Scandale de la Confidentialité : Des Données Médicales Utilisées pour Former l’IA

La plus grande entreprise de radiologie d’Australie a transmis les scans médicaux privés de potentiellement des centaines de milliers de patients, sans leur consentement, à une start-up qui les utilisera pour entraîner des intelligences artificielles. Des experts en protection de la vie privée affirment qu’il s’agit d’une pratique qui devrait être protégée par la loi.

Une Start-up Prometteuse

Harrison.ai, une entreprise technologique australienne, se présente comme une société valant plus de 200 millions de dollars, soutenue par des noms prestigieux du secteur des start-ups et de la santé en Australie, tels que Blackbird Ventures et Skip Capital, fondée par Scott Farquhar d’Atlassian. Le conseil d’administration inclut Robyn Denholm, présidente de Tesla, et le gouvernement fédéral ainsi que l’opposition ont salué cette entreprise.

Le produit phare de Harrison.ai est un outil capable d’analyser des radiographies thoraciques pour aider les cliniciens à détecter des anomalies telles que des poumons effondrés ou des stents. Selon l’entreprise, cet outil, ainsi qu’un autre pour les scans cérébraux, est désormais accessible à un radiologue sur trois en Australie, ainsi que dans des cliniques en Europe, au Royaume-Uni, en Asie-Pacifique et aux États-Unis.

Une Base de Données Controversée

Ce qui reste flou, c’est la manière dont cette immense quantité de données médicales sensibles a été légalement utilisée ou divulguée par I-MED et Harrison.ai. Les scans ont été formés à partir d’un modèle d’IA qui a été entraîné sur 800 000 radiographies thoraciques provenant d’un ensemble de données jugé « considérable et précieux » de I-MED Radiology Network, le plus grand fournisseur d’imagerie médicale d’Australie, ainsi que d’autres sources.

Si la société de radiologie a demandé le consentement de ses patients pour utiliser leurs scans à des fins commerciales, il ne semble pas y avoir de preuves publiques à cet égard, et les patients ne semblent pas en être informés. Même si un consentement avait été obtenu, la gestion des données par les entreprises pourrait ne pas être conforme à la législation australienne sur la vie privée. Les experts estiment qu’il est raisonnable de s’attendre à ce que les Australiens soient consultés avant que leurs informations de santé sensibles ne soient utilisées pour former une IA à des fins lucratives.

Une Évolution Nécessaire

Dr Bruce Baer Arnold, expert en protection de la vie privée, souligne que les médecins, en particulier les spécialistes, ont traditionnellement considéré ces données comme leur propriété. « À l’ère de l’IA, il est plus approprié de considérer que vous êtes le gardien des données », déclare-t-il.

Malgré plusieurs tentatives de contact par email, message texte, téléphone et LinkedIn, ni Harrison.ai ni I-MED n’ont répondu.

Une Histoire de Succès

Fondée en 2018 par Dr Aengus Tran et son frère Dimitry, Harrison.ai a d’abord développé un modèle d’IA pour aider à la sélection d’embryons pour la FIV. En lançant des produits pour les radiographies thoraciques et les biopsies de prostate, l’entreprise a rapidement gagné en popularité dans le milieu des start-ups australiennes. En 2021, elle a levé 129 millions de dollars et cherche actuellement à obtenir des financements supplémentaires.

Le partenariat avec I-MED, qui possède 250 cliniques de radiologie en Australie, a été un élément clé de son succès. En 2019, I-MED a annoncé la création d’une coentreprise avec Harrison.ai, nommée Annalise.ai, pour « développer des moteurs de prédiction de classe mondiale pour des modalités d’imagerie clés ». Bien qu’Annalise.ai ait été intégrée à Harrison.ai, elle reste le nom de sa gamme de produits.

Des Résultats Impressionnants

Un article de recherche publié en 2021 dans la revue médicale prestigieuse The Lancet a présenté le premier outil d’Annalise.ai pour analyser les radiographies thoraciques, Annalise CXR. L’étude a révélé que les radiologues utilisant cette technologie étaient tout aussi efficaces, voire meilleurs, pour détecter 124 « découvertes » médicales que les radiologues non assistés.

