Dans votre clinique, des données médicales partent chaque jour sur des serveurs américains. Personne ne l'a décidé.

Pierre Ammeloot est Directeur Conseil IA chez AODB. Vingt ans de direction d'entreprise, aujourd'hui il accompagne les ETI à déployer l'IA sans perdre le contrôle de leurs données.

Une assistante de service social dans une clinique privée. Elle reçoit un patient en situation de fragilité : antécédents familiaux lourds, problèmes d'addiction, dettes, rupture familiale.

Elle doit rédiger une synthèse pour le dossier. Elle est débordée, comme chaque jour. Elle ouvre ChatGPT, colle le contenu du dossier, demande une mise en forme claire et structurée.

Elle accomplit son travail. Bien, et vite. Personne ne lui a dit que ce qu'elle vient de faire expose la clinique à une violation caractérisée du RGPD. Personne ne lui a dit non plus que ces données sont désormais sur des serveurs américains, potentiellement réutilisables pour entraîner un modèle, soumises au Cloud Act. Elle ne le sait pas. Sa direction non plus.

Ce n'est pas une cyberattaque. C'est bien pire : c'est légal. Et c'est reproductible chaque jour, dans chaque service.

Les données médicales ne sont pas des données comme les autres

Le RGPD classe les données de santé dans une catégorie à part : les données "sensibles", soumises à des obligations renforcées. Les dossiers patients, les comptes rendus d'hospitalisation, les informations liées à l'addiction ou au handicap, les évaluations sociales, tout cela ne peut pas être confié à une IA générative grand public sans cadre juridique explicite. Ce n'est pas une recommandation. C'est une obligation légale dont la responsabilité repose sur l'établissement, et donc sur sa direction.

Les ARS l'ont formalisé. Par exemple, l'Agence Régionale de Santé de Normandie a publié une liste précise des documents à ne pas transmettre aux IA génératives : dossiers médicaux, bilans biologiques, données RH sensibles, informations sur des procédures disciplinaires, éléments issus d'enquêtes internes.

La règle d'or de ce document tient en une phrase : si le document contient une donnée personnelle ou une information stratégique non publique, il ne doit pas être transmis à une IA générative non maîtrisée. Ce document existe.

Combien de directions de cliniques privées et de CHU l'ont lu et l’applique ?

Le soignant n'est pas le problème. L'absence de règles l'est.

Ce que j'observe sur le terrain ressemble à ce qui se passe dans toutes les organisations qui ont adopté l'IA sans cadrer les usages : les équipes utilisent les outils les plus efficaces à leur disposition, et personne n'a posé les limites.

Dans un établissement de santé, cette mécanique prend une dimension différente. L'assistante sociale qui colle un dossier patient dans ChatGPT ne commet pas une faute morale. Elle cherche à aider son patient plus vite, avec les moyens qu'elle a. La faute, si on peut l'appeler ainsi, est organisationnelle.

Sur les versions standards de ChatGPT, celles accessibles depuis un téléphone personnel avec une adresse Gmail, OpenAI se réserve le droit d'utiliser les conversations pour entraîner ses modèles. L'option est activée par défaut. La désactiver suppose de savoir qu'elle existe, et de prendre le temps de le faire.

Dans un service hospitalier un lundi matin, personne ne vérifie les paramètres de confidentialité de son compte OpenAI avant de rédiger une synthèse. Ce serait absurde d'attendre ça. Ce qui n'est pas absurde, c'est d'avoir une politique claire avant que le problème arrive.

Ce que la direction doit faire avant la semaine prochaine

Pas dans six mois, lors d'un prochain comité de direction. Avant la semaine prochaine. La première chose : savoir quels outils IA les équipes utilisent réellement, pas ceux que la DSI a déployés, ceux qu'elles ouvrent sur leur téléphone entre deux patients. 

La deuxième : définir par écrit ce qui peut ou ne peut pas entrer dans un prompt, avec des exemples concrets adaptés aux métiers de l'établissement, soignants, administratifs, travailleurs sociaux. 

La troisième : exiger de tout prestataire IA une réponse claire sur l'hébergement des données : en France, en Europe, sous quelle juridiction, avec quelles garanties contractuelles.

Ces trois actions ne nécessitent pas un projet informatique. Elles nécessitent une décision de direction.

L'IA dans la santé peut être souveraine

Il est possible de déployer une IA qui interroge les documents internes d'un établissement, protocoles, procedures, bases de connaissance métier, sans que ces données sortent de l'infrastructure. Hébergée en France, conforme RGPD, accessible aux équipes comme n'importe quel outil métier. C'est ce que permet Ragflow, entre autres solutions souveraines. La question n'est pas de choisir entre l'efficacité et la protection des patients. C'est de choisir des outils qui ne forcent pas à faire ce choix.

Les directions que je rencontre ne sont pas opposées à l'IA. Elles sont inquiètes de l'exposition qu'elles ne voient pas. Et cette inquiétude est fondée, parce que l'exposition est réelle, et parce qu'en matière de données de santé, l'ignorance ne protège pas. Le RGPD ne demande pas si la direction savait. Il demande ce qu'elle a mis en place pour éviter que ça arrive.

Avant votre prochain comité de direction : demandez à votre DSI ou à votre DPO quels outils IA vos équipes utilisent aujourd'hui sur leurs téléphones personnels. Si la réponse est "je ne sais pas", vous avez votre diagnostic.

Vous voulez en discuter ? Envoyez-moi un e-mail à pierre.ammeloot@aodb.com