« Les géants de la tech constituent les plus vastes agrégations privées de données de santé jamais envisagées »
Tribune
Theodore ChristakisProfesseur de droit du numérique
Dans une tribune au « Monde », le professeur de droit du numérique à l’université Grenoble-Alpes Théodore Christakis examine les enjeux éthiques et juridiques liés à l’émergence de plateformes dévolues à la santé, pilotées par les géants de l’intelligence artificielle.
Publié hier à 12h00, modifié hier à 16h08 https://www.lemonde.fr/idees/article/2026/04/15/les-geants-de-la-tech-constituent-les-plus-vastes-agregations-privees-de-donnees-de-sante-jamais-envisagees_6680263_3232.html
Chaque semaine, plus de 230 millions de personnes dans le monde posent des questions sur leur santé et leur bien-être à ChatGPT, selon des chiffres communiqués par OpenAI. Ces derniers mois, cinq géants technologiques [OpenAI, Anthropic, Microsoft, Amazon, Perplexity] ont lancé des produits d’intelligence artificielle (IA) dévolus à la santé. Tous invitent les utilisateurs à relier à des chatbots leurs dossiers médicaux, leurs objets connectés et leurs applications de bien-être, tout en promettant que ces données ne seront pas utilisées pour entraîner leurs modèles. Pour l’instant, tous ces « agents santé » ne sont disponibles qu’aux Etats-Unis.
Lire aussi | Quand les chatbots et l’IA entrent en psychiatrie, les risques de la thérapie en libre-service
Ces systèmes aspirent à devenir votre conseiller personnel de santé : ils interprètent vos analyses, préparent vos rendez-vous, suivent votre activité physique. Les données dispersées entre dix applications, trois hôpitaux et vos médecins sont centralisées, interprétées, et restituées en langage naturel.
Le potentiel est réel. Pour des millions de personnes naviguant dans un système de santé fragmenté, et souvent surchargé, un tel assistant pourrait apporter d’énormes bénéfices. Ces entreprises soutiennent que l’intégration des informations – qui permet de centraliser, d’harmoniser et de connecter l’ensemble des données de santé d’un patient – est une nécessité : ignorant votre historique médical, un conseil générique fourni par ChatGPT peut devenir dangereux.
L’enquête menée par l’Association médicale américaine, et publiée en mars, confirme cette préoccupation : 64 % des médecins se disent favorables à ce que leurs patients utilisent ces outils pour des questions générales de santé, mais près de la moitié s’y opposent pour l’interprétation de résultats de pathologie ou de radiologie. L’IA en santé peut aider, mais il y a des lignes à ne pas dépasser et des garanties sont nécessaires.
Valeur immense
Comment expliquer que l’Europe soit totalement absente de cette révolution ? Chacun de ces produits associe des protections – pas d’entraînement du modèle sur les données personnelles, et une mémoire isolée du reste du chatbot – à des fonctionnalités d’intégration de données médicales. Or, c’est l’intégration qui déclenche les obstacles réglementaires européens, notamment via l’article 9 du règlement général sur la protection des données, la réglementation sur les dispositifs médicaux ou encore le règlement sur l’IA.
Les géants de la tech auraient pu procéder en deux temps : d’abord, en offrant un espace de conversation renforcé sur les interfaces existantes des chatbots pour les échanges qui ont déjà lieu chaque jour ; puis en ajoutant la possibilité d’intégration par les utilisateurs de leurs dossiers, là où la réglementation le permet. En fusionnant les deux, elles ont exclu, pour l’instant, les Européens. Paradoxe : les utilisateurs les mieux protégés par le droit sont ceux qui n’ont pas accès aux fonctionnalités les plus protectrices actuellement disponibles…
Mais l’enjeu dépasse largement cette exclusion. L’émergence de plateformes privées de données de santé soulève des questions que ni les régulateurs, ni les responsables de santé publique, ni les parlementaires n’ont encore posées. « Non utilisé pour entraîner nos modèles » ne signifie pas « non utilisé ». Cela n’exclut, par exemple, ni l’analyse de ces produits de santé IA, ni ce qu’Amazon appelle l’entraînement sur des « schémas abstraits » [les structures générales et les règles présentes dans les données]. Aux Etats-Unis, ces produits ne sont pas couverts par la loi de 1996 dite « HIPAA » (Health Insurance Portability and Accountability Act) sur les données de santé. Seule protection : la politique de confidentialité de chaque entreprise, modifiable à tout moment.
Ces plateformes sont en train de potentiellement constituer l’une des plus vastes agrégations privées de données de santé jamais envisagées. La valeur de ces ensembles de données est immense : identifier en temps réel des effets secondaires de médicaments à travers des millions d’utilisateurs, détecter des tendances épidémiologiques avant les systèmes de surveillance publics, croiser des données comportementales avec des résultats cliniques à une échelle qu’aucune cohorte de recherche n’a jamais atteinte, ou encore cibler le recrutement en vue d’essais cliniques avec une précision sans précédent.
Une Europe entièrement absente
Le point le plus critique pour la France est le suivant : l’Union européenne construit depuis des années l’Espace européen des données de santé (European Health Data Space), et la France son Health Data Hub, avec des règles strictes de gouvernance institutionnelle pour l’utilisation secondaire des données de santé. Or, les hubs proposés par les géants de la tech créent un écosystème parallèle. Une plateforme privée agrégeant des données sous consentement du consommateur pourrait ainsi tirer des enseignements épidémiologiques et pharmaceutiques comparables, sans passer par cette gouvernance.
Lire aussi le décryptage | L’Etat promet de recourir à des solutions numériques plus « souveraines »
En Europe, un chercheur peut avoir besoin de mois de procédures pour accéder à des données de santé. Une plateforme américaine peut, elle, en agréger très vite auprès de millions d’utilisateurs : cette asymétrie mérite une attention urgente. Au niveau de la cybersécurité se pose aussi un problème inédit : cinq entreprises centralisent simultanément des données de santé liées à des identités personnelles et à des années de données comportementales. Une seule violation pourrait exposer des données à une échelle sans précédent.
Ces questions ne sont toutefois pas des raisons de bloquer l’innovation. La capacité de ces outils à aider les gens à mieux comprendre et gérer leur santé est réelle. Mais la gouvernance doit correspondre à la sensibilité des données. Or, ce n’est pas encore le cas. La France et l’Europe ont le choix. Attendre, comme souvent, que ces produits s’installent massivement ailleurs avant de réagir. Ou s’engager, dès maintenant, en dialogue avec ces entreprises, pour définir les conditions d’un déploiement qui protège les citoyens sans les priver d’une innovation potentiellement transformatrice.
Les bacs à sable réglementaires prévus par le règlement sur l’IA offrent un outil concret : permettre à ces produits d’opérer en Europe sous supervision, avec des garanties vérifiables. La situation actuelle, où l’Europe est entièrement absente, ne sert ni l’innovation ni la protection. Et, chaque mois qui passe, le fossé se creuse.
Théodore Christakis est professeur de droit du numérique à l’université Grenoble-Alpes et cotitulaire de la chaire Responsible AI.
Santé-Environnement-Politique 