L'IA à finalité médicale (IAM) fait-elle partie de la réglementation des dispositifs médicaux ?

Les algorithmes de l'IA à finalité médicale (IAM) intègrent de plus en plus les dispositifs médicaux (DM) connectés, notamment ceux utilisés pour la télésurveillance médicale des maladies chroniques. Ils permettent un suivi plus personnalisé. Relèvent-ils de la même réglementation que celle des DM ? Une récente étude de droit comparée sur la réglementation européenne et celle en vigueur aux USA mérite d'être rapportée et discutée. Elle concerne en particulier l'IA appliquée aux dispositifs de radiologie, mais la réflexion juridique peut aussi s'étendre aux DM connectés utilisés dans les organisations de télésurveillance médicale à domicile des maladies chroniques.

Pesapane F, Volonté C, Codari M, Sardanelli FArtificial intelligence as a medical device in radiology : ethical and regulatory issues in Europe and the United States. Insights Imaging. 2018 Oct ;9(5) :745-753. doi: 10.1007/s13244-018-0645-y. Epub 2018 Aug 15. Review.

Après avoir rappelé les différents niveaux d'IA, l'apprentissage automatique (Machine Learning) où des ordinateurs de plus en plus puissants apprennent automatiquement à partir de l'accumulation des données qui leur sont fournies, et l'apprentissage en profondeur (Deep Learning) où le système algorithmique devient capable de répondre de manière indépendante et de faire des prédictions, les auteurs s'interrogent sur l'impact de ces deux niveaux d'IA sur le métier de médecin, le premier niveau (Machine Learning) pouvant être une aide précieuse au diagnostic et à la décision thérapeutique, le deuxième niveau (Deep Learning) étant plus complexe à gérer puisque le médecin peut être confronté à une décision de l'IA à laquelle il n'a pas pensé et vis à vis de laquelle il n'a aucun moyen de contrôle.

Il en découle des réflexions sur les nouvelles responsabilités engagées.

Quels sont les défis de l'IA en médecine et en radiologie ?

Le développement des algorithmes, grâce à la facilité d'accès aux ressources informatiques, permet d’utiliser l’IA comme aide à la prise de décision médicale, avec des résultats déjà prometteurs. L'utilisation des techniques d'IA en radiologie est un sujet de recherche intense. C’est ainsi que des algorithmes du Deep Learning sont actuellement utilisés pour la détection du cancer du sein par mammographie, pour le diagnostic du cancer du côlon par scanner, pour la détection des nodules pulmonaires par radiographies thoraciques, pour l'identification d'une tumeur au cerveau et pour le diagnostic de troubles neurologiques, tels que la maladie d'Alzheimer, par l'IRM cérébrale.

L'intérêt de l'IA en radiologie est illustré par le nombre de publications annuelles qui est passé de 100-150/an il y a dix ans à plus de 800/an depuis 2017.

Certains problèmes éthiques se posent. L'un d'entre eux est celui de savoir si les algorithmes reflètent toujours l'intérêt général des humains dans la prise de décision, quel que soit l'origine ethnique de la personne. Par exemple, à l’heure de mondialisation, l’appartenance ethnique et son interprétation par l’IA posent des questions non résolues à ce jour.

Des biais de nature ethnique sont-ils involontairement intégrés à des algorithmes de l'IAM ? Il a déjà été démontré que certaines applications d'IA, introduites dans des domaines non médicaux, prennent des décisions entachées de biais inhérents aux données utilisées pour les construire. Récemment, un programme conçu aux USA pour aider les juges à déterminer la peine d'un délinquant à partir du risque de récidive a montré une propension anormale à la discrimination ethnique.

En médecine, un algorithme conçu pour prédire des résultats d'analyses génétiques peut être biaisé s'il n'y a pas eu d'études génétiques dans toutes les populations. Pour les DM, certains dispositifs pourraient être programmés pour des objectifs contraires à l'éthique. Tout le monde se souvient du scandale de l'algorithme de Volkswagen qui permettait aux véhicules de passer avec succès les tests d'émissions en réduisant la valeur des taux d'oxydes d'azote lors des contrôles techniques. 

De manière analogue, les concepteurs d'algorithmes d'IAM à visée clinique pourraient être soumis à des tentations similaires, en construisant, par exemple, des  algorithmes qui guideraient les patients vers des actes cliniques susceptibles de générer des profits accrus pour les promoteurs du système d'IA (en recommandant certains médicaments, en prescrivant certains tests biologiques, etc.), ce qui ne correspondrait pas nécessairement aux recommandations élaborées de manière indépendante par les sociétés médicales savantes.

