La transcription par intelligence artificielle (IA) est de plus en plus utilisée par les établissements de santé canadiens pour réduire leur charge administrative. Aussi, les organismes de réglementation de l'Ontario, de la Colombie-Britannique et de l'Alberta ont publié des directives sur l'usage légitime des transcripteurs, en vertu de leurs lois respectives sur la protection de la vie privée en matière de santé.

La portée des lignes directrices varie d'une province à l'autre. En Ontario et en Alberta, elles s'appliquent de manière générale aux dépositaires de renseignements sur la santé, comme définis dans la LPRPS et la HIA, ce qui comprend notamment les hôpitaux, les cliniques et les médecins. En Colombie-Britannique, seuls les fournisseurs privés de soins de santé assujettis à la PIPA sont visés, comme les praticiennes et praticiens indépendants et la plupart des cliniques de soins primaires; les organismes publics, comme les hôpitaux et les autorités de santé, sont exemptés.

Dans cet article, nous résumons les principales exigences de conformité de chaque province et soulignons les mesures que les organisations doivent prendre avant de déployer des outils de transcription par IA.

Points à retenir pour les organisations de santé

À mesure que la surveillance réglementaire de l'IA dans le domaine de la santé augmente, les organismes de l'Ontario, de la Colombie-Britannique et de l'Alberta doivent s'assurer de respecter la réglementation encadrant l'utilisation des transcripteurs. Concrètement, ils doivent :

Documenter l'autorisation légitime et le degré de nécessité , y compris en justifiant l'utilisation des transcripteurs par IA malgré leur impact sur la confidentialité.

, y compris en justifiant l'utilisation des transcripteurs par IA malgré leur impact sur la confidentialité. Définir la portée de l'utilisation autorisée , notamment lorsque le transcripteur est également utilisé pour soutenir la prise de décision médicale et les flux de travail cliniques.

, notamment lorsque le transcripteur est également utilisé pour soutenir la prise de décision médicale et les flux de travail cliniques. Appliquer des modèles de consentement ou d'autorisation propre au territoire concerné (consentement explicite en Ontario et en Colombie-Britannique; autorité statutaire en Alberta).

(consentement explicite en Ontario et en Colombie-Britannique; autorité statutaire en Alberta). Interdire l'utilisation secondaire des données (y compris l'usage par les fournisseurs des intrants et extrants à des fins d'entraînement de l'IA) par le biais de contrats et de contrôles du système.

par le biais de contrats et de contrôles du système. Limiter la conservation des données en dehors du dossier médical électronique (DME) et s'appuyer uniquement sur le résumé des dossiers.

et s'appuyer uniquement sur le résumé des dossiers. Exiger une validation humaine de tout contenu généré par l'IA avant ou peu après sa consignation dans le DME.

de tout contenu généré par l'IA avant ou peu après sa consignation dans le DME. Maintenir une bonne gouvernance et une surveillance rigoureuse des fournisseurs, appuyées par une évaluation des facteurs relatifs à la vie privée (EFVP) et, si un transcripteur est également utilisé pour soutenir la prise de décisions médicales, une évaluation de l'incidence algorithmique (EIA).

Qu'est-ce qu'un transcripteur par IA?

C'est un outil qui utilise l'IA générative pour enregistrer des conversations cliniques, souvent en temps réel, et les transformer en notes et résumé structurés. Il permet d'alléger les tâches administratives et d'aider les médecins à se concentrer sur les interactions avec leurs patients pendant la prestation des soins. Comme l'outil enregistre l'intégralité des discussions entre les patients et le personnel médical, il traite généralement des renseignements personnels sensibles. Certains transcripteurs vont même au-delà de la simple transcription et offrent des fonctionnalités qui facilitent la prise de décision médicale et optimisent les flux de travail. Le recours à ces outils peut entraîner des risques liés à la documentation et à d'autres aspects cliniques, et l'obligation de se conformer aux lois provinciales en matière de confidentialité des renseignements médicaux.

Nécessité et raisonnabilité de la transcription par IA

Dans les trois provinces, les autorités réglementaires soulignent que les transcripteurs par IA ne peuvent être adoptés uniquement pour des raisons de commodité. Les organisations doivent respecter les seuils légaux applicables et justifier la portée de l'enregistrement intégral des consultations cliniques, notamment en démontrant que cette collecte est nécessaire à leurs activités et appropriée compte tenu du niveau de sensibilité des renseignements.

