Comment les organismes de santé peuvent-ils combler les lacunes en matière de confiance et de gouvernance des données pour tirer pleinement parti de l'IA ?
Par Kate O'Flaherty
Le secteur de la santé innove grâce à l'IA, une technologie qui recèle un énorme potentiel dans des domaines tels que le diagnostic, le triage et l'administration.
Au Royaume-Uni, le NHS est déjà adopter l'IA Au-delà des tâches de base, le NHS England a commencé Projets pilotes de dépistage du cancer du poumon par IA, où cette technologie permet d'identifier des problèmes plus petits que ceux visibles à l'œil nu.
Parallèlement, la Food and Drug Administration (FDA) américaine a autorisé Plus de 1 000 dispositifs intégrant l'IA, dont la majorité sont utilisés en radiologie.
Au cours des deux dernières années, les responsables du secteur de la santé sont passés de la question de la pertinence de l'IA à celle de son utilisation responsable et à grande échelle, selon une étude récente. Rapport McKinsey.
Les chiffres montrent que la moitié des organismes de santé américains ont déjà mis en œuvre l'IA générative, tandis que plus de 80 % ont déployé leurs premiers cas d'utilisation auprès des utilisateurs finaux. La prochaine étape, selon McKinsey, consistera pour les organisations à passer de l'utilisation de l'IA générative pour créer du contenu et soutenir des tâches individuelles à une utilisation plus globale. IA agentique passer à l'action et coordonner des processus plus complexes.
Pourtant, des obstacles importants freinent l'innovation en IA dans le domaine de la santé, notamment les risques de sécurité et les problèmes de conformité liés aux vastes quantités de données sensibles nécessaires à l'entraînement des systèmes. Comment les organismes de santé peuvent-ils combler les lacunes en matière de confiance et de gouvernance des données pour tirer pleinement parti de l'IA ?
Données hautement sensibles
Les données de santé figurent parmi les plus sensibles et les plus complexes de tous les secteurs, combinant dossiers médicaux, données d'identité personnelle et informations financières provenant de multiples fournisseurs et systèmes.
« Les informations concernant un patient peuvent être dispersées entre hôpitaux, cabinets de médecins généralistes, spécialistes, laboratoires, pharmacies, assureurs et plateformes technologiques — souvent dans des formats incompatibles, sans aucun registre unifié les reliant », explique Craig Gravina, directeur technique de Semarchy.
Il en résulte qu'aucun système ne permet d'obtenir une image complète d'un patient. « Construire cette image — dossier patient longitudinal « C’est ce qu’il faut pour que l’IA fonctionne de manière sûre et efficace en milieu clinique », explique Gravina. IO« Sans cela, l’IA fonctionne à partir d’une image incomplète et peu fiable. Dans le domaine de la santé, cela va au-delà d’un simple problème de données et devient un enjeu de sécurité des patients. »
À mesure que l'IA s'intègre aux flux de travail cliniques, les organisations sont soumises à une pression croissante pour répondre à des questions fondamentales : d'où proviennent ces données, ont-elles été validées, qui peut y accéder et les décisions assistées par l'IA peuvent-elles être auditées ? « Lorsque les systèmes commencent à influencer les décisions cliniques à grande échelle, la faiblesse des données révèle de graves lacunes en matière de confiance et de responsabilité », explique Gravina.
L’introduction de l’intelligence artificielle soulève des problèmes dans trois domaines : la responsabilité, l’explicabilité et le consentement, explique Mike Macauley, directeur général de Liferay. « On ne sait pas à qui imputer la responsabilité lorsque l’IA donne un avis médical. Si un système formule une recommandation, la loi ne peut pas déterminer qui est responsable des conséquences. »
De nombreux modèles d'IA sont en réalité des « boîtes noires » qui n'expliquent pas comment ils parviennent à une conclusion, selon Macauley. Cela pose un problème juridique au regard du droit britannique. Règlement Général de Protection des Données (RGPD), car les patients ont le droit de savoir pourquoi un ordinateur a pris une décision spécifique concernant leur santé, explique Macauley.
Parallèlement, les entreprises entraînent leur IA à l'aide de données collectées dans un but précis, mais souvent utilisées à d'autres fins. « Cela signifie qu'elles ne peuvent pas prouver qu'elles ont le droit légal d'utiliser les données originales qui ont servi à entraîner le système », explique Macauley. IO.
Le problème caché
Avec l'introduction de l'IA dans le secteur de la santé, un risque souvent négligé concerne le traitement des données lors de leur transit à travers une chaîne complexe de tiers, tels que les plateformes existantes et les partenaires externes.
