Les contrats d'IA dans le domaine des soins de santé : éviter le désastre des données

Pour les entreprises d'IA dans le domaine des soins de santé, les données sont primordiales. Elles alimentent les performances des modèles, favorisent la différenciation des produits et peuvent faire ou défaire la scalabilité. Pourtant, trop souvent, les droits sur les données sont vaguement définis ou complètement ignorés dans les accords commerciaux. C'est une erreur critique.

Que vous passiez un contrat avec un système de santé, que vous vous intégriez à une plateforme de santé numérique ou que vous vous associiez à un fournisseur d'entreprise, votre stratégie en matière de données doit être clairement et précisément reflétée dans vos contrats. Si ce n'est pas le cas, vous risquez de vous retrouver privé des ressources dont vous avez besoin pour vous développer, ou pire encore, d'être tenu responsable de violations réglementaires que vous n'aviez jamais anticipées.

Cet article présente trois domaines dans lesquels les entreprises spécialisées dans l'IA appliquée à la santé sont, selon nous, les plus exposées aux risques : les droits de formation, les conditions de révocation et de conservation, et la responsabilité partagée. Il ne s'agit pas seulement de points techniques du contrat. Ces éléments sont fondamentaux pour votre évaluation, votre conformité et votre capacité de défense à long terme.

1. Droits à la formation : les définir avec précision

La plupart des fournisseurs d'IA dans le domaine de la santé souhaitent obtenir certains droits d'utilisation des données de leurs clients afin d'améliorer ou d'entraîner leurs modèles. Cela est tout à fait normal. Le problème est que de nombreux accords utilisent des termes imprécis tels que « amélioration des services » ou « à des fins d'analyse » pour décrire ce que le fournisseur peut réellement faire avec les données. Dans le contexte des soins de santé, cela peut poser des problèmes juridiques.

En vertu de la loi HIPAA, l'utilisation d'informations médicales protégées (PHI) à des fins autres que le traitement des patients par une entité couverte, le paiement ou les opérations de soins de santé nécessite généralement l'autorisation du patient. Par conséquent, les cas d'utilisation tels que la formation de modèles ou l'amélioration de produits doivent être étayés par des arguments solides démontrant que l'activité relève des opérations de soins de santé de l'entité couverte, faute de quoi l'autorisation du patient sera requise. Même les données dites « anonymisées » ou « dépersonnalisées » ne sont pas toujours sûres si elles n'ont pas été correctement et entièrement dépersonnalisées conformément à la norme HIPAA en matière de dépersonnalisation.

Si votre modèle commercial repose sur l'utilisation des données des clients pour la formation de modèles généralisés, vous devez le préciser clairement dans votre contrat. Cela implique notamment de préciser si les données sont identifiables ou anonymisées, quelle méthode d'anonymisation est utilisée et si les résultats de cette formation sont limités au modèle spécifique du client ou peuvent être utilisés sur l'ensemble de votre plateforme.

D'un autre côté, si vous proposez un modèle en tant que service personnalisé pour chaque client et qui ne repose pas sur des données d'entraînement mutualisées, vous devez l'indiquer clairement et vous assurer que le contrat soutient cette structure. Sinon, vous risquez un litige ultérieur concernant l'utilisation des données ou le partage inapproprié des résultats entre les clients.

Il est également essentiel d'aligner cette disposition sur votre accord de partenariat commercial (BAA) si vous traitez des informations médicales protégées (PHI). Une incompatibilité entre les conditions commerciales et le BAA peut soulever des problèmes de conformité et déclencher des signaux d'alerte, en particulier lors d'une vérification préalable. N'oubliez pas que dans la plupart des cas, si votre accord commercial stipule que vous pouvez anonymiser les données, mais que votre BAA interdit l'anonymisation, c'est le BAA qui prévaudra en raison de la clause de conflit type qui favorise le BAA lorsque des données PHI sont en jeu. 

2. Révocation et conservation : traiter ce qui se passe à la fin du contrat

Trop de contrats d'IA restent muets sur ce qu'il advient des données, des modèles et des résultats après la résiliation d'un contrat. Ce silence crée un risque pour les deux parties.

Du point de vue du client, permettre à un fournisseur de continuer à utiliser ses données après la résiliation du contrat pour former de futurs modèles peut poser problème au regard de la loi HIPAA et même être perçu comme un abus de confiance. Du point de vue du fournisseur, perdre les droits sur les données précédemment consultées ou les résultats formés peut perturber la continuité du produit ou les ventes futures.

La clé est de déterminer si les droits d'utilisation des données ou des résultats des modèles survivent à la résiliation, et dans quelles conditions. Si vous souhaitez conserver la possibilité d'utiliser les données ou les modèles entraînés après la résiliation, cela doit être un droit explicite et négocié. Sinon, vous devez être prêt à supprimer cet accès, à détruire toutes les données conservées et, éventuellement, à réentraîner les modèles à partir de zéro.

Cela est particulièrement important lorsque des modèles dérivés sont utilisés. Une erreur courante consiste à laisser le fournisseur affirmer qu'une fois les données utilisées pour entraîner un modèle, celui-ci n'est plus lié aux données sous-jacentes. Les tribunaux et les organismes de réglementation pourraient ne pas être d'accord si ce modèle continue de refléter des informations sensibles sur les patients.

