Depuis l'arrivée fracassante de l'intelligence artificielle générative[1] dans le monde des médias, déclenchée par chatGPT de la part d'OpenAI, l'intelligence artificielle (IA) est sur toutes les lèvres. Des peurs sous-jacentes se répandent dans la population, l'éducation doit se réinventer - comme lors de l'introduction de la calculatrice - et dans le secteur de la santé, on craint que les robots ne nous soignent bientôt sans surveillance. Et ce, bien que la recherche et l'application de l'IA remontent au milieu du siècle dernier et ne soient donc pas si récentes. Actuellement, le législateur européen tente de contrecarrer ces émotions de manière rassurante et a mis en vigueur la première loi au monde sur l'IA, l'EU AI Act .[2]
Dans notre podcast[3] , nous sommes parvenus à la conclusion que la réglementation de l'IA par les pouvoirs publics devrait se baser sur un équilibre sociétal entre les avantages et les risques. Dans le dernier blog[4] , nous avons examiné l'influence potentielle de l'EU AI Act sur différentes applications. Dans de nombreux exemples, il n'est pas clair comment celle-ci doit être mise en œuvre et quel sera l'impact de telles interventions réglementaires sur les différents domaines.
Dans cet article, nous nous demandons si les dispositions réglementaires telles que le EU AI Act pour le domaine des dispositifs médicaux sont proportionnées et nécessaires dans leur forme actuelle. Le domaine de la santé est particulièrement important pour la société et donc un domaine très sensible et déjà fortement réglementé. Il est possible de faire deux remarques préalables. 1) En raison de la définition très large des systèmes d'IA dans l'EU AI Act, il peut être difficile de savoir quels systèmes sont effectivement concernés[5] . En revanche, un expert technique peut déterminer rapidement s'il s'agit ou non d'un système d'IA pertinent dans un cas concret et quel est son potentiel de risque, si tant est qu'il en existe un. 2) De nombreuses questions restent en suspens quant à la manière dont l'EU AI Act sera mis en œuvre pour les systèmes d'IA à haut risque, ce qui inclut les MedTech[6] . Cela inquiète les responsables de la mise sur le marché - en particulier les fabricants de dispositifs médicaux qui utilisent l'IA avec succès et sans problème depuis des années. Et il est bien connu que l'incertitude est un "poison" pour l'innovation.
L'exemple du Medical Device Regulation (EU MDR)[7] illustre bien les conséquences que peut avoir une législation d'harmonisation de l'UE pour la Suisse.
Il n'existe actuellement pas de loi spécifique sur l'IA en Suisse. Une telle loi s'appuiera probablement sur la définition de l'OCDE[8] et sur la convention-cadre du Conseil de l'Europe[9] , à laquelle elle a contribué activement. Cette définition a déjà été reprise, légèrement modifiée, dans le EU AI Act[10] . De même, la proposition de loi californienne "Safe and Secure Innovation for Frontier Artificial Intelligence Models Act" utilise une version légèrement modifiée de cette définition[11] . Une harmonisation potentielle se dessine donc ici. Pour l'UE, le AI Act mentionné plus haut est en vigueur depuis cet été. Pour les dispositifs médicaux, la voie réglementaire fondamentale avec ou sans AI Act est déjà visible aujourd'hui. Un système d'IA médical comprend un logiciel qui contient des éléments d'IA. Un tel logiciel (seul ou combiné à un produit) est réglementé par le MDR de l'UE. Il est attribué à une classe de risque[12] ; en outre, une classe de sécurité du logiciel est déterminée[13] . Le rapport bénéfice/risque est une exigence fondamentale de sécurité et de gestion de l'EU MDR[14] : la sécurité du produit est atteinte par le contrôle des risques. L'IA est un risque évident dans un système médical[15] . Le point central est donc la gestion des risques[16] , qui est également une exigence du EU AI Act[17] . Les thèmes tels que la gestion des risques, la cybersécurité, l'IA et la qualité sont couverts dans les MedTech par des systèmes de gestion correspondants, qui sont en outre intégratifs[18] . Ces systèmes se basent sur des normes reconnues au niveau international, dont la plupart ont déjà été harmonisées par l'UE .[19]
On peut donc se demander pourquoi l'EU AI Act est encore nécessaire pour le secteur MedTech. Toutes les exigences de l'EU AI Act, à savoir le système de gestion des risques, les données et la gouvernance des données, la documentation technique (DT), l'obligation de consigner, l'enregistrement, la transparence, etc. sont déjà couvertes par l'EU MDR. Lors de la mise en œuvre, il se pourrait qu'un fabricant de dispositifs médicaux doive faire certifier ses systèmes de gestion auprès de deux organismes notifiés (notified bodies, NB) et faire vérifier sa DT de produit deux fois séparément par un NB. En effet, rares sont les organismes de certification qui seront accrédités pour les deux domaines (c.-à-d. technique médicale et IA). L'effort à fournir est important. Même si un NB européen accrédité dans le domaine des technologies médicales parvenait à s'accréditer également pour le EU AI Act, le "scope" correspondant entraînerait immédiatement des restrictions. Il en va de même pour l'obligation d'enregistrement dans une base de données européenne séparée pour les systèmes d'IA. L'EUDAMED existe déjà pour les technologies médicales.
