Depuis 2018, le Règlement général européen sur la protection des données (RGPD) encadre le traitement des données à caractère personnel sur l’ensemble du territoire européen, avec l’objectif de garantir le droit à la vie privée des citoyens. Parmi celles-ci, il existe une catégorie particulière de données dites «sensibles»: celles qui concernent l’origine ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, l’orientation sexuelle, mais aussi la santé. Ainsi, les hôpitaux, qui détiennent en grande quantité ces données de santé, sont dans l’obligation légale de désigner un «délégué à la protection des données à caractère personnel» (DPO pour «Data Protection Officer»). Perrine Goderniaux occupe cette fonction au sein de la Clinique Saint-Luc Bouge à Namur: «J’ai à la fois un rôle de conseillère et d’auditrice, explique-t-elle. Je forme les collaborateurs à la réglementation et je m’assure qu’ils respectent bien la réglementation quand ils manipulent les données des patients.»
Cyberattaques et vies en jeu
C’est aussi le/la DPO qui s’assure que les fournisseurs d’IA en santé ne collectent pas «trop» de données. En effet, développer un outil d’intelligence artificielle en santé nécessite d’entraîner l’algorithme sur une grande quantité de données afin que l’IA puisse apprendre et s’améliorer («machine learning»). IA et RGPD semblent donc souvent en tension: favoriser le déploiement de l’une sans porter atteinte à l’autre est un jeu d’équilibriste. «L’IA est très gourmande en données, mais le RGPD comporte un principe de proportionnalité», souligne Perrine Goderniaux. Un fournisseur d’IA n’est donc censé accéder qu’aux informations absolument nécessaires pour développer son outil et non à l’entièreté du dossier patient. Toute autorisation d’accès va par ailleurs donner lieu à un contrat de traitement des données entre l’hôpital et le fournisseur. Autant de précautions qui doivent permettre de prévenir un mésusage des informations, mais aussi de réduire les risques liés au hacking. «Ici, à Saint-Luc Bouge, nous avons déjà été la cible d’un ransomware (NDLR: ‘rançonlogiciel’), poursuit Perrine Goderniaux. Les données sont bloquées par un logiciel malveillant qui nous demande une rançon pour les récupérer. Aujourd’hui, les hôpitaux sont de plus en plus ciblés, car les cyberattaquants savent que nous avons besoin de ces données pour soigner les patients, que des vies sont en jeu… Ce sont aussi des données qu’ils peuvent ensuite revendre sur le dark web.»
« Il peut être tentant pour un médecin de tester l’outil et d’introduire l’air de rien des données à caractère personnel de patients. Or ChatGPT est un peu une boîte noire! »
PERRINE GODERNIAUX , DATA PROTECTION OFFICER À L A CLINIQUE SAINT-LUC BOUGE À NAMUR
Pour sensibiliser les collaborateurs à ce risque, les hôpitaux organisent même de «fausses attaques» de phishing. «Si le collaborateur ouvre la pièce jointe alors qu’il n’aurait pas dû, il voit apparaître un message qui lui signale qu’il est tombé dans le panneau…», poursuit la DPO qui s’inquiète aussi de l’utilisation de ChatGPT par le personnel soignant. «Il peut être tentant pour un médecin de tester l’outil et d’introduire l’air de rien des données à caractère personnel de patients. Or ChatGPT est un peu une boîte noire!» Ainsi, on oublie parfois que par «effet d’entonnoir», il est souvent possible de remonter jusqu’à l’identité d’une personne, même sans disposer de son nom et de son prénom. Par ailleurs, la grande accessibilité de ChatGPT fait souvent oublier à ses utilisateurs que la moindre question introduite dans l’IA, même de manière ludique, nourrit la bête… Ainsi, si les cyberattaques sont elles-mêmes de plus en plus ciblées et de plus en plus convaincantes, c’est aussi grâce aux recoupements d’informations permises par l’intelligence artificielle. «Les cyberattaquants peuvent par exemple collecter toutes les informations que chacun d’entre nous met sur LinkedIn pour recomposer tout l’organigramme institutionnel et concevoir des attaques à partir de là», explique Perrine Goderniaux. Au point de convaincre le plus vigilant collaborateur que c’est bien son chef de service ou le responsable du service comptabilité qui lui demande de réaliser telle ou telle opération…