Ontario : Les règles de minimisation des données de la LPRPS exigent que les dépositaires ne recueillent et n'utilisent que les renseignements personnels sur la santé nécessaires à l'atteinte d'un objectif défini. Par conséquent, le contenu enregistré par le transcripteur doit être restreint pour garantir l'autorisation légale de la collecte de renseignements, et les médecins doivent privilégier les solutions les moins intrusives à leur disposition.

Les règles de minimisation des données de la LPRPS exigent que les dépositaires ne recueillent et n'utilisent que les renseignements personnels sur la santé nécessaires à l'atteinte d'un objectif défini. Par conséquent, le contenu enregistré par le transcripteur doit être restreint pour garantir l'autorisation légale de la collecte de renseignements, et les médecins doivent privilégier les solutions les moins intrusives à leur disposition. Colombie-Britannique : En vertu de la PIPA, les organisations doivent satisfaire au critère de la « personne raisonnable » en démontrant qu'une telle personne considérerait la collecte d'enregistrements audio, y compris les données vocales sensibles et les renseignements accessoires provenant de tiers, comme appropriée dans les circonstances, et qu'aucune autre solution moins intrusive pour la vie privée ne permettrait d'atteindre le même objectif.

En vertu de la PIPA, les organisations doivent satisfaire au critère de la « personne raisonnable » en démontrant qu'une telle personne considérerait la collecte d'enregistrements audio, y compris les données vocales sensibles et les renseignements accessoires provenant de tiers, comme appropriée dans les circonstances, et qu'aucune autre solution moins intrusive pour la vie privée ne permettrait d'atteindre le même objectif. Alberta : La HIA prévoit les normes les plus strictes. Les dépositaires ne peuvent recueillir des renseignements personnels sur la santé que lorsqu'ils y sont expressément autorisés par la loi, indépendamment du consentement. L'enregistrement intégral des consultations cliniques doit donc être essentiel aux soins ou à d'autres fins autorisées (p. ex. déterminer l'admissibilité d'une personne à recevoir un service ou faciliter la gestion interne), et ne peut uniquement servir à augmenter l'efficacité.

Compte tenu de l'utilité des transcripteurs par IA, nous ne pensons pas que les autorités chargées de la protection de la vie privée s'opposeront à leur utilisation. Néanmoins, cette dernière devra être justifiée, documentée et soigneusement circonscrite par les dépositaires et administrateurs.

Consentement spécifique au territoire et fondé sur le droit

Les exigences en matière de consentement varient considérablement d'une province à l'autre lorsqu'il est question de transcription par IA, ce qui rend impossible l'adoption d'une approche nationale unique pour les organisations actives dans plusieurs territoires. Les organismes de santé doivent donc harmoniser leurs processus d'obtention du consentement au cadre juridique provincial applicable.

Ontario : Bien que les dépositaires n'obtiennent habituellement pas le consentement des personnes concernées pour utiliser des technologies dans le traitement des renseignements sur la santé, le Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP) a déclaré qu'il serait généralement requis. Selon le CIPVP, les patients doivent comprendre que la consultation sera enregistrée à l'aide de l'IA et que des fournisseurs sont impliqués, et connaître la nature des renseignements collectés et les principaux risques et avantages de la transcription par IA. Le consentement doit être documenté et peut être retiré sans que cela affecte les soins prodigués.

Bien que les dépositaires n'obtiennent habituellement pas le consentement des personnes concernées pour utiliser des technologies dans le traitement des renseignements sur la santé, le Commissaire à l'information et à la protection de la vie privée de l'Ontario (CIPVP) a déclaré qu'il serait généralement requis. Selon le CIPVP, les patients doivent comprendre que la consultation sera enregistrée à l'aide de l'IA et que des fournisseurs sont impliqués, et connaître la nature des renseignements collectés et les principaux risques et avantages de la transcription par IA. Le consentement doit être documenté et peut être retiré sans que cela affecte les soins prodigués. Colombie-Britannique : En vertu de la PIPA, les organismes de santé doivent obtenir le consentement explicite et éclairé des patients avant d'utiliser un transcripteur par IA dans presque toutes les situations cliniques. Les patients doivent être informés de ce qu'est un transcripteur par IA, de ce qu'il enregistre, des risques qu'il pose pour la confidentialité ainsi que de la manière dont leurs renseignements – et ceux de tiers – seront utilisés. Ils doivent également faire le choix clair d'accepter ou de refuser son usage. Le consentement doit être documenté, peut être retiré à tout moment et doit être renouvelé si les fonctions de l'outil ou les pratiques du fournisseur changent.

