Les données personnelles de santé dans le cycle de vie d’un système d’intelligence artificielle : enjeux juridiques comparés France, Québec et Californie

Thèse ou mémoire / Thesis or Dissertation

Fichiers

Maelenn_Corfmat_2024_these.pdf (8.34 MB)

Date de publication

2024-12

Autrices et auteurs

Identifiant ORCID de l’auteur

Contributrices et contributeurs

Direction de recherche

Régis, Catherine
Debet, Anne

Publié dans

Date de la Conférence

Lieu de la Conférence

Éditeur

Cycle d'études

Doctorat / Doctoral

Programme

Droit

Affiliation

Mots-clés

  • Intelligence artificielle
  • Santé
  • Right to privacy
  • Personal data
  • Personal information
  • Healthcare data
  • Comparative law
  • Functional method in comparative law
  • Machine learning
  • Droit au respect de la vie privée
  • Données personnelles
  • Données de santé
  • Renseignements personnels
  • Méthode fonctionnelle en droit comparé
  • Apprentissage machine
  • Artificial intelligence
  • Healthcare

Organisme subventionnaire

Résumé

Résumé

L’encadrement de l’intelligence artificielle (IA) dans le domaine de la santé est au cœur de vives discussions dans de nombreuses juridictions du monde. Parmi elles, la France, le Québec et la Californie, qui participent chacun d'ordres juridiques parallèles ou supérieurs - respectivement l'Union européenne, le Canada et les Etats-Unis d'Amérique - semblent précisément liés par la recherche d'un objectif similaire. En effet, ils manifestent de manière claire et intensive leur intention politique, économique et juridique de mettre tout en œuvre pour provoquer, soutenir et entretenir le développement de l’IA afin de promouvoir la santé publique, d'accélérer les diagnostics, d'affiner les traitements, ou encore d'améliorer les conditions d'existence des patientes et patients. Cette volonté s'accompagne d'une intention concomitante : celle de garantir de la manière la plus adéquate le droit à la protection de la vie privée (ou right to privacy), dont la valeur constitutionnelle consacrée au sein de chacune de ces juridictions la place en principe comme une priorité. Or, nous soutenons que les règles participant des régimes de protection des données personnelles et de santé recherchent précisément ce double objectif, davantage encore dans l’attente ou dans le silence des réglementations spécifiques aux systèmes d’IA. Pourtant, elles envisagent aussi les fondements et la substance de la vie privée de manière quelque peu différente, aboutissant à des situations variées de l’application des règles. C’est cette forme de diversité juridique, au cœur de grandes similarités, que nous analysons au cœur d’un travail de droit comparé. La recherche s’appuie la méthode fonctionnelle développée en droit comparé, soit celle du fonctionnalisme d’équivalence. Le double objectif évoqué s’analyse ainsi comme l’une des fonctions recherchées par les règles législatives de protection des données personnelles analysées. Ces instruments juridiques peuvent être comparés uniquement parce qu’ils sont considérés servir cette même fonction, parmi d’autres. A travers cette approche méthodologique, nous tentons de montrer que l’application des règles qui composent ces instruments suppose des bases, des imbrications et des situations factuelles résultant de leur application, tantôt différentes, tantôt communes, influençant cependant toujours sur la manière dont les instruments servent la fonction. Nous soutenons, de manière préliminaire, que les juridictions répondent d’abord à cette fonction par la détermination des entités et des données concernées, impactant dès lors les phases de conception et d’exploitation d’un système d’IA en santé. Nous soutenons ensuite que les juridictions répondent à la fonction par la détermination de règles relatives à la collecte et à la réutilisation de données, encadrant ainsi la constitution des bases de données d’apprentissage nécessaires à la phase de conception d’un système d’IA. Nous soutenons enfin que les juridictions répondent à la fonction par la détermination de droits et d’obligations relatifs au traitement de données par des technologies comportant des risques pour la vie privée, encadrant ainsi notamment les décisions automatisées et le profilage, et concernant donc la phase d’exploitation d’un système d’IA. Notre analyse permet plusieurs conclusions. D’abord, et de manière générale, plus les entités et les données sont largement envisagées, plus un degré de protection peut être assuré sans que le développement de l’IA s’en soit drastiquement impacté. Nos conclusions amènent également à considérer que les deux types de règles analysées, dont les premières étaient a priori mal adaptées au contexte de l’IA et les deuxièmes plus rarement l’objet de discussions spécifiques à l’IA, sont pourtant dotées d’un intérêt majeur pour répondre à la fonction, si elles sont interprétées et appliquées selon les éléments dégagés par l’analyse comparée.
