les décisions finales concernant les diagnostics et les traitements doivent en effet rester de la responsabilité exclusive des professionnels de santé, que les systèmes d’IA ne peuvent en aucun cas remplacer. Ceci, aussi et surtout, afin de garantir le respect des droits, libertés et intérêts des personnes.

Le législateur poursuit ensuite en précisant que les systèmes d'IA :

  • ils ne peuvent en aucun cas sélectionner et influencer l'accès aux services de santé selon des critères discriminatoires ;
  • ainsi que les données utilisées, elles doivent être fiables, vérifiées périodiquement et mises à jour également afin de minimiser le risque d'erreurs et d'améliorer la sécurité des personnes.

2. L'art. 8, paragraphe 1, traite cependant du sujet délicat et très actuel de la recherche et de l'expérimentation scientifiques. Concrètement, le législateur établit que le traitement des données personnelles effectué par :

  • entités publiques et privées à but non lucratif ;
  • Instituts Scientifiques d'Hospitalisation et de Soins – IRCSS ;
  • les entités privées opérant dans le secteur de la santé exclusivement dans le cadre de projets de recherche impliquant la participation des entités visées aux points précédents ;

aux fins de la recherche scientifique et de l'expérimentation dans la création de systèmes d'IA visant à prévenir, diagnostiquer et traiter des maladies, le développement de médicaments, de thérapies et de technologies de rééducation, ainsi que la création de dispositifs médicaux sont « d'intérêt public important » au sens de l'art. 9 par. 2 lettre g) du RGPD.

La véritable innovation réside cependant dans le deuxième alinéa du même article, où le législateur légitime l'utilisation secondaire de données personnelles et particulières déjà collectées, à condition qu'elles soient pseudonymisées. Ainsi, si les données manquent d’éléments d’identification directe, elles peuvent être réutilisées sans qu’il soit nécessaire d’obtenir un nouveau consentement spécifique de la part de l’intéressé. Toutefois, l'obligation de fournir des informations à remplir par le propriétaire reste également sous une forme générale en publiant le document sur son site Internet.

Le troisième alinéa prévoit toutefois que le traitement des données personnelles, y compris des données particulières, est toujours autorisé, sous réserve d'information, à des fins d'anonymisation, de pseudonymisation ou de synthèse. Dans ce cas également, l'intention du législateur est claire : identifier une base juridique « légale » pour permettre l'anonymisation et la synthèse des données, activités qui sont également extrêmement utiles dans le contexte de la préparation d'ensembles de données pour l'entraînement des algorithmes qui sous-tendent les systèmes d'IA.

Enfin, au quatrième et dernier alinéa, le législateur définit :

  • le rôle de l'Agence Nationale des Services Régionaux de Santé (AGENAS), qui, sous avis de l'Autorité garante, peut établir et mettre à jour des lignes directrices sur les procédures de anonymisation de données personnelles et pour la création de données synthétiques ;
  • la communication des traitements visés aux paragraphes 1 et 2 à l'Autorité Garante avec l'indication de toutes les informations prévues aux articles. 24, 25, 32 et 35 du RGPD, ainsi que la disposition expresse des sujets identifiés conformément à l'art. 28 du RGPD, si présent. L'Autorité disposera alors d'un délai de 30 (trente) jours pour répondre ; en cas d’absence de réponse (appelé consentement tacite), les traitements peuvent être commencés.

3. Aperçu rapide de l'art. 9, qui délègue au Ministère de la Santé la délivrance d'un décret spécifique – dans les 120 (cent vingt) jours à compter de l'entrée en vigueur de la loi italienne sur l'IA – pour la définition d'une réglementation simplifiée pour le traitement des données personnelles, y compris particulières, à des fins de recherche et d'expérimentation, y compris au moyen de systèmes d'IA et d'apprentissage automatique.