En vertu de la PIPA, les organismes de santé doivent obtenir le consentement explicite et éclairé des patients avant d'utiliser un transcripteur par IA dans presque toutes les situations cliniques. Les patients doivent être informés de ce qu'est un transcripteur par IA, de ce qu'il enregistre, des risques qu'il pose pour la confidentialité ainsi que de la manière dont leurs renseignements – et ceux de tiers – seront utilisés. Ils doivent également faire le choix clair d'accepter ou de refuser son usage. Le consentement doit être documenté, peut être retiré à tout moment et doit être renouvelé si les fonctions de l'outil ou les pratiques du fournisseur changent. Alberta : Les dépositaires n'ont généralement pas besoin du consentement des patients pour utiliser des transcripteurs par IA, à condition que le traitement des renseignements sur la santé reste strictement limité aux fins autorisées par la HIA (p. ex. fournir des soins de santé, déterminer l'admissibilité d'une personne à un service ou soutenir la gestion interne). Les dépositaires ne peuvent pas se servir de transcripteurs par IA pour d'autres raisons, et seuls les renseignements essentiels à l'atteinte de l'objectif admis peuvent être recueillis. Le consentement écrit n'est requis que si l'appareil d'enregistrement n'est pas visible par le patient.

Exclusion de facto de l'utilisation secondaire ou pour l'entraînement de l'IA

Les trois provinces adoptent une approche restrictive à l'égard de toute utilisation secondaire des intrants ou des extrants du transcripteur par IA, en particulier pour l'entraînement des modèles des fournisseurs.

Ontario : La LPRPS autorise l'utilisation secondaire des données uniquement avec un consentement valide ou lorsque les renseignements personnels sont anonymisés de manière à rendre la réidentification très difficile. Les directives du CIPVP indiquent que les enregistrements audio ne répondent presque jamais à cette norme, ce qui interdit de facto leur usage pour l'entraînement de l'IA par les fournisseurs.

La LPRPS autorise l'utilisation secondaire des données uniquement avec un consentement valide ou lorsque les renseignements personnels sont anonymisés de manière à rendre la réidentification très difficile. Les directives du CIPVP indiquent que les enregistrements audio ne répondent presque jamais à cette norme, ce qui interdit de facto leur usage pour l'entraînement de l'IA par les fournisseurs. Colombie-Britannique : En vertu de la PIPA, l'utilisation secondaire sans consentement n'est autorisée que lorsqu'elle est raisonnable et expressément autorisée par la loi. Les directives du commissariat à l'information et à la protection de la vie privée (OIPC) indiquent que les données vocales, même anonymisées, restent généralement des renseignements personnels.

En vertu de la PIPA, l'utilisation secondaire sans consentement n'est autorisée que lorsqu'elle est raisonnable et expressément autorisée par la loi. Les directives du commissariat à l'information et à la protection de la vie privée (OIPC) indiquent que les données vocales, même anonymisées, restent généralement des renseignements personnels. Alberta : Dans le cadre de la HIA, les fournisseurs sont considérés comme des sociétés affiliées et ne peuvent utiliser les renseignements sur la santé qu'à des fins autorisées par le dépositaire. L'entraînement de modèles à partir de renseignements personnels est interdit et ne peut être justifié par le consentement.

Les dépositaires et les administrateurs doivent examiner attentivement la question de l'utilisation secondaire. L'anonymisation est un moyen courant de permettre l'utilisation des renseignements sur la santé, mais il existe des exigences strictes quant à la sélection de la personne responsable de cette tâche et à la manière dont celle-ci sera effectuée, et la nature même des données produites par les transcripteurs par IA limite grandement l'utilisation secondaire légale.

Conservation autorisée des enregistrements et des transcriptions dans des cas exceptionnels

Les autorités réglementaires s'accordent à considérer les enregistrements audio et les transcriptions intégrales comme présentant un risque élevé pour la confidentialité en raison de la biométrie vocale, de la capture accidentelle et de l'exposition accrue aux violations. Par conséquent, leurs lignes directrices convergent vers un principe de conservation minimale.

Ontario : La conservation de données en dehors du DME doit rester exceptionnelle. La pratique optimale consiste à supprimer les enregistrements et les transcriptions une fois qu'un résumé validé par un humain a été stocké.

