FMH, organisation professionnelle
 

Considérations juridiques

Autor - Dr. Iur. Iris Herzog-Zwitter und Dr. Iur. Bruno Baeriswyl

Aspects liés à la protection des données dans l’utilisation des grands modèles de langage

La législation en matière de protection des données s’applique dès lors que des données personnelles sont traitées. On entend par données personnelles toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Dès lors que des données personnelles sont traitées, les prescriptions légales du droit de la protection des données1 doivent être respectées.

Dans la mesure où il est possible de se passer de données personnelles lors du développement, du perfectionnement et de l’utilisation de grands modèles de langage, cela simplifie l’application dans la pratique. S’il n’est pas possible de renoncer complètement aux données personnelles, des mesures techniques et organisationnelles permettent de minimiser le risque d’atteinte à la personnalité en anonymisant les données personnelles ou, si possible, en ne les collectant pas (protection des données dès la conception, « privacy by design »).

Du point de vue de la protection des données, il convient de distinguer trois situations spécifiques :

  • le développement du grand modèle de langage,
  • l’utilisation du grand modèle de langage,
  • le perfectionnement du grand modèle de langage.

Développement du grand modèle de langage

Le développement d’un grand modèle de langage repose sur l’analyse de textes. Dans de nombreux cas, ces textes contiennent des données personnelles. L’utilisation de ces données personnelles doit être conforme à la protection des données. Lors de l’acquisition d’un modèle de langage, le fournisseur doit donc garantir qu’il a été développé dans le respect de la législation, en particulier en matière de protection des données et de droits d’auteur.

En raison de la tokenisation, le modèle de langage lui-même n’est en principe plus susceptible de contenir de données personnelles. Il existe toutefois des modèles de langage spécifiques qui aboutissent à une personnification et ne peuvent donc pas être considérés comme anonymes (p. ex. la synthèse de la voix d’une personne donnée).

Utilisation du grand modèle de langage

L’utilisation du modèle de langage fait partie d’un système d’IA et peut impliquer des données personnelles de multiples façons. Les entrées utilisateur (« prompts ») peuvent contenir des données personnelles ; des informations personnelles peuvent aussi être demandées de manière ciblée et, dans certains cas, fournies par le modèle.

Dans un premier temps, il convient donc de clarifier comment le modèle de langage doit être utilisé. Si l’on exclut l’utilisation de données personnelles dans les prompts, il faut régler la manière dont sont traitées les données personnelles issues du modèle. Leur utilisation ultérieure nécessite le consentement de la personne concernée. Sans consentement, elles doivent être anonymisées ou supprimées.

Si aucune restriction n’est prévue dans l’utilisation du modèle de langage et que des données personnelles issues, par exemple, des antécédents médicaux sont utilisées, il convient de respecter les conditions-cadres en matière de protection des données2. Il peut donc être nécessaire d’adapter la « déclaration de consentement / formulaire patientèle » (cf. www.fmh.ch/fr).

Si une décision est prise exclusivement par l’IA et qu’elle affecte de manière significative la personne concernée, celle-ci doit en être informée activement (art. 21 LPD ; « Devoir d’informer en cas de décision individuelle automatisée »). La personne concernée doit pouvoir donner son avis à ce sujet ou consentir expressément à ce que la décision soit prise de manière automatisée.

Dans la mesure où les résultats de l’IA se rapportent à un-e patient-e déterminé-e et sont pertinents, ils doivent être consignés dans le dossier médical. La personne concernée a le droit d’obtenir des informations sur ses données personnelles, c’est pourquoi le traitement des données doit être transparent (art. 25 LPD ; « Droit d’accès »).

Perfectionnement du modèle de langage

Si les données personnelles saisies dans un prompt sont utilisées pour perfectionner le modèle de langage, il s’agit d’un changement de finalité du traitement initial des données, ce qui nécessite le consentement de la personne concernée. Ce consentement peut également être obtenu en adaptant la « déclaration de consentement / formulaire patientèle » (cf. www.fmh.ch).

Si le comportement de l’utilisateur (médecin) est aussi évalué et que celui-ci est salarié, son consentement est également nécessaire.

Il convient par ailleurs de noter que les modèles de langage sont souvent fournis, perfectionnés et exploités par des tiers. Il y a lieu d’examiner au cas par cas si, d’une part, les données sont communiquées à des tiers, ce qui nécessite le consentement de la personne concernée, notamment au regard du secret professionnel (médical), ou si, d’autre part, il s’agit d’une relation contractuelle dans laquelle le traitement des données doit être réglementé en détail.3

Il est donc généralement recommandé d’obtenir le consentement des patient-e-s en cas d’utilisation intensive de modèles de langage dans le cadre d’un traitement. Une réglementation spécifique de l’IA, qui concernerait également le droit de la protection des données, n’est actuellement pas prévue en Suisse.

