Les carrefours de données dans la lutte contre une pandémie mondiale

La pandémie de COVID-19 a entraîné la création de carrefours de données à l’échelle mondiale qui visent à recueillir des données et le développement d’outils logiciels permettant d’extraire des connaissances tirées des données. Ces connaissances peuvent être utilisées pour trouver de nouvelles façons de réduire la propagation de la maladie, de protéger les soignants et d’accélérer l’élaboration de traitements, dont un vaccin. Un carrefour de données peut être disponible « tel quel » pour être « utilisé à vos propres risques », ce qui oblige les collaborateurs à gérer des risques juridiques, réglementaires et éthiques.

Les carrefours de données peuvent comporter différents ensembles de données, comme des données cliniques et des données de recherche. COVID-19 Open Research Dataset (CORD-19) (en anglais seulement) offre plus de 44 000 articles sur la COVID-19 et la famille des coronavirus dans un carrefour centralisé et un format lisible par machine, ce qui facilite son utilisation pour la communauté mondiale qui se consacre à l’apprentissage machine. À l’heure actuelle, CORD-19 constitue la plus exhaustive collection de littérature sur le coronavirus disponible aux fins d’exploration de textes et de données. MiPasa (en anglais seulement), autre carrefour de données qui recueille des données cliniques et des données laboratoires sur la COVID-19, est assemblé par l’Organisation mondiale de la santé, en partenariat avec des sociétés technologiques. Ces types d’ensembles de données sur la santé peuvent être intégrés à des ensembles de données non reliés à la santé, comme des ensembles de données de localisation ou cartographiques, pour repérer les tendances et générer des prédictions sur la propagation de la maladie. Le Système d’information géographique sur la COVID-19 d’Esri comprend des cartes et des applications dédiées à la lutte contre la pandémie. Les données de localisation des téléphones mobiles peuvent être utilisées pour surveiller la distanciation sociale et suivre les mouvements des personnes qui ont été exposées au virus.

Outre la collecte de données, les carrefours de données ont la capacité d’intégrer des outils logiciels pour générer de l’analytique et exporter des ensembles de données. De plus, les développeurs peuvent utiliser des interfaces de programmation d’applications ou des trousses de développement logiciel à partir d’un carrefour pour développer des applications tierces. Par exemple, des applications d’apprentissage par machine peuvent être générées à l’aide d’ensembles de données de formation, d’essai et de validation fournies par un carrefour. Ces applications peuvent utiliser des modèles éprouvés sur d’autres ensembles de données pour générer des prédictions ou des connaissances qui en sont tirées.

Les modalités d’utilisation d’un carrefour de données peuvent indiquer que chaque participant est ultimement responsable de respecter les lois. Les collaborateurs devraient gérer les risques liés à la propriété intellectuelle ainsi que les risques contractuels, réglementaires et éthiques qui peuvent entraver l’utilisation bénéfique du carrefour de données et des connaissances qui en sont tirées.

Propriété intellectuelle

Les droits de propriété intellectuelle (PI) peuvent protéger les données et les outils logiciels des carrefours de données. Les carrefours de données peuvent mettre des données et des outils à la disposition des participants pour que ces derniers puissent les utiliser à leur propre risque, sans la protection accordée à la PI. L’autorisation et le suivi des droits liés à la PI contribuée minimiseront le risque de litiges et les contestations reliées à la propriété. Les carrefours de données à grande échelle regroupent un nombre important de parties prenantes et de propriétaires différents de droits de PI, ce qui rend la gestion de la PI assez complexe.