Il est donc à craindre qu'avec l'AI Act de l'UE, beaucoup de choses se passeront à double pour les MedTech utilisant l'IA. Il n'y aura probablement qu'une ou deux grandes NB qui pourront proposer les deux en même temps. Les MedTech innovantes seront ainsi loin de la procédure de conformité et très proches de la procédure d'autorisation, ce qui représenterait un changement de paradigme important pour l'accès au marché. De plus, les règlements de l'UE aggravent les problèmes au niveau de la certification, car l'accès à un organisme accrédité devient un goulot d'étranglement. En Suisse, il n'existe plus du tout d'organisme accrédité pour les MedTech. Nous sommes devenus dépendants de l'UE dans ce domaine. Si le marché intérieur européen ne compte plus que quelques grandes NB accréditées, le "savoir-faire" suisse, si important, s'écoulera à l'étranger. C'est ce qui s'est déjà produit avec la MDR.
Les grandes entreprises peuvent plus ou moins avaler de tels obstacles réglementaires (et répercuter les coûts qui en découlent sur le produit). Mais pour les petites et moyennes entreprises, elles représentent un véritable défi. Et pour les start-ups et les spin-offs de nos hautes écoles et universités, ils constituent un argument de poids. On peut ici se demander sans crainte pourquoi nous investissons autant d'argent dans l'invention si nous entravons ensuite l'innovation, c'est-à-dire la mise en œuvre économique réussie d'une invention au profit de la société. Une menace similaire pèse sur l'AI Act de l'UE, comme décrit plus haut. Il serait souhaitable que la Suisse tire les leçons de l'histoire (en l'occurrence de l'expérience de l'UE MDR).
Les États-Unis proposent une autre voie[20] . La loi sur l'IA proposée en Californie doit avant tout réglementer les risques les plus élevés. Les dispositifs médicaux ne sont que rarement concernés par la proposition de loi, car ils ne répondent guère aux exigences d'un "Covered Model"[21] - contrairement aux grands modèles d'IA génératifs. La FDA, l'autorité américaine d'autorisation des produits médicaux, publie en permanence des directives (add-on) et veille ainsi à la clarté et à la sécurité du thème "AI/ML-enabled Medical Device". Il n'est donc pas étonnant qu'aux États-Unis, de nombreux dispositifs médicaux basés sur l'IA soient mis sur le marché sans problème et avec succès[22] . L'Europe, en revanche, a des années de retard. Les fabricants MedTech suisses se lancent eux aussi en premier lieu sur le marché américain avec des produits concernés et exigent que les produits autorisés par la FDA soient acceptés en Suisse[23] . Certains produits ne sont plus du tout disponibles en Suisse en raison des exigences réglementaires élevées. Notre marché est trop petit et les efforts ne sont donc pas justifiés.
MedTech fait depuis des années de bonnes expériences avec les systèmes de gestion. Des normes internationales existent également pour l'IA, en particulier pour les systèmes de gestion[24] . Cette approche est déjà mise en œuvre avec succès en Europe[25] et en Suisse pour la cybersécurité[26] . Pourquoi ne pas choisir la voie de l'expertise et de la concertation internationale, afin de pouvoir procéder ultérieurement à des ajustements ciblés - au lieu de vouloir tout regrouper sur le plan politique, comme c'est le cas pour l'IA ? L'approche de l'UE jette le bébé avec l'eau du bain et entraîne une perte importante de savoir-faire et d'expérience pour la Suisse - comme le montre également l'expérience de la MDR. Dans un domaine aussi important que l'IA, cela serait fatal pour la Suisse en tant que pays de formation.
La Suisse ne devrait donc pas prévoir de règles supplémentaires pour l'IA dans le domaine des technologies médicales et tirer les leçons des expériences négatives faites avec le MDR de l'UE. Une interdiction de certains systèmes d'IA semble également judicieuse en Suisse[27] . Toutefois, le niveau de détail d'une loi spécifique sur l'IA et les exigences effectivement importantes pour la protection de la société n'ont pas été clarifiés jusqu'à présent. Dans le domaine de la technique médicale en tout cas, on peut affirmer en toute bonne conscience que tous les défis sont déjà couverts et qu'une reproduction de l'EU AI Act dans ce domaine ne produira probablement que plus de papier. Les consultants nécessaires, qui ont déjà poussé comme des champignons après l'EU MDR, s'en réjouiront. Dans ce genre de situation, il y a toujours des gagnants (et par conséquent des perdants). Qui le sera cette fois ?
