risque de l'IA en santé : Ce que votre équipe de conformité doit savoir

Les organisations de santé qui adoptent l'IA font face à un réseau complexe de réglementations canadiennes sur la vie privée qui s'étendent bien au-delà de la conformité de base à la LPRPDE. Sous le principe 4.7 de la LPRPDE, les dépositaires de santé doivent implémenter des mesures de protection appropriées à la sensibilité des renseignements personnels sur la santé — et l'IA introduit de nouvelles catégories de risques que les évaluations d'impact traditionnelles sur la vie privée n'étaient pas conçues pour gérer.

Le paysage réglementaire combine la loi fédérale sur la protection de la vie privée, les lois provinciales sur l'information de santé et les cadres émergents de gouvernance de l'IA du Commissaire à la protection de la vie privée du Canada et du Centre canadien pour la cybersécurité (CCCSP). Votre équipe de conformité doit comprendre comment ces éléments s'entrecroisent avant que le premier projet pilote d'IA de votre organisation ne soit mis en ligne.

---

Le cadre de conformité de l'IA en santé canadienne

La santé canadienne fonctionne sous une structure réglementaire double qui complique l'adoption de l'IA. La LPRPDE régit le traitement commercial des données de santé sous la juridiction fédérale, tandis que les lois provinciales sur l'information de santé (comme les articles 29-30 de la LPRPS de l'Ontario, les articles 60-61 de la LIS de l'Alberta, ou les dispositions de santé du Québec sous les articles 93-94 de la Loi 25) créent des obligations supplémentaires pour les dépositaires.

Les orientations de 2023 du Commissaire à la protection de la vie privée du Canada sur l'IA et la protection de la vie privée notent spécifiquement que les organisations de santé doivent démontrer un « consentement éclairé » pour le traitement par IA sous le principe 4.3 de la LPRPDE. Cela signifie que les patients doivent comprendre non seulement que l'IA traitera leurs données, mais comment ce traitement diffère des flux de travail cliniques traditionnels.

Les dépositaires de santé utilisant l'IA doivent satisfaire au test d'adéquation sous le principe 4.1.3 de la LPRPDE — les mesures de protection doivent être proportionnelles à la sensibilité de l'information de santé traitée. Le Commissaire à la protection de la vie privée a déclaré que le traitement automatisé de données de santé nécessite des mesures de protection renforcées au-delà des systèmes cliniques traditionnels.

Les réglementations provinciales ajoutent une autre couche. L'article 29(2) de la LPRPS de l'Ontario exige que les dépositaires d'information de santé s'assurent que tout agent (incluant les systèmes d'IA) respecte les mêmes normes de protection de la vie privée que les employés directs. En pratique, cela signifie que les contrôles de sécurité de votre fournisseur d'IA deviennent votre responsabilité de conformité sous les dispositions de responsabilité du dépositaire de l'article 30.

---

Risques de résidence et souveraineté des données

Le plus grand piège de conformité pour les organisations de santé canadiennes est la résidence des données. La plupart des plateformes d'IA commerciales traitent les données sur l'infrastructure américaine, créant une exposition automatique au CLOUD Act pour les dossiers de patients canadiens.

Sous le principe 4.1.3 de la LPRPDE, les organisations doivent assurer « un niveau comparable de protection » lors du transfert d'informations personnelles à l'extérieur du Canada. Le Commissaire à la protection de la vie privée a été clair que la protection des données américaines ne satisfait pas à cette norme pour l'information de santé sensible, particulièrement compte tenu des programmes de surveillance de la NSA et des ordonnances de la cour FISA qui outrepassent les protections contractuelles.

La Loi 25 du Québec va plus loin. L'article 17 exige explicitement que les organisations effectuent des évaluations d'impact sur la vie privée pour tout transfert transfrontalier de renseignements personnels. Pour les organisations de santé, cela signifie documenter pourquoi le traitement par IA américaine est nécessaire et quelles mesures de protection supplémentaires protègent les données des patients sous les exigences d'adéquation de l'article 18.

Sous l'article 17 de la Loi 25, les organisations de santé québécoises doivent compléter des Évaluations d'impact sur la vie privée avant de transférer des données de patients à l'extérieur du Canada pour le traitement par IA. L'évaluation doit démontrer que le traitement étranger fournit une protection équivalente aux normes de protection de la vie privée du Québec — un test que les plateformes américaines ne peuvent généralement pas satisfaire en raison des obligations du CLOUD Act.