Divers types de droits de PI s’appliquent aux carrefours de données. Par exemple, dans une perspective canadienne, le droit d’auteur peut protéger les données et les codes s’ils résultent de l’exercice du talent et du jugement, plutôt que d’un exercice purement mécanique. Par conséquent, il est peu probable que les données cliniques brutes répondent à ce critère, mais les articles de recherche bénéficieraient probablement de la protection du droit d’auteur. Les compilations de données, les TDL et les API peuvent aussi être protégées par le droit d’auteur. En outre, les brevets peuvent protéger les aspects fonctionnels des carrefours de données, comme les systèmes dédiés à la formation ou à la production de modèles à l’aide des données recueillies sur la COVID 19. Les brevets peuvent aussi protéger la visualisation des données, les techniques de sécurité ou de stockage et les applications pratiques des systèmes d’apprentissage machine, notamment les applications pour la santé. Dans certains cas, les données et/ou les dérivés de ces données peuvent également être protégés à titre d’information exclusive ou de secrets commerciaux détenus par diverses organisations.

L’existence de ces droits de PI nécessite l’identification des propriétaires et créateurs pertinents des actifs de PI. Le propriétaire peut contribuer de la PI au carrefour de données, ce qui peut ensuite inciter les autres à aussi faire des contributions. Seul le propriétaire de ces données devrait contribuer des actifs de PI à un carrefour pour atténuer les risques de différends futurs portant sur l’utilisation des données contribuées ou des outils et des connaissances dérivées qui en découlent. Si des données ou des outils logiciels ont été inclus dans un carrefour de données sans la permission de leur propriétaire, alors toute utilisation de ces données et outils pourrait être illégale et contestée par le propriétaire.

La production d’ensembles de données pour ces carrefours peut nécessiter de procéder à du « grattage de données » ou à une collecte automatique de données en ligne ou sur d’autres sources publiées. Cependant, la publication des données n’accorde pas automatiquement une licence permettant d’utiliser les données à une fin quelconque. Par exemple, un ensemble de données dédiées à la visionique est actuellement visé par un litige en instance compte tenu d’allégations selon lesquelles les données sous-jacentes ont été obtenues en contravention des modalités de services qui interdisent le grattage de données.

Afin de réduire les risques de litiges pour les utilisateurs et les projets en aval, les droits de PI visant les données et les logiciels devraient faire l’objet d’une autorisation avant qu’ils ne soient mélangés à un carrefour de données ou utilisés par un participant. Si une portion des données est ajoutée sans la permission du propriétaire, les données pourraient alors devoir être enlevées. Un carrefour de données peut avoir un cadre d’autorisation de la PI qui retrace la propriété de différents actifs de PI. Des solutions logicielles peuvent utiliser les métadonnées pour suivre la provenance des données (c’est-à-dire l’origine des données comprises dans les ensembles de données et celle des créateurs/propriétaires). Ces solutions peuvent aider à repérer et à enlever les données contestées du carrefour de données. Ces métadonnées permettent de suivre et de vérifier la propriété des données et les contributions de droits de PI.

Cadre contractuel

Les ententes contractuelles relatives à un carrefour de données définissent la portée de l’utilisation autorisée des données et des outils par des tiers. Il existe divers modèles de licences. Par exemple, un propriétaire peut autoriser l’utilisation par d’autres personnes au moyen d’un modèle de licence « ouvert », ce qui signifie que les données peuvent être utilisées, réutilisées et redistribuées librement. Toutefois, toute utilisation demeure assujettie aux restrictions contractuelles. Par exemple, CORD-19 prévoit une entente de licence visant l’ensemble de données qui permet uniquement l’exploration de textes et de données.

La propriété et l’utilisation autorisée de données, y compris le traitement de données d’utilisation originales et dérivées et les droits de PI aux fins des demandes de traitement des données, devraient être clairement énoncées dans les ententes. Le carrefour de données peut prévoir différentes licences afin d’encourager la collaboration et d’inciter diverses parties prenantes à y participer. Par exemple, les titulaires de brevets peuvent autoriser l’utilisation de leurs inventions par les utilisateurs d’un carrefour de données afin d’encourager les autres titulaires de brevets qui y participent à faire de même pour créer une « communauté de brevets » pour le carrefour. Les parties peuvent s’entendre mutuellement pour ne pas faire valoir leurs droits dans le cadre d’un effort pour la réalisation d’un objectif commun : trouver des solutions pour réduire les répercussions de la COVID-19. 

