Le Centre Commun de Recherche de la Commission Européenne a publié le 13 juin 2025 son “2025 GenIA Outlook Report” consacré au rôle transformateur de l'IA générative (GenIA) dans l'Union Européenne.[1] Le rapport comprend notamment une analyse approfondie du secteur des soins de santé, qui examine comment la GenIA pourrait avoir de nombreux effets socio-économiques positifs dans ce secteur si les développeurs d'IA, les cliniciens, les chercheurs et les régulateurs étaient en mesure de mettre en balance les nombreuses opportunités et possibilités offertes par la GenIA avec ses pièges et ses risques. Nous exposons ci-dessous les points les plus importants.
De l'IA traditionnelle à la GenIA : applications dans le secteur des soins de santé
Selon le rapport, la GenIA offre des opportunités considérables en matière d'innovation dans le domaine des soins de santé. Alors que l'IA traditionnelle dans le domaine des soins de santé effectue des prédictions ou des classifications sur la base de données existantes, telles que la reconnaissance de maladies sur des scans ou l'analyse de dossiers de patients, la GenIA va plus loin: elle apprend la structure sous-jacente des données de santé et peut générer de nouvelles données réalistes, telles que des images médicales synthétiques et anatomiquement plausibles de différentes typologies. Les applications (potentielles) de la GenIA dans le domaine des soins de santé sont donc multiples. Tout d'abord, GenIA peut aider à établir des diagnostics différentiels et proposer des tests diagnostiques ou des protocoles de traitement. GenIA peut ainsi réduire la surcharge cognitive des professionnels de santé et renforcer le jugement humain en recueillant des informations à partir de millions de dossiers de patients et de données bibliographiques. Cela pourrait permettre de réduire les retards ou les erreurs de diagnostic. Deuxièmement, la GenIA peut améliorer l'interprétation des images médicales (telles que les IRM et les tomodensitogrammes) et faciliter la détection précoce de maladies telles que le cancer ou les maladies neurologiques. Troisièmement, GenIA peut contribuer à une médecine plus personnalisée : en combinant les données des patients avec les connaissances médicales, GenIA peut proposer des plans de traitement individuels, adaptés aux facteurs génétiques, sociaux et comportementaux. Quatrièmement, le rapport considère GenIA comme une amélioration potentielle de la recherche en matière de soins de santé, tant en ce qui concerne le développement de médicaments que les essais cliniques qui peuvent être simulés par une population synthétique (les « in silico trials »).
Les risques et les pièges de la GenIA dans le domaine des soins de santé
Dans le même temps, le rapport met en garde contre les risques liés à la sécurité des patients, à la responsabilité et à la transparence, et souligne les défis spécifiques suivants.
Premièrement, les modèles GenIA peuvent perpétuer, voire renforcer, les inégalités existantes en matière de soins de santé s'ils sont formés à partir de jeux de données biaisés ou limités ou s'ils sont évalués sur la base de tâches permettant de mesurer leur utilité pratique pour les systèmes de santé. À cet égard, le rapport souligne l'importance du règlement sur l'espace européen des données de santé. En s'attaquant aux problèmes de fragmentation et d'interopérabilité des données, l'espace européen des données de santé pourrait mettre à disposition des ensembles de données plus larges et potentiellement plus représentatifs, ce qui constitue une étape nécessaire – mais insuffisante en soi – pour former des modèles GenIA moins biaisés. En outre, ce cadre pourrait également contribuer à résoudre les complexités liées au RGPD en ce qui concerne l'utilisation secondaire des données de santé. Deuxièmement, les modèles GenIA pourraient générer des éléments qui semblent plausibles à première vue, mais qui, en réalité, ne sont pas basés sur des données épistémiques. Troisièmement, le fait que la GenIA génère du contenu à partir de modèles probabilistes issus de données d'entraînement comporte un risque potentiel, à savoir que le résultat soit principalement une répétition sophistiquée d'informations existantes, ce qui peut nuire à l'expertise médicale et à la créativité humaines. Il est donc essentiel de mesurer systématiquement l'incertitude dans les résultats générés dans les applications de santé.
Défis liés aux données et à la confidentialité de la GenIA
Le rapport souligne également l'existence de défis en matière de données et de confidentialité : les modèles GenIA nécessitent des ensembles de données volumineux, diversifiés et de qualité, mais les données médicales sont souvent fragmentées et non standardisées. Les problèmes liés aux données constituent un obstacle majeur, en particulier pour les maladies rares et les groupes sous-représentés. Bien que les données synthétiques puissent compléter les ensembles de données, il existe des risques de biais, de surajustement et de réidentification. Il est nécessaire de mettre en place davantage de techniques de protection de la vie privée.
Qu'en est-il de l'infrastructure, de l'interopérabilité et de la cybersécurité ?
