Comme indiqué dans la section consacrée aux questions fondamentales relatives aux droits humains dans les secteurs de la gouvernance publique, l'article 8 de la CEDH protège les données à caractère personnel liées à la santé[1], qui constituent un élément clé de la vie privée. L'article 10 de la Convention d'Oviedo stipule que toute personne a : a) droit au respect de sa vie privée s'agissant des informations relatives à sa santé et b) droit de connaître toute information collectée sur sa santé. Les données personnelles relatives à la santé sont explicitement considérées comme sensibles en vertu de la Convention 108 (article 6) ainsi que des cadres réglementaires régionaux et nationaux[2]. Le Comité des Ministres du Conseil de l'Europe a publié des lignes directrices spécifiques sur la protection des données relatives à la santé dans sa Recommandation CM/Rec(2019)2, qui vise à garantir que les principes de la Convention No. 108, y compris sa version modernisée, sont pleinement appliqués à l'échange et au partage des données relatives à la santé.

Les systèmes d'IA dans le domaine de la santé peuvent s'appuyer fortement sur des données sensibles relatives aux patients, notamment des dossiers médicaux et des informations biométriques, tant pour leur formation, leurs tests et leur validation que lorsqu'ils sont utilisés dans le cadre de la prise de décision et de la prévision. La sécurité des données, la confidentialité et l'utilisation abusive potentielle, comme les violations ou le partage non autorisé, font partie des préoccupations[3]. En outre, les individus peuvent être confrontés à des difficultés pour exercer un contrôle sur leurs données, en particulier lorsqu'elles sont incluses dans des ensembles de données d'entraînement à l'IA. La divulgation de données sur la santé peut avoir de profondes répercussions sur la vie privée et familiale, ainsi que sur la situation sociale et professionnelle, avec un risque de stigmatisation et d'exclusion. C'est pourquoi les législations nationales doivent prévoir des garanties pour empêcher le partage ou la divulgation non autorisés, afin de respecter les garanties de l'article 8[4].

 


[1] Surikov c. Ukraine, No. 42788/06, 26 janvier 2017, §§ 70 et 89.

[2] Voir, par exemple, les articles 4 et 9 et les considérants 35 et 53 du RGPD, qui définissent les termes « données relatives à la santé », « données génétiques » et « données biométriques ».

[3] Voir également le rapport du CDBIO sur le rôle des professionnels de la santé et des prestataires de soins de santé dans la collecte, la génération et l'enrichissement, ainsi que dans la sauvegarde des données de santé (Report on the role of health professionals and healthcare providers in collecting, generating and enriching), pp. 21-23, qui fait référence à une décision rendue en 2017 par l'Information Commissioner's Office (ICO) du Royaume-Uni, constatant une violation de la loi applicable en matière de protection des données et du droit à la vie privée dans le cas d'un établissement de soins de santé ayant accordé à une société privée l'accès à plus d'un million de fichiers de données de patients pseudonymisés afin de tester un système d'intelligence artificielle en cours de développement.

[4] Z. c. Finlande, No. 22009/93, 25 février 1997, § 95.