Deux approches réglementaires pour accompagner l'innovation

Le premier aspect qui est pris en compte par les décideurs politiques lors de l'élaboration d'une réglementation dans un domaine innovant est la définition même de l'innovation concernée. Elle doit être consensuelle. Il faut par exemple bien définir ce qu'est l'intelligence, à quoi doit-elle s'adapter, qu'elle soit humaine ou artificielle. Quelles sont les parties de l'intelligence humaine (IH) que l'on souhaite confier à l'IA ? Comment l'IH et l'IA se fertilisent entre elles, se nourrissent l'une de l'autre ? Ces questions sont particulièrement d'actualité dans les applications de l'IA à la médecine.

Il faut bien reconnaitre qu'il n'existe pas aujourd'hui de consensus sur les finalités des systèmes d'IA en général. Quelle structure faut-il alors mettre en place pour canaliser l'IA vers des innovations d'intérêt général ? On parle souvent de gouvernance ou d'arbitrage politique. La gouvernance mise en place par exemple à l'Université d'Harvard aux USA est une Fondation pour l'éthique et la gouvernance de l'IA. Tout le monde aujourd'hui en convient, il ne faut pas laisser l'IA évoluer seule, il faut un cadre réglementaire qui vérifie l'intérêt général de telle innovation, son caractère humaniste et éthique. (Il faut se réjouir qu'en France la question de la garantie humaine de l'IA soit intégrée à la nouvelle loi Bioéthique)

Une question que se posent les décideurs politiques est celle de savoir si un logiciel construit avec un algorithme de l'IA et utilisé dans les soins de santé est ou non un dispositif médical relevant de la législation en vigueur. L'Union Européenne (UE) et les États-Unis ont leurs propres critères d'identification des dispositifs de soins de santé et des dispositifs médicaux. Bien que les deux définitions des DM ne soient pas identiques, les réglementations visent un même objectif, c'est à dire vérifier que l'intérêt général des citoyens a bien été pris en compte dans les systèmes algorithmiques innovants.

Pour certains auteurs, les programmes d'IAM qui analysent de grandes quantités de données afin de développer de nouvelles connaissances sur une maladie ou sur l'état d'une personne ne sont pas des DM. Alors que les systèmes d'IAM qui sont construits comme des aides au diagnostic médical ou à une décision thérapeutique en font partie. C'est la distinction fondamentale entre les programmes de recherche qui améliorent les connaissances médicales et ceux qui visent un impact direct sur les soins de santé. Cette distinction d'objectif permet de qualifier un système d'IA comme relevant de la réglementation ou non d'un DM. 

Comment les systèmes d'IA peuvent-ils être réglementés ?  

Une première approche pourrait être fondée sur le principe de précaution, qui impose certaines limites ou parfois des interdictions totales à des applications d'IA en raison de leurs risques potentiels. Cela signifie que les applications d'IA interdites par la réglementation ne seront jamais testées en raison de ce qui peut arriver dans les conditions les plus défavorables. 

L’autre approche serait fondée sur le principe de l’innovation sans permission qui permettrait aux expérimentations de se dérouler librement, les éventuels problèmes étant traités au fur et à mesure qu’ils se présentent.

La réglementation ex ante est préemptive et tente de prévoir les risques, elle s'applique au principe de précaution. La réglementation ex post est rétrospective, elle se concentre sur la réparation des dommages réellement survenues. Elle concerne le principe de l'innovation sans permission.

Le principe de précaution et le principe de l'innovation sans permission sont-ils applicables à l'IAM lorsque le système repose sur l'apprentissage profond (Deep Learning) ?

La réglementation ex post est difficilement compatible avec un tel système d'IAM construit avec un algorithme d'apprentissage profond, car ce type d'algorithme est en perpétuelle évolution et change constamment et de manière imprévisible en fonction de l’expérience acquise. Le principe de l'innovation sans permission devient donc difficile à appliquer puisque la performance de l'algorithme n'est jamais stabilisée et en perpétuelle évolution.

La réglementation ex ante peut être aussi difficile à appliquer à cause de l’opacité (boite noire) des formules algorithmiques du Deep Learning, en particulier lorsqu'il s'agit d'identifier ex ante les risques potentiels du système. Il serait alors tentant d'appliquer un principe de précaution qui irait jusqu'à l'interdiction.

Ces premiers constats expliquent pourquoi la réglementation actuelle des dispositifs médicaux avec IA est de plus en plus controversée. Elle est sujette aux aléas des directives et d'interprétations  des autorités politiques plus subjectives qu'objectives.

Aux États-Unis, le secteur des nouvelles technologies a prospéré avec un contexte politique qui favorise le principe d'innovation sans autorisation. A l'inverse, l’Union Européenne a adopté une politique différente vis à vis des innovations en faisant prévaloir le principe de précaution.

L’approbation plus rapide des DM aux Etats-Unis contribue au développement du marché, et les médecins peuvent en bénéficier avec un choix important de DM. Cependant, l’objectif final d'une mise sur le marché de nouveaux DM doit reposer sur l’amélioration de la prévention, du diagnostic, du traitement et du pronostic des maladies en s'assurant que l'impact sera positif sur la santé des patients. Les systèmes d’autorisation de mise sur le marché de nouveaux DM doivent ainsi garantir l'absence de risques pour les patients ou du moins les protéger de leur apparition éventuelle.