Réglementation de l’IA en Suisse

Lors de sa séance du 12 février 2025, le Conseil fédéral s’est prononcé en faveur de l’approche suivante pour la réglementation de l’IA : « La Suisse doit ratifier la Convention du Conseil de l’Europe sur l’intelligence artificielle (IA4) et procéder aux adaptations nécessaires du droit suisse.

En outre, les activités visant à réglementer l’IA dans certains domaines, tels que la santé ou les transports, doivent être poursuivies. ».5 Si nécessaire, des modifications de loi seront effectuées à l’avenir en fonction des secteurs concernés.

La réglementation dans le domaine de l’IA poursuit trois objectifs : « Renforcer le pôle d’innovation qu’est la Suisse, préserver la protection des droits fondamentaux, y compris la liberté économique, et renforcer la confiance de la population dans l’IA ». 

Au niveau international, la loi européenne sur l’intelligence artificielle6 a été élaborée en complément de la convention sur l’IA du Conseil de l’Europe. En Suisse, il n’existe actuellement aucune loi spécifique régissant la responsabilité en matière d’intelligence artificielle (IA). Les normes juridiques existantes, en particulier les dispositions légales du Code des obligations (CO), du droit pénal et du droit de la responsabilité du fait des produits, s’appliquent par analogie pour régir les responsabilités en cas de dommages causés par l’IA. 

Devoir de diligence du médecin
​​​​​​​
La responsabilité civile liée à l’utilisation de l’IA dans le cadre d’un traitement médical est actuellement répartie entre le médecin traitant, le fabricant et les autres responsables du système d’IA, en fonction de leurs domaines de responsabilité respectifs. En cas de manquement au devoir de diligence, les responsables peuvent donc être, selon les circonstances, le corps médical, le personnel soignant, l’hôpital (l’organisation), le fabricant et, dans certains cas, les spécialistes en programmation de systèmes d’IA. De même, la responsabilité pénale doit être examinée au cas par cas si l’utilisation de l’IA a entraîné un préjudice pour le patient en raison d’un manquement intentionnel ou par négligence au devoir de diligence de la part du médecin.

Dans le cadre de son devoir de diligence, le médecin est responsable du diagnostic, même si un logiciel d’IA est utilisé comme aide au diagnostic. Le devoir de diligence médicale exige que toutes les décisions médicales soient examinées et correspondent à l’état actuel des connaissances médicales au moment du traitement. De même, un hôpital pourrait être tenu responsable de l’utilisation d’une IA défectueuse dans le cadre de la responsabilité de l’employeur.

Les systèmes LLM peuvent être utilisés comme « outils » dans le cadre du diagnostic ou pour remplir l’obligation de documentation médicale. Dans le cadre du devoir d’information du médecin, le patient doit être informé de l’utilisation de l’IA si le diagnostic a été influencé de manière significative par celle-ci. En fin de compte, il s’agit de garantir la transparence et la traçabilité du diagnostic médical pour le patient. En principe, dans le cadre de leur droit à l’autodétermination et du principe d’autonomie, les patient-e-s ont le droit d’être informé-e-s de l’utilisation de procédures basées sur l’IA lors de l’établissement du diagnostic. Le Tribunal fédéral n’a, à ce jour, rendu aucun arrêt relatif au devoir d’information en cas d’utilisation de l’IA. Les principes généraux relatifs au devoir d’information dans le cadre du devoir de diligence médicale doivent donc être interprétés de manière analogue à l’utilisation de l’IA.

Le grand défi consiste par conséquent à délimiter les domaines de responsabilité au cas par cas, en particulier l’attribution des décisions influencées par l’IA.7 Les médecins peuvent être tenus responsables des actes et omissions qu’ils doivent reconnaître, sur lesquels ils peuvent exercer une influence et dont ils sont responsables en raison de leurs compétences professionnelles. Cela inclut également la décision d’utiliser des systèmes d’IA pour le diagnostic et le traitement, ou de renoncer à l’utilisation de l’IA dans le cadre d’un traitement, même si celle-ci fait partie des normes médicales. 

1

En particulier, la loi fédérale sur la protection des données (loi sur la protection des données, LPD) du 25 septembre 2020 (RS 235.1)

2

Voir les conditions-cadres en matière de protection des données : https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm

3

Cf. « Convention de traitement de données en sous-traitance » : https://www.fmh.ch/fr/themes/ehealth/protection-donnees-securite/protection-des-donnees-la-loi-.cfm

7

Le tribunal de première instance de Kiel a publié, dans son jugement du 15 novembre 2024 (réf. 6 O 151/23), l’une des premières décisions en Allemagne concernant la responsabilité pour les contenus générés par l’IA/pas de jugement en matière de responsabilité médicale.