4. Enfin, l'art. 10 apporte une série de changements à la réglementation du dossier de santé électronique (DSE), aux systèmes de surveillance du secteur de la santé et à la gouvernance de la santé numérique, dans le but de promouvoir l'utilisation de systèmes d'IA pour soutenir les activités locales de soins et d'assistance.

loi 132 santé

La naissance d'AGENAS

À cet égard, le législateur a décidé de créer une plateforme nationale spécifique d'IA par l'AGENAS, en tant qu'Agence nationale pour la santé numérique, qui sera alimentée par les données strictement nécessaires transmises par les propriétaires respectifs et qui aura pour objectif de fournir des services d'assistance pour :

  • les professionnels de santé, pour la prise en charge des patients ;
  • les médecins, comme aide dans la pratique clinique quotidienne ;
  • les usagers et les patients, afin de faciliter l'accès aux services de santé, tels que ceux fournis par les Maisons communautaires.

AGENAS, en tant que responsable du traitement des données collectées et générées par la plateforme, aura pour mission in fine d'établir, par ses propres moyens, les catégories de données traitées et les traitements effectués. Il devra alors déterminer les mesures techniques et organisationnelles appropriées pour garantir la sécurité et protéger les droits et intérêts des parties intéressées, comme l'exige le RGPD.

Mode d’emploi : ce que les professionnels de santé doivent savoir

Comme mentionné, si d'une part les systèmes d'IA peuvent offrir de nombreux avantages au monde de la santé (y compris, par exemple, l'amélioration de la santé des patients, l'augmentation de la productivité du personnel soignant et la création d'expériences de soins personnalisées), d'autre part, il est nécessaire que ceux-ci soient utilisés de manière responsable, précisément pour garantir la protection des droits et libertés des personnes physiques.

Mais pas seulement. Les systèmes d’IA doivent toujours prendre en considération la centralité de la personne, en privilégiant une approche anthropocentrique et la nécessité d’éviter toute discrimination en matière d’accès et d’utilisabilité des services de santé.

Même du point de vue de la protection des données personnelles, il est essentiel de garantir le respect et l'application concrète des principes établis par le RGPD.

Alors, quelles sont les principales consignes à donner aux personnels soignants ?

Tout d'abord, il est nécessaire de cartographier les systèmes d'IA utilisés afin de les classer sur la base des critères établis par la loi sur l'IA et de comprendre que ceux-ci ne sont utilisés que comme support dans les processus de prévention, de diagnostic et de traitement des patients.

Il est alors nécessaire de garantir une information claire et simple en faveur des patients, qui doivent toujours pouvoir comprendre non seulement les finalités et les modalités du traitement de leurs données personnelles, mais également les risques liés à l’utilisation illicite des systèmes d’IA.

Un autre aspect à ne pas négliger est la sécurité des systèmes d’IA. Il est en effet nécessaire de les vérifier périodiquement et de les tenir à jour également afin de minimiser l'apparition d'erreurs : comment ? En préparant des politiques de sécurité qui respectent également les lignes directrices émises par AGENAS et en organisant des audits visant à vérifier les exigences de sécurité, d'équité, d'exactitude et de protection des données personnelles.

Enfin et surtout l’activité de formation. Il est important que des activités de sensibilisation et de formation soient organisées sur les avantages et les risques des systèmes d’IA, afin de permettre aux professionnels de santé de les utiliser de manière consciente et responsable.

Conclusions

La loi n°132 représente certainement un grand tournant et une grande ouverture pour encourager la mise en œuvre de systèmes d’IA dans le secteur de la santé. Cependant, afin de permettre aux systèmes d’intelligence artificielle de devenir un allié valable et efficace, les opérateurs de soins de santé devront adopter une approche proactive, en investissant dans la gouvernance, la sécurité des données et la formation.

Ce n’est qu’ainsi qu’il sera possible d’exploiter pleinement tout le potentiel des systèmes d’IA tout en respectant la dignité, la confiance et la sécurité des patients.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.