Les données peuvent être contribuées « telles quelles ». Les parties se fiant à des données pour trouver des solutions en matière de santé devraient tenir compte des déclarations et des garanties liées à la qualité des ensembles de données. Autrement, des restrictions devraient être indiquées clairement et des exonérations de responsabilité, envisagées. Les parties devraient également tenir compte des modalités des licences visant les carrefours de données pour s’assurer de respecter les utilisations autorisées relativement aux données et aux outils. 

Aspects réglementaires

Les données recueillies dans le cadre des efforts déployés pour lutter contre la COVID-19 comprendront des renseignements personnels et privés ainsi que des données sur la santé. Dans certains cas, des déductions peuvent être faites à partir de données même sans collecte directe de ces renseignements et même lorsque les renseignements personnels ont été enlevés. La collecte et l’utilisation de données sensibles s’inscrivent dans des cadres réglementaires qui protègent les renseignements personnels, lesquels varient d’un pays à l’autre, dont la LPRPDE (Canada) et le RGPD (Union européenne). Les participants à des carrefours de données devraient gérer leur propre conformité réglementaire et ne pas se fier à l’organisation responsable de la gestion centralisée du carrefour de données. La nature mondiale de ces carrefours de données fait en sorte qu’il devient particulièrement complexe pour les participants de se conformer à la réglementation.

La collecte des données sur les patients et leur utilisation en vue de développer un vaccin déclenchent des exigences réglementaires en matière de santé publique et de protection des renseignements personnels (en anglais seulement), ce qui comprend de restreindre l’objectif pour lequel les données peuvent être utilisées, d’obtenir le consentement adéquat et de prendre des mesures de gestion et des mesures techniques strictes pour prévenir les atteintes à la sécurité des données. L’utilisation de données sur les patients pourrait être soumise à des restrictions supplémentaires si l’on tient compte de la notion de consentement éclairé. De façon générale, les exigences varient d’un territoire à l’autre, ce qui crée la nécessité d’implanter un processus de conformité mondial. Veuillez consulter les articles connexes, dont Le commissaire fédéral à la protection de la vie privée publie un bulletin d’orientation concernant les lois sur la protection des renseignements personnels en situation de pandémie, et celui sur les enjeux concernant la cybersécurité, la fraude et la responsabilité pendant la pandémie.

Aspects éthiques

L’utilisation de carrefours de données dans le cadre de la recherche sur la COVID-19 soulève différents aspects éthiques qui peuvent mener à des risques liés à la réputation. Les données pourraient ne pas être évaluées en fonction de mesures de contrôle de la qualité qui permettent de vérifier l’exactitude et l’intégrité des données. En outre, les données pourraient ne pas représenter équitablement une population et ainsi créer un préjugé. Ce préjugé peut, de façon non intentionnelle, fausser les résultats et les traitements qui ne s’appliquent pas de façon égale aux personnes. Il y a aussi lieu de faire preuve de transparence quant aux données qui sont incluses dans le carrefour, la façon dont elles ont été recueillies et les facteurs utilisés pour générer différentes connaissances. Un carrefour de données peut se doter d’un comité d’éthique et d’un modèle de gouvernance des données. Par exemple, un cadre de confiance des données peut établir les modalités de collecte et d’utilisation des données selon lesquelles les parties peuvent confier à un groupe ou à une entité la prise de décisions à propos des données au profit d’un plus grand groupe de parties prenantes.

Les mégadonnées et l’apprentissage machine offrent un énorme potentiel pour élaborer des solutions à la pandémie de COVID-19. Même en période de crise, les risques juridiques, réglementaires et éthiques devraient être gérés pour aider à maximiser les avantages. Si vous avez des questions sur les carrefours de données sur la COVID-19 ou sur la façon d’appliquer les pratiques exemplaires que nous suggérons, n’hésitez pas à communiquer avec notre équipe.

Les auteurs désirent remercier Saba Samanianpour, stagiaire en droit, pour son aide dans la préparation de cette actualité juridique.