The regulation of artificial intelligence (AI) in the field of healthcare is at the heart of lively discussions in many jurisdictions around the world. Among them, France, Québec (Canada) and California (United States of America) – each participating in parallel or superior legal orders, namely the European Union, Canada, and the United States of America – seem to be precisely linked by the pursuit of a similar objective. Indeed, they clearly and intensively express their political, economic, and legal intention to do everything possible to provoke, support, and maintain the development of AI in order to improve public health, accelerate diagnostics, refine treatments, and enhance the living conditions of patients. Another concurrent intention adds this objective: to guarantee, in the most adequate manner, the right to privacy, whose constitutional value enshrined within each of these jurisdictions places it as a priority. However, we argue that the legal frameworks for personal and health data protection precisely seek this dual objective, even more so in anticipation or silence of specific regulations for AI systems. Yet, they also consider the foundations and substance of privacy in somewhat different ways, leading to varied applications of the rules. We therefore intend to study this legal diversity, driven by great similarities, through a comparative law analysis. We thus employ the functional method developed in comparative law, specifically the equivalence functionalism. We suggest viewing the objectives we have just mentioned as the pursuit of a function aimed at by data protection rules. These legal instruments can only be compared with each other because they are considered to serve that very same function (among others). Through this methodological approach, we attempt to show that the application of the rules outlined in these legal instruments leads to either similar or different factual situations, which nonetheless always influence how these instruments fulfill the intended function. We preliminarily argue that jurisdictions primarily respond to the identified common function by determining the entities and data involved, thereby impacting the entire lifecycle of an AI system in healthcare, i.e. design and operation phases. We then argue that jurisdictions serve the function by determining rules related to the collection and reuse of personal data, thus providing a framework for the development of the learning databases necessary for the design phase of an AI system. Finally, we argue that jurisdictions respond to the function by setting out specific rights and obligations when data is processed by technologies that poses risks for privacy. They concern automated decisions and profiling, and therefore regulate the use and operational phase of an AI system. Our comparative analysis leads to several conclusions. First, and generally speaking, the broader the entities and data are subject to laws, the greater the degree of protection can be ensured without drastically impacting the development of AI. Our conclusions also lead us to consider that the two types of rules analyzed—the first being initially poorly suited to the context of AI and the second less discussed to regulate AI—are nonetheless of major interest in responding to the function if they are interpreted and applied according to the legal elements identified by the comparative analysis.

Table des matières

Notes

Cotutelle

Notes

URI

https://hdl.handle.net/1866/41168

Autre version linguistique

Ensemble de données lié

Licence

Collections

Faculté de droit – Thèses et mémoires

Approbation

Évaluation

Complété par

Référencé par

Ce document diffusé sur Papyrus est la propriété exclusive des titulaires des droits d'auteur et est protégé par la Loi sur le droit d'auteur (L.R.C. (1985), ch. C-42). Sauf si le document est diffusé sous une licence Creative Commons, il ne peut être utilisé que dans le cadre d'une utilisation équitable et non commerciale comme le prévoit la Loi (i.e. à des fins d'étude privée ou de recherche, de critique ou de compte-rendu). Pour toute autre utilisation, une autorisation écrite des titulaires des droits d'auteur sera nécessaire.