Depuis le 5 mars 2025, le règlement européen de l’«Espace européen des données de santé» offre par ailleurs un nouveau cadre pour la gestion des données de santé. Adopté dans la foulée de l’«AI Act» – qui depuis 2024 entend promouvoir une IA garantissant le respect des droits fondamentaux –, «il vise à favoriser la recherche, l’innovation et le développement de l’IA», détaille Alix Gobert, chercheuse à l’UNamur. «Ce règlement complète le RGPD en ce qui concerne la réutilisation des données de santé à des fins secondaires, poursuit-elle. Il s’inscrit dans une réflexion post-Covid, au moment où l’on s’est rendu compte qu’en cas de pandémie par exemple, il fallait une grande rapidité dans la gestion des données et donc une harmonisation entre les États membres.» Ainsi, à partir de mars 2029, les hôpitaux belges seront désormais obligés de communiquer à l’Agence belge des données de santé (ADS) des informations sur les données dont ils disposent «et transmettre les données lorsqu’une personne en fait la demande et que l’ADS en a donné l’autorisation après examen du dossier», précise Alix Gobert. «L’Europe estime que les données n’appartiennent pas à une personne ni à un organisme, mais qu’il s’agit en quelque sorte d’un bien commun, dont le partage peut avoir un impact positif sur la santé publique», souligne la chercheuse. La procédure d’accès à ces données n’en demeure pas moins très stricte. «L’utilisation à des fins publicitaires ou marketing reste interdite: l’accès sera octroyé à des fins de recherche et d’innovation uniquement, et en veillant à anonymiser ou à tout le moins pseudonymiser les données», résume la chercheuse.
Souveraineté numérique
Aujourd’hui, si l’intelligence artificielle s’intéresse de très près aux données de santé collectées par les hôpitaux, elle reste en réalité peu présente dans le quotidien des patients et des soignants. «Parler de l’IA au quotidien pour les hôpitaux, c’est probablement un peu prématuré… sauf à considérer qu’un correcteur orthographique est déjà de l’IA, explique le Dr Philippe Olivier, directeur médical chargé de la transformation numérique au CHC Montlégia de Liège. Mais on est au début d’un cycle qui est promis à un grand avenir, j’en suis personnellement persuadé.» «Plusieurs études macroéconomiques montrent que l’IA a des impacts économiques bénéfiques, souligne le Dr Giovanni Briganti, titulaire de la chaire ‘Intelligence artificielle et médecine digitale’ à l’Université de Mons. La qualité des soins va globalement augmenter parce que le médecin va pouvoir diagnostiquer quelque chose qu’il n’aurait pas pu diagnostiquer avant, parce qu’il va faire moins d’erreurs ou parce que sa vie sera tellement facilitée par ces outils, notamment au niveau de la gestion administrative, qu’il sera lui-même plus performant.» L’IA serait non seulement un outil nécessaire pour répondre aux défis des soins de santé, «mais aussi par rapport au débat sur la souveraineté numérique», ajoute le Dr Philippe Olivier. «L’Europe doit aujourd’hui rattraper son retard dans ce domaine», estime-t-il: dans un contexte géopolitique complexe, la souveraineté numérique est en effet considérée comme une stratégie défensive nécessaire pour accroître l’autorité des États sur des technologies numériques essentiellement américaines. L’intérêt pour l’IA en santé ne relèverait donc pas d’une lubie technophile, mais d’une forme de prudence élémentaire.
À partir de mars 2029, les hôpitaux belges seront désormais obligés de communiquer à l’Agence belge des données de santé (ADS) des informations sur les données dont ils disposent « et transmettre les données lorsqu’une personne en fait la demande et que l’ADS en a donné l’autorisation après examen du dossier ».