L'approche réglementaire comparée de l'Union Européenne et des Etats-Unis.

Le régime réglementaire européen actuellement en vigueur découle de trois directives sur les dispositifs médicaux (90/385/CEE, 93/42/CEE, 98/79 /CEE)  et impose aux fabricants de veiller à ce que les dispositifs qu'ils produisent soient adaptés à l'usage auquel ils sont destinés. Cela signifie qu'ils doivent se conformer à un certain nombre d'exigences essentielles énoncées par les directives elles-mêmes. Selon la classification des risques du DM, le respect des exigences essentielles peut être évalué par le fabricant ou par un organisme certifié indépendant et nommé par les autorités compétentes des États membres de l'UE.

Ce cadre a été réformé par le nouveau règlement sur les DM, abrogeant les directives antérieures, (MDR) (Règlement (UE) 2017/745) et celui sur les DM dédiés au diagnostic in vitro (iVDR) (Règlement (UE) 2017/746). Les deux sont entrés en vigueur le 25 mai 2017, mais le MDR s'appliquera dans tous les états membres à partir du 26 mai 2020  tandis que l'IVDR s'appliquera à partir du 26 mai 2022. Par opposition aux directives, les règlements s'appliquent directement, sans nécessité, pour les gouvernements des Etats membres de l'UE, d’adopter une loi pour les mettre en œuvre.

Le règlement général sur la protection des données (RGPD) s'applique à compter du 24 mai 2018 et remplace le cadre juridique européen de la protection des données défini par la directive 95/46 /CEE. 

Le RGPD est un instrument plus approprié pour réglementer l'IAM car il a une portée territoriale étendue et des droits plus étendus pour les personnes concernées. Par exemple, les obligations de notification renforcées (en vertu de l'article 33, les violations de données à caractère personnel doivent être notifiées à l'autorité de contrôle dans un délai de 72 h), ainsi que les droits à réparation d'un préjudice avec une responsabilité supplémentaire des responsables du traitement des données (article 88).

Aux États-Unis, la réglementation qui permet aux DM avec IAM de faire le travail des radiologues est considérée comme un frein important au développement des DM. La quantité d'études nécessaires pour obtenir l'autorisation de la Food and Drug Administration (FDA) est considérable. Permettre aux DM avec IAM de fournir des interprétations primaires d'imagerie médicale, sans l’intervention du radiologue, est une véritable marche du combattant pour les promoteurs.

À la fin de l’année 2016, la loi fédérale sur les traitements du 21ème siècle (https://www.congress.gov/bill/114th-congress/house-bill/34)  a clarifié le champ d'application de la juridiction de la FDA en matière de logiciels utilisés dans les soins de santé, en précisant qu'un DM est un outil destiné à être utilisé dans le diagnostic d'une maladie ou dans un but de guérir, d’atténuer, de traiter ou de prévenir une maladie chez l'homme. Il existe d’autres facteurs qui restreignent davantage la définition du DM.

Chaque système d’IAM qui entre dans cette définition restrictive sera réglementé par la FDA. Comme l’UE, la FDA classe les dispositifs médicaux en trois classes, en fonction de leurs utilisations et de leurs risques, et arrête des réglemente spécifiques en conséquence. Plus le risque est élevé, plus le contrôle est strict. La classe III est la catégorie qui comprend les dispositifs qui présentent le plus grand risque.

La réglementation sur le traitement des données personnelles est moins stricte que dans l’UE. Toutefois, les violations intervenues récemment (Cambridge Analytica / Facebook) devraient conduire le gouvernement américain à prendre des mesures plus rigoureuses vis-à-vis du comportement des entreprises.

La loi sur la transférabilité et la responsabilité en matière d’assurance maladie (HIPAA) est une priorité en matière d’information sur la santé. Cette loi élabore des règles exigeantes, en particulier la mise en place de systèmes de formation pour ceux qui ont accès à des données sensibles. En outre, la HIPAA n'entrave pas l'action des États individuels, car elle protège davantage le droit de chacun à la vie privée.

En résumé....

Les DM basés sur l'IA devraient être conçus en référence à des normes éthiques au même titre que les pratiques professionnelles avec leurs obligations déontologiques auxquelles se réfèrent les acteurs de la santé . Une étape clé sera de déterminer comment la réglementation parviendra à garantir ces pratiques éthiques. Une bonne application de l'IAM peut être déterminante et de grande utilité pour les patients. Au contraire, une utilisation mauvaise ou contraire à l'éthique peut être dangereuse. Les patients et leurs représentants, les médecins (notamment les radiologues) et les autorités de régulation doivent travailler ensemble pour éviter les dérives.

21 janvier 2019