Au minimum, votre accord doit répondre à trois questions :

1. Le fournisseur peut-il conserver et continuer à utiliser les données auxquelles il a eu accès pendant la durée du contrat ?
2. Les droits sur les modèles entraînés ou les résultats survivent-ils à la résiliation ?
3. Existe-t-il une obligation de détruire, de dépersonnaliser ou de restituer les données après la fin de la relation ?

Pour les relations à forte valeur ajoutée, envisagez de négocier une licence qui survit à la résiliation, assortie d'une compensation appropriée et d'obligations de confidentialité. Dans le contexte des soins de santé, cette licence post-résiliation ne concernera généralement que des données anonymisées. Sinon, intégrez une clause de restitution ou de destruction des données qui précise comment et quand les données doivent être restituées ou détruites.

3. Responsabilité partagée : clarifier la responsabilité en cas de dommages en aval

L'une des questions les plus négligées dans les contrats relatifs à l'IA dans le domaine de la santé est la répartition des responsabilités. Les recommandations générées par l'IA peuvent influencer les décisions médicales, les pratiques de facturation et les communications avec les patients. Lorsque quelque chose tourne mal, la question qui se pose est la suivante : qui est responsable ?

Les fournisseurs d'IA se positionnent généralement comme de simples outils destinés aux prestataires de soins de santé et tentent de se dégager de toute responsabilité quant à leur utilisation en aval. Les prestataires de soins de santé, quant à eux, attendent de plus en plus des fournisseurs qu'ils garantissent leurs produits. Cela est particulièrement vrai lorsque ces produits génèrent des notes cliniques, des suggestions de diagnostic ou d'autres résultats réglementés.

La réalité est que les deux parties encourent des risques, et votre contrat doit en tenir compte. Les clauses de non-responsabilité sont importantes, mais elles ne remplacent pas une stratégie réfléchie de répartition des risques.

Tout d'abord, les fournisseurs doivent exiger de leurs clients qu'ils déclarent disposer des autorisations ou consentements appropriés en vertu des lois applicables, notamment la loi HIPAA, la loi FTC et les lois étatiques sur la confidentialité, pour tout traitement des données par le fournisseur prévu dans le contrat. L'utilisation des données des clients à des fins de formation et de traitement, ou à d'autres fins, doit être clairement énoncée dans le contrat. Cela vous protège si un client prétend par la suite qu'il n'était pas au courant de l'utilisation de ses données ou qu'elles ont été utilisées de manière abusive.

Deuxièmement, tenez compte des dispositions d'indemnisation liées à l'utilisation abusive de la propriété intellectuelle d'un tiers, à la violation de la vie privée des patients ou à des mesures coercitives réglementaires. Par exemple, si votre modèle repose sur des informations médicales protégées qui n'ont pas été correctement autorisées ou anonymisées conformément à la loi HIPAA, et que cela déclenche une enquête du Bureau des droits civils, vous pourriez être tenu responsable.

Troisièmement, réfléchissez bien aux limitations de responsabilité. De nombreux contrats de logiciels en tant que service (SaaS) utilisent un plafond standard lié aux frais payés au cours des 12 derniers mois. Cela peut s'avérer insuffisant dans le contexte de l'IA appliquée à la santé, en particulier si le modèle est utilisé dans un cadre clinique. Un plafond échelonné en fonction du cas d'utilisation (par exemple, documentation ou aide à la décision clinique) peut être plus approprié.

À emporter

Les conditions relatives aux données ne sont pas une simple formalité dans les contrats d'IA dans le domaine de la santé. Elles constituent un élément central de votre modèle commercial, de votre conformité et de votre capacité à vous défendre sur le marché. Si vous ne définissez pas vos droits en matière de formation, de révocation et de responsabilité, quelqu'un d'autre le fera, généralement dans le cadre d'un procès ou d'une action réglementaire.

Pour les fournisseurs d'IA, l'objectif devrait être d'instaurer la confiance grâce à la transparence. Cela implique un langage clair, des limitations raisonnables et des cas d'utilisation défendables. Les entreprises qui réussiront dans ce domaine ne se contenteront pas de créer de bons modèles, elles établiront également de bons contrats autour de ceux-ci.

Si vous souhaitez mettre en œuvre cette stratégie, vérifiez vos cinq principaux contrats ce trimestre. Signalez toute ambiguïté concernant les droits relatifs aux données, toute incompatibilité entre les accords de confidentialité (BAA) ou toute lacune en matière de résiliation. Et si nécessaire, renégociez avant que les performances de votre modèle, la confiance de vos clients ou votre exposition juridique ne soient mises à l'épreuve.

Pour plus d'informations sur l'IA, la télémédecine, la télésanté, la santé numérique et d'autres innovations dans le domaine de la santé, y compris l'équipe, les publications et l'expérience représentative, veuillez contacter Aaron Maguregui ouJennifer Hennessy ou l'un des associés ou conseillers principauxdu groupe Cybersécurité et confidentialité des donnéesoudu groupe Pratique des soins de santé de Foley.