L'impact pratique : l'audit récent de protection de la vie privée de l'Hôpital général de Vancouver a trouvé qu'utiliser des services de transcription par IA américains pour les notes de patients créait des violations automatiques de conformité sous la LPRPDE et l'article 30.1 de la Loi sur la protection des renseignements personnels de la C.-B. L'hôpital a changé pour des alternatives hébergées au Canada pour maintenir sa posture de conformité à la protection de la vie privée.

---

Risques d'entraînement de modèles et d'inférence

La conformité de l'IA en santé implique deux flux de données distincts, chacun avec des implications réglementaires différentes. L'entraînement de modèles se fait typiquement sur des données historiques de patients, tandis que l'inférence traite l'information clinique en temps réel.

Pour les données d'entraînement, les organisations de santé doivent démontrer un consentement valide sous le principe 4.3 de la LPRPDE. Le défi : la plupart des formulaires de consentement de patients précèdent l'adoption de l'IA et ne couvrent pas les utilisations d'apprentissage automatique. La position du Commissaire à la protection de la vie privée est claire — le consentement implicite sous le principe 4.3.6 ne s'étend pas aux nouvelles utilisations que les patients ne pouvaient raisonnablement anticiper.

L'inférence crée différents risques. Quand les cliniciens interrogent les systèmes d'IA avec l'information de patients, ils créent de nouveaux flux de traitement de données qui peuvent ne pas être couverts par les politiques de protection de la vie privée existantes. Chaque requête crée potentiellement un incident de protection de la vie privée si la plateforme d'IA manque de mesures de protection adéquates sous les dispositions provinciales de responsabilité du dépositaire.

La Commissaire à l'information et à la protection de la vie privée de l'Ontario a signalé ceci dans ses orientations de 2024 sur l'IA en santé, notant que les requêtes d'IA en temps réel contournent souvent les contrôles traditionnels de protection de la vie privée parce qu'elles semblent être du traitement « interne » pour les cliniciens, malgré qu'elles déclenchent potentiellement les règles de divulgation d'agent de l'article 29 de la LPRPS.

---

Évaluation des fournisseurs et diligence raisonnable

Les organisations de santé doivent effectuer une diligence raisonnable renforcée sur les fournisseurs d'IA pour satisfaire aux obligations de dépositaire sous les lois provinciales sur l'information de santé. Les évaluations standard de fournisseurs SaaS ne suffisent pas pour les plateformes d'IA traitant des données de patients.

Les exigences clés de conformité incluent :

• Accords de traitement de données qui satisfont aux normes d'adéquation du principe 4.1.3 de la LPRPDE • Droits d'audit permettant la vérification de l'entraînement de modèles d'IA et des pratiques de traitement de données sous les exigences provinciales de surveillance du dépositaire • Procédures de notification de violation qui respectent les délais de rapport provinciaux (article 12 de la LPRPS : 60 jours, article 60.1 de la LIS de l'Alberta : notification immédiate) • Capacités de suppression de données pour les données d'entraînement et les journaux d'inférence sous le principe 4.5 de la LPRPDE • Normes de chiffrement qui satisfont aux directives du CCCSP pour l'information protégée (contrôles ITSG-33)

La complexité augmente avec les fournisseurs américains. Toute plateforme d'IA avec des sociétés mères, investisseurs ou infrastructure américains crée une exposition potentielle au CLOUD Act sous 18 USC § 2703. Votre accord de traitement de données ne peut outrepasser les lois de sécurité nationale américaines, peu importe le langage contractuel.

L'approche d'Augure élimine entièrement ces risques de fournisseur. En tant que plateforme appartenant à des Canadiens avec une infrastructure hébergée exclusivement au Canada, les données de patients traitées par Augure demeurent sous la juridiction légale canadienne sans obligations de divulgation américaines. Les organisations de santé obtiennent des capacités d'IA sans compromettre leurs obligations de dépositaire sous les lois provinciales sur l'information de santé.

---

Réponse aux incidents et notification de violations

Les systèmes d'IA créent de nouvelles catégories d'incidents de protection de la vie privée qui ne s'ajustent pas aux procédures traditionnelles de réponse aux violations. Quand un modèle d'IA génère des sorties basées sur des données d'entraînement, déterminer si l'information de patient a été « divulguée » nécessite une analyse technique au-delà de la plupart des équipes de protection de la vie privée en santé.

Sous l'article 10.1 de la LPRPDE, les organisations doivent rapporter les violations impliquant l'information de santé dans les 72 heures s'il y a un « risque réel de préjudice important » aux individus. Les délais provinciaux varient — l'article 60.1 de la LIS de l'Alberta exige une notification immédiate pour tout accès non autorisé à l'information de santé, tandis que l'article 12 de la LPRPS de l'Ontario permet 60 jours pour des rapports de violation détaillés à la Commissaire à l'information et à la protection de la vie privée.