La conservation de données en dehors du DME doit rester exceptionnelle. La pratique optimale consiste à supprimer les enregistrements et les transcriptions une fois qu'un résumé validé par un humain a été stocké. Colombie-Britannique : La conservation limitée n'est autorisée que lorsqu'elle est nécessaire à la prise de décision clinique. Les enregistrements vocaux doivent être supprimés après transcription, sauf s'ils servent à un but précis.

La conservation limitée n'est autorisée que lorsqu'elle est nécessaire à la prise de décision clinique. Les enregistrements vocaux doivent être supprimés après transcription, sauf s'ils servent à un but précis. Alberta : Les enregistrements et les transcriptions doivent être supprimés après leur validation par le personnel médical, conformément à la norme relative aux informations essentielles de la HIA.

En pratique, un modèle de conservation des DME seulement (c'est-à-dire les notes examinées par le personnel médical et saisies dans le DME, les enregistrements audio et les transcriptions sous-jacents étant supprimés) s'est imposé comme la norme de conformité dominante.

Supervision humaine requise pour contrer les risques d'inexactitude

Dans les trois provinces, les autorités réglementaires relèvent des risques similaires en matière d'exactitude et proscrivent l'utilisation autonome des transcripteurs par IA. Les notes générées par l'IA doivent toujours être vérifiées par le personnel, qui reste légalement responsable de l'exactitude et de l'exhaustivité du dossier médical.

Ontario : Une validation humaine est nécessaire avant que tout contenu généré par l'IA ne soit utilisé ou saisi dans le DME. Des politiques sur la prévention des hallucinations, des erreurs interlinguales et des biais d'automatisation doivent aussi être mises en place.

Une validation humaine est nécessaire avant que tout contenu généré par l'IA ne soit utilisé ou saisi dans le DME. Des politiques sur la prévention des hallucinations, des erreurs interlinguales et des biais d'automatisation doivent aussi être mises en place. Colombie-Britannique : La PIPA exige que les organisations prennent des mesures raisonnables pour garantir l'exactitude de l'information, notamment la relecture humaine, la formation du personnel et des contrôles périodiques.

La PIPA exige que les organisations prennent des mesures raisonnables pour garantir l'exactitude de l'information, notamment la relecture humaine, la formation du personnel et des contrôles périodiques. Alberta : Conformément à la HIA, les dépositaires doivent garantir l'exactitude de la transcription. Les résultats produits par l'IA doivent être vérifiés afin d'éviter des erreurs, telles que le mélange de consultations ou les mauvaises transcriptions.

Impossibilité de déléguer sa responsabilité ou la supervision des fournisseurs

Dans les trois provinces, la responsabilité incombe toujours au dépositaire. Les fournisseurs peuvent offrir une technologie de transcription par IA ou une aide au traitement, mais les organismes de santé restent entièrement responsables du respect des lois sur la confidentialité des données médicales.

Ontario : Le CIPVP s'attend à une gouvernance solide, comprenant notamment des EFVP ou des EIA, selon le cas, des politiques claires et des contrats détaillés avec les fournisseurs couvrant les restrictions d'utilisation, la sécurité, la notification des violations et les droits de vérification.

Le CIPVP s'attend à une gouvernance solide, comprenant notamment des EFVP ou des EIA, selon le cas, des politiques claires et des contrats détaillés avec les fournisseurs couvrant les restrictions d'utilisation, la sécurité, la notification des violations et les droits de vérification. Colombie-Britannique : Les organisations doivent maintenir leurs politiques à jour, assurer la formation de leur personnel, mettre en œuvre des mesures de sécurité rigoureuses et gérer les processus d'accès, de correction et de plainte. Les contrats avec les fournisseurs doivent interdire toute utilisation non autorisée et garantir un traitement sécurisé des données.

Les organisations doivent maintenir leurs politiques à jour, assurer la formation de leur personnel, mettre en œuvre des mesures de sécurité rigoureuses et gérer les processus d'accès, de correction et de plainte. Les contrats avec les fournisseurs doivent interdire toute utilisation non autorisée et garantir un traitement sécurisé des données. Alberta : Les contrats doivent préserver le contrôle du dépositaire sur les renseignements sur la santé et exiger que les fournisseurs se conforment à toutes les obligations de la HIA, y compris les restrictions d'utilisation et la destruction sécuritaire de l'information.