Cette avancée a été saluée comme une « révolution » dans le soutien aux radiologues. L’outil a depuis été approuvé dans plus de 40 pays et déployé dans des régions comme le Royaume-Uni, les États-Unis, la Malaisie et Hong Kong. Récemment, Ed Husic, ministre de l’Industrie et de la Science d’Australie, a cité Harrison.ai comme un exemple d’IA qui « ne pose pas nécessairement de risque » lors du lancement des nouvelles régulations sur l’IA dans le pays.

La Question du Consentement Éclairé

Les données de santé sont parmi les informations personnelles les plus sensibles. Les règles concernant leur collecte, leur utilisation et leur divulgation en Australie sont complexes, mais en général, les patients doivent donner un consentement explicite pour leur utilisation ou avoir une attente raisonnable quant à leur utilisation (comme en cas d’urgence vitale).

Dans le cas d’I-MED, il est incertain comment l’entreprise a cherché à obtenir le consentement pour utiliser les données de ses patients à cette fin. Les conditions de service de l’entreprise stipulent qu’elle gère les informations personnelles conformément à sa déclaration de confidentialité, qui ne mentionne pas que les données seront utilisées pour former des IA ou partagées avec d’autres entités à cette fin. Bien qu’il soit indiqué que l’entreprise pourrait partager des données avec « des organismes de recherche autorisés par la loi australienne », cela ne semble pas correspondre à la classification d’une entreprise qui commercialise ces données, même si elle a mené des recherches.

ole Archer a effectué une radiographie thoracique chez I-MED au milieu des années 2010 et ne se souvient pas avoir donné son accord pour que ses données soient utilisées pour former une intelligence artificielle. Elle a exprimé à Crikey sa déception d’apprendre que cela s’était probablement produit sans son consentement.

« J’ai appris à m’attendre à ce que les grandes entreprises ne prennent pas en compte mes intérêts, mais il est déconcertant de découvrir qu’elles utilisent vos données (et quelque chose d’aussi personnel) de cette manière », a-t-elle déclaré.

Nicole a mentionné qu’elle aurait probablement accepté que ses données soient utilisées de cette façon si elle avait été informée, compte tenu des bénéfices potentiels et des expériences de sa famille avec le cancer. Maintenant qu’elle est au courant, Nicole se montre moins confiante envers les entreprises et envisage de reconsidérer son utilisation d’I-MED à l’avenir.

Elle a, avec plusieurs experts interrogés par Crikey, comparé cette situation à celle d’Henrietta Lacks, une femme afro-américaine dont les cellules ont été prélevées sans consentement après une intervention médicale en 1951. Ses cellules, connues sous le nom de cellules « HeLa », ont montré la capacité de se reproduire indéfiniment en laboratoire, devenant ainsi un outil précieux pour les chercheurs et posant les bases d’une grande partie de la médecine moderne et de sa commercialisation. L’utilisation de ces cellules et la publication de leur séquence ADN en 2013 ont suscité une controverse significative concernant les droits des patients et l’utilisation des données médicales.

Le Dr Arnold a déclaré que l’utilisation des données des patients pour former une IA sans leur connaissance était « éthiquement discutable », même si des bases légales solides existaient.

« Je suis allé faire une prise de sang aujourd’hui. Je serais plutôt mécontent de découvrir que, par exemple, la société de pathologie partage ce qu’elle prétend être des données anonymisées, dé-identifiées, etc., à des partenaires non identifiés », a-t-il ajouté.

Arnold a précisé que l’anonymisation des données contribue à protéger la vie privée des personnes dont les scans ont été partagés, tout en dissuadant les actions réglementaires, mais cela ne donne pas aux entreprises le droit d’utiliser et de divulguer des données sans consentement.

« La manière dont les entreprises contournent généralement cela est de dire ‘nous nous réservons le droit de partager avec nos partenaires’ sans préciser qui… mais d’un point de vue de recherche en sciences de la vie, vous voudriez respecter les meilleures pratiques », a-t-il expliqué.