Le défi avec les incidents d'IA : déterminer la portée. Si un modèle d'IA entraîné sur des données de patients génère des sorties similaires pour différents utilisateurs, l'information originale du patient a-t-elle été divulguée sous les lois provinciales sur l'information de santé ? Les commissaires à la protection de la vie privée n'ont pas fourni d'orientations définitives, créant une incertitude légale pour les organisations de santé.

La meilleure pratique implique traiter toute sortie générée par IA qui pourrait raisonnablement contenir l'information de patient comme un incident potentiel de divulgation sous le test de « risque réel de préjudice important » de l'article 10.1 de la LPRPDE. Cette approche conservatrice protège les organisations de santé mais nécessite des changements importants aux procédures existantes de réponse aux incidents.

---

Recommandations pratiques de conformité

Les organisations de santé peuvent adopter l'IA tout en maintenant la conformité par des approches structurées de gestion des risques. Commencez avec des cas d'utilisation à faible risque qui n'impliquent pas le traitement de données de patients — flux de travail administratifs, planification de rendez-vous, ou recherche interne sur des ensembles de données anonymisées qui satisfont aux normes provinciales de désidentification.

Pour les applications d'IA cliniques, implémentez des cadres de consentement à niveaux. Les patients devraient consentir explicitement au traitement par IA séparément du consentement général de traitement sous les exigences de connaissance et consentement du principe 4.3 de la LPRPDE. Documentez les systèmes d'IA spécifiques, les fins de traitement et les mesures de protection des données en langage clair que les patients peuvent comprendre selon le principe 4.3.2.

Les mesures de protection techniques devraient inclure :

• Résidence canadienne des données pour tout traitement par IA impliquant l'information de patient selon le principe 4.1.3 de la LPRPDE • Chiffrement en transit et au repos utilisant les normes approuvées du CCCSP (contrôles ITSG-33 SA-23) • Contrôles d'accès qui s'intègrent avec la gestion d'identité de santé existante sous les exigences provinciales de dépositaire • Journalisation d'audit qui capture les requêtes d'IA et les réponses du système selon le principe 4.1.4 de la LPRPDE • Minimisation des données limitant l'accès de l'IA à l'information nécessaire pour des fins cliniques spécifiques sous le principe 4.4

La surveillance régulière de conformité devient critique avec les systèmes d'IA. Contrairement aux systèmes TI de santé traditionnels avec des flux de données prévisibles, les plateformes d'IA évoluent continuellement tandis que les modèles se réentraînent et se mettent à jour. Vos contrôles de protection de la vie privée doivent s'adapter en conséquence pour maintenir la responsabilité du dépositaire.

---

Construire une gouvernance durable de l'IA

La conformité à long terme de l'IA en santé nécessite des cadres de gouvernance qui peuvent évoluer avec la technologie et la réglementation. La Loi proposée sur l'intelligence artificielle et les données (LIAD) du gouvernement fédéral créera de nouvelles obligations pour les systèmes d'IA traitant l'information sensible, incluant les données de santé, avec des pénalités jusqu'à 25 M $ CA sous l'article 53 proposé.

Établissez des comités de gouvernance de l'IA qui incluent l'expertise clinique, de protection de la vie privée et légale. Ces équipes devraient réviser les cas d'utilisation d'IA avant le déploiement, surveiller les risques de conformité continus et maintenir des relations avec les commissaires à la protection de la vie privée qui se concentrent de plus en plus sur l'adoption de l'IA en santé.

Documentez tout. Les commissaires à la protection de la vie privée s'attendent à ce que les organisations de santé démontrent des efforts proactifs de conformité sous leurs pouvoirs d'enquête respectifs. Maintenez des dossiers d'évaluations de fournisseurs d'IA, d'évaluations d'impact sur la vie privée exigées sous l'article 93 de la Loi 25, de processus de consentement de patients et de procédures de réponse aux incidents.

Plus important encore, choisissez des plateformes d'IA conçues pour les exigences de conformité de santé canadiennes. Les plateformes comme Augure qui priorisent la souveraineté des données canadiennes éliminent des catégories entières de risques de conformité en maintenant la juridiction canadienne exclusive, permettant aux organisations de santé de se concentrer sur les résultats cliniques plutôt que sur la gestion réglementaire transfrontalière.

Pour les organisations de santé prêtes à adopter l'IA sans compromettre la protection de la vie privée des patients, explorez la plateforme souveraine canadienne d'Augure à augureai.ca — construite spécifiquement pour les industries réglementées qui ne peuvent accepter les risques de données transfrontalières sous les obligations de divulgation américaines.