Comment les médecins canadiens peuvent utiliser l'IA sans violer la LPRPS
Les médecins canadiens sont dans une position délicate avec l'IA. Les outils sont vraiment utiles — mais la LPRPS crée une responsabilité que la plupart des médecins ne comprennent pas pleinement. Voici ce que la loi exige réellement.
Ce qui constitue des RPS en vertu de la LPRPS
La Loi sur la protection des renseignements personnels sur la santé définit largement les renseignements personnels sur la santé — délibérément ainsi. Elle couvre les renseignements sur la santé physique ou mentale d'une personne, ses antécédents médicaux, son numéro de carte santé, son fournisseur de soins de santé, les paiements pour les soins de santé, et le fait qu'une personne est ou a été un patient d'un praticien particulier.
Ce dernier élément prend les gens au dépourvu. Vous n'avez pas besoin d'un diagnostic ou d'un résultat de test pour qu'un renseignement constitue des RPS. Un document qui dit « patient de la Dre Ahmed à l'Équipe de santé familiale Westdale » contient des RPS. Une lettre de référence avec le nom d'un patient et son numéro OHIP constitue des RPS. Une note de planification qui relie un nom à un type de rendez-vous constitue des RPS.
Ce que la LPRPS exige réellement de vous
La LPRPS s'applique aux dépositaires de renseignements sur la santé — médecins, hôpitaux, pharmaciens, laboratoires et autres — et régit la façon dont ils recueillent, utilisent et communiquent les renseignements personnels sur la santé. Trois éléments comptent le plus pour l'utilisation de l'IA.
Premièrement, vous pouvez utiliser des RPS aux fins pour lesquelles ils ont été recueillis sans consentement additionnel. Les faire passer par un outil d'IA externe constitue une communication à un tiers — et cela exige soit un consentement explicite, soit une analyse minutieuse pour déterminer si cela se qualifie comme usage permis. La plupart des cas d'usage de l'IA ne survivent pas proprement à cette analyse.
Deuxièmement, lorsque vous communiquez des RPS à un tiers — y compris un fournisseur de technologie — la LPRPS exige une entente de partage de données avec des protections précises. Le fournisseur doit utiliser les renseignements uniquement à la fin permise, les protéger avec des mesures de protection appropriées et vous aviser de toute atteinte. Les conditions d'utilisation standards d'OpenAI ne respectent pas cette norme. Aucun autre produit d'IA grand public actuellement sur le marché ne la respecte non plus.
Troisièmement, bien que la LPRPS n'interdise pas catégoriquement les transferts transfrontaliers, elle exige que les RPS soient protégés par une législation « comparable » où qu'ils aillent. Les États-Unis n'ont pas de législation fédérale sur la confidentialité en santé comparable à la LPRPS. Envoyer des RPS régis par la LPRPS vers des serveurs américains n'est pas simplement permissible.
Le risque que les médecins ont tendance à sous-estimer
Le principal risque n'est pas une plainte de patient — bien que cela soit possible. Le risque est une atteinte du côté d'OpenAI. Si OpenAI subissait un incident de données exposant des dossiers de patients canadiens, chaque médecin ayant envoyé des RPS à ChatGPT devrait expliquer au CIPVP pourquoi il a communiqué des renseignements de patients à une entreprise américaine sans entente de partage de données conforme, sans consentement du patient et sans évaluation des facteurs relatifs à la vie privée.
Le CIPVP a le pouvoir d'obliger les organisations à cesser d'utiliser une technologie non conforme, à récupérer des renseignements et à revoir entièrement leurs processus.
L'approche qui fonctionne réellement
La solution qui satisfait aux exigences de la LPRPS sans obliger les médecins à abandonner les outils d'IA est l'anonymisation avant que toute donnée ne quitte l'environnement du cabinet. Retirez les renseignements identificatoires du document avant qu'il n'approche un outil d'IA externe. Remplacez le nom du patient par un espace réservé, retirez le numéro de carte santé, supprimez la date de naissance et l'adresse. Envoyez le document dépersonnalisé à l'IA, obtenez le résultat, puis restaurez le contexte identificatoire dans votre propre environnement.
L'IA ne voit jamais de RPS. Aucune communication n'a lieu en vertu de la LPRPS. La réglementation est satisfaite à la racine plutôt que masquée par des contrats.
Évaluer les outils d'IA commercialisés pour le secteur de la santé
Plusieurs outils d'IA sont commercialisés spécifiquement auprès des prestataires de soins de santé avec des affirmations de conformité à la LPRPS. Évaluez-les attentivement — la conformité à la LPRPS pour un fournisseur signifie qu'il a accepté des conditions contractuelles appropriées, et non que le CIPVP l'a certifié.
Avant de vous engager auprès de tout fournisseur d'IA en santé, obtenez des réponses écrites claires à : Où vos serveurs sont-ils situés ? Avez-vous un modèle d'entente de partage de données qui respecte les exigences de la LPRPS ? Avez-vous fait l'objet d'un audit de confidentialité par un tiers ? Quel est votre délai de notification des atteintes ? Qu'advient-il des données des patients si nous mettons fin à la relation ?
La voie à suivre
Les médecins canadiens qui veulent utiliser l'IA de façon responsable ont une voie claire. Utilisez l'IA librement pour les tâches qui n'impliquent pas de renseignements sur les patients — recherche de directives cliniques, rédaction de politiques de cabinet, matériel d'éducation des patients sur des affections plutôt que sur des patients précis. Pour les tâches qui impliquent des renseignements sur les patients, anonymisez d'abord, puis utilisez l'IA.
Le fardeau administratif en médecine canadienne est réel et l'IA fait véritablement partie de la réponse à ce fardeau. Le cadre juridique qui exige de l'utiliser avec prudence est tout aussi réel. Aucune de ces deux choses n'annule l'autre.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra