Tempus AI poursuivie : l'entraînement IA sur données génétiques déclenche les class actions
Tempus AI, société américaine cotée spécialisée dans l'intelligence artificielle appliquée à la santé, fait face à plusieurs actions collectives (class actions) pour avoir utilisé et partagé avec plus de 70 laboratoires pharmaceutiques et biotechs les résultats de tests génétiques réalisés par Ambry Genetics — sans consentement explicite des patients. L'affaire cristallise deux risques majeurs de l'IA de santé : l'usage détourné de données sensibles pour l'entraînement des modèles, et leur diffusion commerciale à des tiers. Un cas d'école côté européen, à l'heure où le RGPD et l'AI Act convergent sur la gouvernance des données génétiques.
Ce qui s'est passé
Plusieurs recours collectifs ont été déposés aux États-Unis contre Tempus AI, entreprise cotée en bourse dédiée à l'IA médicale. Les plaignants lui reprochent la collecte et la divulgation non autorisées de résultats de tests génétiques, obtenus via la base de données d'Ambry Genetics Corporation, un laboratoire de diagnostic génétique. Tempus AI aurait exploité cette base pour entraîner ses modèles d'IA, puis aurait partagé les données dérivées avec un écosystème contractuel de plus de 70 entreprises.
Parmi les bénéficiaires figurent de grands groupes pharmaceutiques — AstraZeneca, Bristol Myers Squibb, Pfizer, GlaxoSmithKline — ainsi que des biotechs comme Incyte, Servier, Aspera Biomedicines et Whitehawk Therapeutics. Les class actions portent à la fois sur l'usage pour l'entraînement et sur les transmissions commerciales subséquentes, sur le fondement des lois américaines de protection de la vie privée génétique et des obligations contractuelles initialement souscrites par les patients auprès d'Ambry Genetics.
Pourquoi c'est important : une affaire qui résonne jusqu'au RGPD
Transposée en droit européen, cette affaire illustre un empilement de manquements au titre du RGPD. Les données génétiques relèvent des catégories particulières de données visées par l'article 9 du règlement et bénéficient d'un niveau de protection renforcé, comme le détaille le guide RGPD et santé. Leur traitement est interdit par principe, sauf exceptions strictes (consentement explicite, intérêt public important en matière de santé, recherche scientifique encadrée).
Trois griefs clés émergent côté RGPD. D'abord la base légale : un consentement accordé pour un test diagnostic ne couvre pas l'entraînement ultérieur d'un modèle d'IA — la finalité est distincte et le consentement doit être spécifique. Ensuite la requalification du responsable de traitement : dès lors qu'un éditeur ré-entraîne un modèle sur des données reçues en sous-traitance, il devient responsable autonome. C'est précisément la doctrine que l'AEPD a récemment codifiée pour la transcription vocale par IA. Enfin la chaîne de transmissions : le partage avec 70 tiers aurait dû s'accompagner de DPA, de bases légales autonomes et d'une information transparente des personnes.
L'AI Act ajoute une couche : un modèle entraîné sur des données de santé pour produire des inférences cliniques entre dans le périmètre du « haut risque » (annexe III), avec des obligations étendues de gouvernance des données d'entraînement, de traçabilité et de documentation technique. Les cabinets européens auront à qualifier ces systèmes et à démontrer la licéité de chaque jeu de données ingéré.
Ce que ça change pour les organisations
Pour les DPO, RSSI et directions juridiques des entreprises utilisant ou développant de l'IA, trois actions opérationnelles s'imposent dès maintenant.
Auditer les finalités d'entraînement. Toute donnée personnelle — a fortiori sensible — réutilisée pour l'entraînement d'un modèle doit faire l'objet d'une base légale dédiée. L'AIPD (article 35 RGPD) devient incontournable : elle doit expliciter la finalité « entraînement », les données ingérées, les mécanismes de minimisation et les garanties contre la ré-identification. Notre guide sur les données de santé et le logiciel RGPD détaille le cadre applicable.
Cartographier les transmissions à des tiers. Les modèles d'IA, surtout entraînés sur des données de santé, créent des flux complexes : fournisseurs cloud, plateformes d'annotation, partenaires commerciaux, clients finaux. Chaque flux doit être documenté (registre article 30), encadré (DPA, clauses contractuelles types pour les transferts hors UE) et informé à la personne concernée.
Revoir les contrats clients existants. Les laboratoires diagnostic, hôpitaux et assureurs santé qui confient des données à un partenaire IA doivent insérer des clauses interdisant explicitement le ré-entraînement sur leurs données, imposer des audits et prévoir des mécanismes de purge. L'affaire Ambry/Tempus montre qu'un contrat initial silencieux sur l'usage IA devient un risque contentieux majeur.
Ce que Leto pense de cette décision
L'action collective contre Tempus AI est un signal de marché. Elle confirme ce que les autorités européennes — CNIL, AEPD, EDPB — répètent depuis 2024 : le « libre service » de données pour l'IA est fini. Les entreprises qui veulent déployer des modèles entraînés sur des données de santé devront documenter chaque ligne de leur pipeline, du recueil au partage, et accepter que les patients exercent effectivement leurs droits — y compris le droit à l'effacement et à l'opposition à des traitements algorithmiques. Miser sur la « dépersonnalisation » comme échappatoire est une stratégie courte : les techniques de ré-identification ont largement rattrapé la pseudonymisation statistique. Reste que les régulateurs européens tiennent aujourd'hui une fenêtre rare pour imposer un standard mondial. À défaut, les class actions américaines — plus lentes mais plus coûteuses — feront le travail à leur place.
Sources :
