Lancement de ChatGPT Health : dévoile la zone grise dans la protection des données de santé

La dernière initiative d’OpenAI dans le domaine de la santé suscite une attention intense de la part des experts en protection de la vie privée et des défenseurs des droits. La société a lancé ChatGPT Health, une fonctionnalité permettant aux utilisateurs de télécharger directement des dossiers médicaux et des informations sur le bien-être dans la plateforme. Alors qu’OpenAI présente cela comme un outil de soutien développé en collaboration avec des médecins, le déploiement soulève des questions plus profondes sur la manière dont les données de santé sont réellement protégées à l’ère de l’IA.

Les mesures de sécurité techniques semblent rassurantes—Mais les experts disent qu’elles ne suffisent pas

Selon OpenAI, ChatGPT Health met en œuvre plusieurs mesures de protection : les conversations sur la santé restent cryptées et isolées des chats réguliers, les données ne seront pas utilisées pour l’entraînement des modèles, et la fonctionnalité ne fournit que des informations générales sur la santé plutôt que des conseils médicaux personnalisés. Pour des requêtes à enjeux plus élevés, le système signale les risques et oriente les utilisateurs vers des professionnels de santé réels.

Sur le papier, ces garde-fous semblent solides. Cependant, les défenseurs de la vie privée soulignent une lacune fondamentale. « Même avec les promesses de l’entreprise concernant la protection de la vie privée, la plupart des gens n’ont pas une transparence réelle, un consentement significatif ou un contrôle authentique sur ce qui arrive à leurs informations », avertit J.B. Branch, analyste en responsabilité des grandes entreprises technologiques. « Les données de santé nécessitent plus qu’une auto-régulation. »

Le problème des entités couvertes par HIPAA

Voici où le paysage juridique devient flou. La loi fédérale sur la vie privée—plus précisément HIPAA—protège les données de santé lorsqu’elles sont détenues par certaines organisations médicales : cabinets médicaux, hôpitaux, compagnies d’assurance. Mais les entités couvertes par HIPAA ne représentent qu’une petite partie de l’écosystème des données de santé.

Lorsqu’une entreprise d’IA ou un développeur d’applications de santé stocke vos informations de santé, les protections de HIPAA ne s’appliquent pas automatiquement. « Votre médecin a des obligations HIPAA. Votre compagnie d’assurance a des obligations HIPAA », explique Andrew Crawford, conseiller principal en politique au Center for Democracy and Technology. « Mais les fabricants d’applications de santé, les entreprises de dispositifs portables, et les plateformes d’IA ? Ces entités couvertes par HIPAA ne sont pas soumises à ces exigences. »

Cela crée un vide de responsabilité. Sans une législation fédérale complète sur la confidentialité des données de santé, la responsabilité repose entièrement sur les utilisateurs pour décider s’ils font confiance à la manière dont une plateforme particulière gère leurs données les plus sensibles.

Pourquoi cela importe maintenant

Le lancement de ChatGPT Health arrive à un moment crucial. OpenAI a révélé plus tôt cette année que plus d’un million d’utilisateurs interagissaient chaque semaine avec le chatbot au sujet du suicide—environ 0,15 % de la base d’utilisateurs de ChatGPT à cette époque. Ce volume souligne à quel point la plateforme est devenue une ressource de santé mentale de facto pour des millions, que ce soit par conception ou par accident.

Le déploiement d’une fonctionnalité santé dédiée amplifie à la fois les opportunités et les risques. Plus de personnes partageront probablement des antécédents médicaux sensibles, des difficultés en santé mentale et des préoccupations de bien-être avec ChatGPT. Les protocoles d’isolation de l’entreprise et ses engagements de non-utilisation pour l’entraînement offrent une certaine tranquillité d’esprit, mais ils n’abordent pas la vulnérabilité fondamentale : que se passe-t-il si des acteurs malveillants ciblent la plateforme, ou si les politiques de données changent sous une nouvelle direction d’entreprise ?

Le décalage plus large en matière de protection de la vie privée

Crawford souligne le problème structurel : « Nos lois mettent toute la responsabilité sur les consommateurs pour évaluer s’ils sont à l’aise de faire confiance à une entreprise technologique avec leurs données de santé. C’est inversé. Cela met le risque sur les individus au lieu d’exiger que les entreprises technologiques respectent des normes claires et contraignantes. »

La fonctionnalité sera initialement déployée à certains utilisateurs de ChatGPT hors UE et Royaume-Uni, avec une disponibilité élargie prévue sur les plateformes web et iOS dans les semaines à venir. Mais peu importe où elle sera lancée, la discussion sur les données de santé, les plateformes d’IA, et la suffisance des cadres juridiques existants ne fera que s’intensifier.