ALIX GOBERT, CHERCHEUSE À L’UNAMUR
«Si l’IA est déjà présente à l’hôpital, c’est dans certains secteurs bien précis comme l’imagerie médicale, précise le Dr Philippe Olivier. Elle permet de poser des diagnostics avec des degrés de certitude très élevée, et donc de prioriser certains cas. Par exemple, aux urgences, l’IA en imagerie osseuse permet de trier les cas et donc d’examiner plus rapidement les patients qui le nécessitent.» Reste que parmi la multitude d’outils d’IA en santé qui voient le jour, très peu d’entre eux tournent déjà en routine dans les hôpitaux belges. Question de réglementation (les IA doivent obtenir le marquage CE, au terme d’une procédure exigeante et complexe), question de coûts aussi, dans un contexte où la marge de manœuvre financière des hôpitaux est plus qu’étroite. «Il y a de nombreux produits de niche, qui peuvent avoir leur intérêt pour certaines spécialités: reste à voir si l’on veut investir 50.000 euros par an pour un outil qui va seulement améliorer un peu le flux», commente le Dr Philippe Olivier. Pour le directeur médical en charge de la transformation numérique, la priorité est ailleurs: «Il faut mettre l’IA au service de l’hôpital comme système, comme organisme vivant, comme collectivité.»
Jumeau numérique
En collaboration avec l’Institut d’ingénieurs de Toulouse-Albi, le CHC Montlégia de Liège développe ainsi actuellement un projet de «jumeau numérique» du bloc opératoire qui consiste à dupliquer, grâce à un logiciel très puissant, le bloc opératoire «déplafonné et en trois dimensions». «Nous pouvons ainsi visualiser comment va se dérouler la journée de lundi prochain dans un bloc qui compte à peu près 24 salles d’opération actives», poursuit le Dr Philippe Olivier. Cette simulation va prendre en compte non seulement les interventions prévues, mais aussi les horaires des infirmiers, des brancardiers et du personnel d’entretien. «Nous pouvons entrer dans le logiciel l’info selon laquelle dans telle salle, de telle heure à telle heure, va avoir lieu une opération de prothèse totale de hanche. Mais à l’avenir, nous aurons aussi l’info selon laquelle cette opération concerne Monsieur Dupont qui a 92 ans, qui est diabétique et insuffisant rénal. C’est-à-dire que dans une étape ultérieure, on va enrichir le pilotage en individualisant complètement la planification: le logiciel tiendra donc compte du fait que cette intervention sera un peu plus compliquée ou un peu plus longue que pour un monsieur de 65 ans.» Cette individualisation de la prédiction devrait alors permettre à l’IA de générer une planification optimale des interventions: «On va pouvoir demander à l’IA d’agencer les interventions de manière que la journée puisse se finir à 18 h, avec plusieurs possibilités de scénario.»
« Parler de l’IA au quotidien pour les hôpitaux, c’est probablement un peu prématuré… sauf à considérer qu’un correcteur orthographique est déjà de l’IA.»
DR PHILIPPE OLIVIER, DIRECTEUR MÉDICAL CHARGÉ DE LA TRANSFORMATION NUMÉRIQUE AU CHC MONTLÉGIA DE LIÈGE
Mais c’est lorsque le lundi en question arrive qu’apparaît réellement la notion de «jumeau numérique» puisque l’IA va alors permettre de comparer en temps réel l’activité du bloc opératoire avec ce qui a été planifié. «Des alarmes seront lancées en cas de décrochage, par exemple quand l’intervention dépasse la durée prédite de 15 minutes, illustre encore le Dr Philippe Olivier. Cela nécessitera alors une intervention de la part du gestionnaire du bloc. Car aujourd’hui, en l’absence de cette tour de contrôle, les trois ou quatre heures de retard qui se cumulent, on ne les découvre que progressivement au cours de la journée.» À terme, la «gémellisation» devrait même s’étendre à l’ensemble de l’hôpital. De quoi diminuer à terme le stress des soignants, augmenter la qualité de la prise en charge, mais aussi remettre financièrement à flot les hôpitaux… pourvu qu’aucune donnée ne soit bloquée, perdue ou piratée.