« La responsabilité se dilue à chaque étape », explique Gravina de Semarchy. « On ne sait pas toujours clairement qui est propriétaire des données à chaque étape, qui est responsable de leur qualité, ni qui est responsable en cas de problème. Lorsqu’aucune partie n’a une vision complète et globale du cycle de vie des données, la gouvernance s’effondre. »
Pour compliquer encore les choses, les cadres de gouvernance traditionnels des soins de santé ont été conçus pour des systèmes statiques avec des flux de données relativement stables et des règles fixes. Par exemple, Cyber Essentials et Gouvernance de l'information du NHSCes règles ne fonctionnent que pour les systèmes rigides. « L’IA les enfreint car elle évolue constamment », explique Macauley de Liferay.
Dans le même temps, une norme Évaluation de l'impact de la protection des données Comme le précise le RGPD, un système n'est examiné qu'une seule fois. Or, selon Macauley, une IA qui apprend en continu peut modifier son comportement sans que personne ne vérifie sa conformité aux normes de sécurité et de légalité.
Les goulots d'étranglement de l'innovation
Le manque de confiance dans la gouvernance compromet le développement de l'IA dans le secteur de la santé en augmentant le risque de blocages de l'innovation. Lorsque les organisations doutent de la fiabilité de leurs données, l'adoption de l'IA est freinée.
« Les dirigeants hésiteront à déployer l'IA en milieu clinique s'ils ne peuvent garantir la qualité et la traçabilité des données, ni démontrer leur auditabilité auprès des autorités réglementaires », explique Gravina de Semarchy. « Paradoxalement, l'infrastructure de gouvernance nécessaire au déploiement sécurisé de l'IA est la même qui permet d'obtenir une vision longitudinale des données des patients, ce qui, en premier lieu, rend l'IA plus efficace. »
Une bonne gouvernance est essentielle à une IA efficace dans le domaine de la santé, explique-t-il. « Il est crucial de souligner que l’exposition des données à l’IA ne doit pas entraîner la perte de la gouvernance mise en place : la traçabilité, les contrôles d’accès et la qualité des données doivent être préservés et ne pas être négligés lors de leur intégration dans un processus d’IA. »
Normes internationales
Deux normes internationales définissent le cadre de la gestion de l'IA. ISO 27001 Elle jette les bases d'une sécurité et d'une gouvernance de l'information robustes, contribuant à établir des approches structurées en matière de gestion des risques, de contrôle d'accès, de réponse aux incidents, de gestion des actifs et de responsabilisation. Cela permet de bâtir une gouvernance plus solide, affirme Gravina.
ISO 42001 Elle s'appuie sur ces principes en introduisant une gouvernance spécifiquement conçue pour les systèmes d'IA. Elle met l'accent sur la supervision, la gestion des risques liés à l'IA, la transparence, ainsi que le développement et l'utilisation responsables de l'IA.
Ensemble, ces normes permettent aux organismes de santé de « dépasser l’adoption ponctuelle de l’IA pour adopter un modèle de gouvernance plus structuré », explique Gravina.
Il est clair que l'IA offre un potentiel énorme dans le domaine de la santé, à condition que les structures de gouvernance puissent être adaptées à cette nouvelle ère innovante.
La confiance des patients devrait être la base de tout, selon les experts. Lohyd Terrier, professeur associé de comportement organisationnel à l'EHL Hospitality Business School, préconise de considérer l'IA comme un service à part entière destiné au patient. « Elle doit être traçable, explicable et pouvoir être refusée, et non pas une fonction invisible de back-office. »
Le point de départ doit être les données elles-mêmes. Les dirigeants doivent s'assurer que leur organisation dispose des fondements nécessaires pour construire « une vision unifiée et longitudinale des données des patients, tous systèmes et prestataires confondus », explique Gravina de Semarchy. « Sans cela, la gouvernance de l'IA repose sur du sable. »
Il recommande de cartographier les domaines où l'IA est déjà utilisée, d'identifier les flux de données critiques et les dépendances envers les tiers, de clarifier la propriété et la gouvernance, et de renforcer les contrôles d'accès, les pistes d'audit et la qualité des données de bout en bout. « La confidentialité, la sécurité et la gouvernance de l'IA doivent être intégrées dans une approche unique et cohérente, et non gérées séparément. »
Élargissez vos connaissances
Blog: Violation de données chez DXS International : Leçons tirées pour le secteur de la santé
Webinaire (anglais seulement): L’ISO 42001 en action : enseignements tirés de l’une des premières certifications ISO 42001 au monde