[1] L'IA générative se distingue de l'IA discriminatoire dans la mesure où elle ne reconnaît pas de modèles ou ne les associe pas à des modèles appris (p. ex. l'IA diagnostique dans la MedTech pour la reconnaissance d'une maladie), mais crée des contenus tels que du texte, des images, de la musique, de l'audio et des vidéos, resp. les génère à l'aide de procédés statistiques.
[2] Règlement (UE) 2024/1689 (eur-lex.europa.eu/eli/reg/2024/1689/oj)
[3] Un regard lucide sur le mythe de l'IA : l'impact de l'intelligence artificielle sur l'être humain (www.satw.ch/de/news/ein-nuechterner-blick-auf-den-mythos-ki-auswirkungen-von-kuenstlicher-intelligenz-auf-den-menschen)
[4]Comment l'"intelligence artificielle" doit-elle être réglementée ? - Un exercice d'équilibre entre innovation et risque socialement acceptable (www.satw.ch/de/news/wie-soll-kuenstliche-intelligenz-reguliert-werden-eine-gratwanderung-zwischen-wohlstandsstiftender-innovation-und-gesellschaftsvertraeglichem-risiko)
[5] Règlement (UE) 2024/1689, article 96, point f)
[6] Règlement (UE) 2024/1689, article 6, point 1
[7] Règlement (UE) 2017/745 (eur-lex.europa.eu/legal-content/DE/TXT/)
[8] Qu'est-ce qu'un système IA ? (oecd.ai/en/wonk/definition)
[9] Convention-cadre du Conseil de l'Europe sur les IA et les droits de l'homme, la démocratie et le respect de la loi, article 2 (rm.coe.int/1680afae3c)
[10] Règlement (UE) 2024/1689, article 3, point 1 (eur-lex.europa.eu/eli/reg/2024/1689/oj)
[11] CA SB 1047, 22602, (b) (leginfo.legislature.ca.gov/faces/billNavClient.xhtml)
[12] Règlement (UE) 2024/1689, annexe VIII, règle 11 (eur-lex.europa.eu/eli/reg/2024/1689/oj)
[13] EN ISO 62304, section 4.3
[14] Règlement (UE) 2024/1689, annexe I, point 1 (eur-lex.europa.eu/eli/reg/2024/1689/oj)
[15] Règlement (UE) 2024/1689, article 6, point (1), (a) et annexe I, section A (eur-lex.europa.eu/eli/reg/2024/1689/oj)
[16] Règlement (UE) 2024/1689, annexe I, point 1-5 (eur-lex.europa.eu/eli/reg/2024/1689/oj) et EN ISO 14971
[17] Règlement (UE) 2024/1689, article 9
[18] www.sqs.ch/de/blog/ims-was-ist-ein-integriertes-managementsystem
[19] EN ISO 13854, EN ISO/IEC 27001, ISO/IEC 42001 et EN ISO 14971
[20] CA SB 1047 (leginfo.legislature.ca.gov/faces/billNavClient.xhtml)
[21] CA SB 1047, 22602, (c) (1) (leginfo.legislature.ca.gov/faces/billNavClient.xhtml)
[22] https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-aiml-enabled-medical-devices
[23] www.swiss-medtech.ch/sites/default/files/2023-05/Swiss%20Medtech_Position_Motion_20.3211_DE.pdf
[24] ISO/IEC 42001
[25] Règlement (UE) 2022/2555 (eur-lex.europa.eu/legal-content/DE/TXT/)
[26] www2.post.ch/-/media/post/ueber-uns/dokumente/factsheet-zertifizierungen.pdf, www.swisscom.ch/de/about/governance/risikomanagement/iso-iec-managementsystem.html, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html, www.ar.admin.ch/de/informationssicherheit, swissgrc.com/staerkung-der-digitalen-resilienz-das-informationssicherheitsgesetz-des-bundes-isg/, etc.
[27] Comment l'"intelligence artificielle" doit-elle être réglementée ? - Un exercice d'équilibre entre innovation et risque socialement acceptable (https://www.satw.ch/de/news/wie-soll-kuenstliche-intelligenz-reguliert-werden-eine-gratwanderung-zwischen-wohlstandsstiftender-innovation-und-gesellschaftsvertraeglichem-risiko)