L’anonymisation d’un scan ne signifie pas qu’un individu ne peut pas être identifié à partir de celui-ci. Un article de The Lancet indique que les données d’entraînement ont subi un « processus d’automatisation de dé-identification ».

Le Dr Vanessa Teague, cryptographe à l’ANU, a prouvé que les données anonymisées de Medicare et des transports publics de Victoria peuvent être utilisées pour identifier des individus. Elle suggère que des radiographies thoraciques, associées à des détails comme l’âge et le sexe, pourraient suffire à réduire l’identification à un petit groupe de personnes.

« En fin de compte, il est clair que ce sont des données identifiables, au moins pour certaines personnes et possiblement pour beaucoup d’autres », a-t-elle déclaré.

Teague souligne que la légalité de la divulgation de ce type de données est ambiguë. « Est-il illégal de les transmettre ? Cela peut ne pas l’être, mais cela devrait l’être. »

Questions en suspens

De nombreux détails concernant l’accord entre Harrison.ai et I-MED restent flous.

L’article publié dans The Lancet ne précise pas qui a anonymisé le jeu de données, soulevant des questions sur la quantité d’informations transmises par I-MED et le moment de l’anonymisation.

L’outil Annalise.ai de Harrison.ai pour les scans CT de la tête a été formé sur plus de 200 000 scans provenant d’un « groupe de radiologie privé en Australie », selon un document de 2023. Ce document ne précise pas quel groupe de radiologie, bien qu’il signale dans sa section de conflit d’intérêts que deux de ses auteurs sont employés par I-MED.

Harrison.ai a demandé et obtenu l’approbation éthique pour son article dans The Lancet de l’Université Notre-Dame d’Australie en 2020. La demande et la décision n’ont pas été publiées, ce qui est normal, et un responsable du comité d’éthique de Notre-Dame a renvoyé les demandes d’accès aux documents à l’équipe médiatique, qui n’a jamais répondu.

Il n’est pas clair si I-MED a d’autres arrangements similaires avec d’autres entreprises technologiques ou d’autres sociétés pour divulguer des données patients. Harrison.ai a un partenariat avec Sonic Healthcare, coté à l’ASX, appelé Franklin.ai, qui a développé un outil pour analyser des échantillons de biopsie de prostate.

Harrison.ai et I-MED n’ont pas répondu aux demandes répétées par divers canaux, y compris via le formulaire de contact en ligne de Harrison.ai, deux agences de relations publiques représentant Harrison.ai, la ligne d’assistance nationale d’I-MED, et l’email du responsable des communications nationales d’I-MED.

Un responsable des communications d’I-MED contacté via LinkedIn a dirigé Crikey vers le responsable des communications nationales de l’entreprise, mais une fois que j’ai mentionné que j’avais tenté de les contacter à plusieurs reprises, il n’a pas répondu.

Un représentant de Blackbird Ventures a informé Crikey qu’il signalerait notre demande au personnel de Harrison.ai et espérait que nous aurions des nouvelles avant notre délai.

Ces questions surviennent à un moment délicat pour Harrison.ai et I-MED. Harrison.ai effectue une campagne de presse pour le lancement de son nouveau modèle d’IA et pour promouvoir sa levée de fonds de série C, qui devrait rapporter « plus de 100 millions de dollars ». Pendant ce temps, les propriétaires d’I-MED, en capital-investissement, cherchent à vendre l’entreprise pour un montant pouvant atteindre 3 milliards de dollars, un prix colossal soutenu en partie par ses « plus de 10 millions d’images » et sa participation dans cette entreprise d’IA.

Les données des patients sont clairement d’une valeur inestimable, tant pour la recherche que pour l’avantage commercial d’une entreprise. Mais cela ne signifie pas que les entreprises devraient les utiliser sans demander l’accord de leurs patients, a souligné Arnold.

« Si cela peut sauver des vies ou réduire les coûts. J’adore ça, donnez-moi ce choix et je le signerai. Je préfère cela à ce paternalisme – j’ai fait le scan, c’est mes données, je peux en faire ce que je veux. Oh, et au fait, je vais gagner beaucoup d’argent. »