Enfin, le rapport fait remarquer que de nombreux établissements de soins de santé ne disposent pas aujourd'hui de l'infrastructure informatique nécessaire pour la GenIA, qui exige une puissance de calcul, une capacité de stockage et une capacité de réseau importante. Plus précisément, il existe une tension entre la centralisation de l'infrastructure et la nécessité d'un « apprentissage fédéré »[2] pour protéger la vie privée. L'interopérabilité reste difficile, car les données de santé sont dispersées dans différents systèmes, souvent obsolètes ou propriétaires. En outre, la GenIA comporte également des risques cybernétiques, tels que la « model inversion »[3] , le « data poisoning »[4] et la « prompt injection »[5] , qui peuvent compromettre à la fois la confidentialité et la sécurité des patients.
Les défis juridiques du RGPD liés à la GenIA dans le domaine du droit de la santé
Le rapport met explicitement en lumière un certain nombre de problèmes que pose le traitement des données de santé personnelles dans le cadre du RGPD dans un environnement GenIA.
Tout d'abord, une base juridique est toujours nécessaire pour traiter légalement des données à caractère personnel. Pour les modèles d'IA, il peut s'agir de l'« intérêt légitime », mais cela nécessite un test d'intérêt entre les intérêts du responsable du traitement et les droits des personnes concernées.[6] Cela est très difficile à réaliser avec des ensembles de données volumineux et diversifiés. Le Comité européen de la protection des données reconnaît les risques que présente l'IA pour les droits fondamentaux et souligne que chaque situation doit être évaluée individuellement. Si l'intérêt légitime n'est pas applicable, d'autres bases telles que le consentement doivent être envisagées, même si cela est pratiquement irréalisable à l'échelle de la formation GPAI.
Deuxièmement, en vertu du RGPD, le responsable du traitement (celui qui détermine la finalité et les moyens du traitement des données à caractère personnel) est responsable.[7] Pendant la phase de développement (telle que la collecte de données et la formation), il est encore assez facile de déterminer comment ce responsable du traitement doit être défini, mais après le déploiement d'un modèle, cela devient beaucoup plus complexe. Cela soulève également la question de savoir si les modèles formés à partir de données traitées de manière illicite (« fruit de l'arbre empoisonné ») compromettent la licéité des données à caractère personnel ultérieures et, par conséquent, engagent la responsabilité du responsable du traitement qui se base sur ce modèle pour ses systèmes GenIA.
Troisièmement, la question se pose de savoir si l'ensemble des droits[8] dont disposent les personnes dont les données à caractère personnel sont traitées dans le cadre d'une activité donnée pourra être mis en œuvre dans le cas de la GenIA. Par exemple, le droit de ne pas être soumis à des processus décisionnels individuels automatisés, avec les garanties qui y sont associées, telles que l'intervention humaine, semble difficilement compatible avec le fonctionnement des systèmes GenIA, car leur production est souvent le résultat de processus algorithmiques complexes et non transparents dans lesquels l'intervention humaine n'est pas évidente.[9]
Dalia Van Damme
[1] K. ABENDROTH DIAS et al., Generative AI Outlook Report - Exploring the Intersection of Technology, Society and Policy, Office des publications de l'Union européenne, Luxembourg, 2025, https://data.europa.eu/doi/10.2760/1109679 , JRC142598.
[2] Le « federated learning » est une technique décentralisée d'apprentissage automatique qui permet à plusieurs gestionnaires de données de former conjointement un modèle d'IA partagé sans échanger leurs données brutes. Elle permet des mises à jour itératives : les clients entraînent le modèle localement sur leurs propres données, partagent les mises à jour du modèle avec un coordinateur central et reçoivent un modèle global amélioré. Cette approche garantit la confidentialité et la sécurité des données et est utilisée dans divers contextes, des appareils mobiles aux domaines sensibles tels que les soins de santé, où les modèles peuvent être entraînés sur les données des patients sans partager d'informations confidentielles. Commission européenne, Centre commun de recherche. M. Bacco, S. Kanellopoulos, M. Di Leo, A. Kotsev, A. Friis-Christensen, Technology Safeguards for the Re-Use of Confidential Data, Commission européenne, Ispra, 2025, JRC141298.
[3] L'« inversion de modèle » est un type d'attaque IA dans lequel un attaquant utilise la sortie (par exemple, les indicateurs qui indiquent une maladie cardiaque spécifique) d'un modèle d'apprentissage automatiquepour entraîner un « modèle d'inversion » distinct qui tente de reconstruire les données d'entrée d'origine (par exemple, les données médicales de la personne atteinte de la maladie cardiaque spécifique), ce qui permet de déduire des informations personnelles ou confidentielles sur les personnes concernées sans avoir directement accès à l'ensemble de données d'origine.
[4] Le « data poisoning » consiste à manipuler les données d'entraînement d'un modèle d'IA dans le but de faire en sorte que le modèle génère des résultats biaisés ou dangereux lors de son utilisation.
[5] L'« injection de prompt » est un risque de sécurité dans lequel un utilisateur ajoute des données malveillantes à un prompt, ce qui fait qu'un modèle ignore les instructions originales du développeur et que le comportement du modèle peut être manipulé.
[6] Art. 6(1)(f) du RGPD.
[7] Article 5, paragraphe 2, du RGPD.
[8] Articles 15 à 22 du RGPD.
[9] Article 22 du RGPD.
