Modèles de langage LLM non contrôlés et casse-tête de la conformité dans les soins de santé

Dans l’ensemble des industries, l’intelligence artificielle générative (GenAI) a réalisé des avancées rapides en un laps de temps relativement court. Ces progrès sont impulsés par des modèles de base, que The California Report on Frontier AI Policy définit comme, « une classe de technologies à usage général qui sont intensives en ressources pour être produites, nécessitant de grandes quantités de données et de calcul pour produire des capacités qui peuvent alimenter une variété d’applications d’IA en aval. »

Ces modèles de langage LLM (Large Language Model) à usage général, tels que Gemini et ChatGPT, montrent une puissance croissante pour reproduire et dépasser les capacités cognitives humaines dans des domaines tels que l’analyse de données, l’écriture et le raisonnement. Dans le domaine des soins de santé en particulier, l’adoption de la GenAI est en augmentation alors que les cliniciens et les professionnels de la santé cherchent à utiliser cette technologie pour réduire la charge administrative, accélérer les opérations et même soutenir la prise de décision clinique.

Cependant, même si la technologie offre de grands espoirs, l’adoption de la GenAI dans les soins de santé soulève également des risques de conformité clés si elle n’est pas mise en œuvre ou utilisée de manière responsable. En particulier, l’utilisation de modèles de langage LLM à usage général est associée à des préoccupations de conformité spécifiques que les organisations de soins de santé doivent comprendre pleinement pour prévenir les violations de la vie privée ou les failles de sécurité. Ces modèles peuvent s’appuyer sur des sources de données non vérifiées, utiliser des informations de santé des patients de manière non autorisée ou perpétuer des préjugés et/ou des informations inexactes.

Pour préserver la confidentialité des données des patients, rester en conformité avec les réglementations en évolution et minimiser les risques coûteux, les dirigeants de la santé doivent adopter une approche décisive pour désamorcer la « bombe à retardement » de la conformité de l’utilisation non contrôlée des LLM.

État actuel de l’utilisation des LLM à usage général dans les soins de santé

Dans l’ensemble des soins de santé, le personnel utilise de plus en plus les LLM pour soutenir les tâches quotidiennes, allant du travail administratif à la communication avec les patients. Les LLM multimodaux élargissent encore ces applications avec leur capacité à traiter facilement le texte, les images et les audio. En plus du soutien administratif, nous observons également une augmentation du recours à la technologie pour soutenir non seulement le travail de bureau, mais également les tâches cliniques.

Ces modèles démontrent déjà des résultats qui pourraient être considérés comme impressionnants, avec plusieurs études montrant que les performances des LLM sont égales ou même supérieures aux capacités humaines dans des domaines spécifiques. Par exemple, le modèle GPT-4 a obtenu un score global de 86,7 % à l’examen de licence médicale des États-Unis .

L’IA hybride est une autre approche émergente de l’utilisation de la GenAI dans les soins de santé, qui combine l’apprentissage automatique (ML) et les LLM pour gérer des analyses complexes et traduire les résultats en langage clair. En intégrant les deux modèles, cette approche vise à surmonter les limites des LLM, notamment les hallucinations, les inexactitudes et les préjugés, tout en exploitant leurs forces. L’IA agente connaît également une augmentation de son adoption en raison de sa capacité à automatiser des tâches clés sans intervention humaine, telles que la réponse aux messages des patients ou la planification des rendez-vous.

Cependant, le potentiel de l’IA met en évidence un besoin urgent de gouvernance plus proactive. Plus ces outils s’intègrent aux opérations des soins de santé, plus les enjeux sont élevés pour assurer l’exactitude, la sécurité et la conformité.

Les risques de conformité des LLM à usage général dans les soins de santé

Alors que l’adoption numérique dans les soins de santé a ouvert de nouvelles possibilités, elle a également exposé des vulnérabilités clés. Entre le 1er novembre 2023 et le 31 octobre 2024, par exemple, le secteur des soins de santé a connu 1 710 incidents de sécurité, dont 1 542 impliquant des divulgations de données confirmées.

L’ère de l’IA approfondit ces failles, ajoutant une nouvelle couche de complexité à la confidentialité et à la sécurité des données. Plus précisément, l’utilisation de LLM à usage général dans les soins de santé soulève plusieurs risques de conformité clés :

Risque n° 1 : Le développement en boîte noire empêche la surveillance ou la vérification continue

Les modèles fermés manquent de transparence quant à leur processus de développement, comme les données spécifiques utilisées pour l’entraînement du modèle ou la manière dont les mises à jour sont effectuées. Cette opacité empêche les développeurs et les chercheurs de creuser dans le modèle pour déterminer l’origine des risques pour la sécurité ou de comprendre les processus de prise de décision. Par conséquent, les LLM fermés peuvent permettre l’utilisation de sources de données médicales non vérifiées et laisser les vulnérabilités de sécurité sans surveillance.

Risque n° 2 : Fuite de données de patients

Les LLM ne s’appuient pas toujours sur des données de patients désidentifiées. Des invites spécialisées ou des interactions pourraient révéler involontairement des informations de santé identifiables, créant ainsi des violations potentielles de la HIPAA.

Risque n° 3 : Perpétuation de préjugés et d’informations inexactes

Dans une expérience, des chercheurs ont injecté un petit pourcentage de faits incorrects dans une catégorie de la base de connaissances d’un modèle biomédical, tout en préservant son comportement dans tous les autres domaines. Les chercheurs ont constaté que les informations incorrectes se propageaient dans les sorties du modèle, mettant en évidence la vulnérabilité des LLM aux attaques d’information incorrecte.

Tout défaut trouvé dans les modèles de base est hérité par tous les modèles adoptés et les applications résultantes du parent. Les disparités dans les sorties peuvent aggraver les inégalités de santé, comme des conseils inexacts pour les groupes sous-représentés.

Risque n° 4 : Désalignement réglementaire

L’utilisation de LLM à usage général peut ne pas être conforme à la HIPAA, au RGPD ou aux réglementations spécifiques à l’IA en évolution, en particulier si les fournisseurs ne peuvent pas valider les données d’entraînement. Ces risques sont aggravés par le fait que les employés des organisations de soins de santé utilisent des outils d’IA non approuvés ou non surveillés, ou de l’IA fantôme. Selon IBM, 20 % des organisations interrogées dans tous les secteurs ont subi une faille de sécurité due à des incidents de sécurité impliquant l’IA fantôme.

En fin de compte, les risques liés aux LLM à usage général dans les soins de santé ont des implications dans le monde réel, notamment des poursuites judiciaires, des dommages à la réputation, une perte de confiance des patients et des coûts de litige.

Meilleures pratiques : lignes directrices et considérations pour les LLM

Pour adopter de manière responsable la GenAI, les dirigeants de la santé doivent établir des garde-fous clairs qui protègent les patients et les organisations. Les meilleures pratiques suivantes peuvent aider les organisations de soins de santé à établir une base pour une utilisation d’IA responsable et conforme :

Meilleure pratique n° 1 : Choisissez les technologies d’IA avec soin

Exigez des fournisseurs qu’ils clarifient comment les technologies d’IA sont développées et quelles sources de données sont utilisées dans le processus de développement. Donnez la priorité aux outils qui utilisent uniquement du contenu médical validé par des experts, ont des processus de prise de décision transparents et évitent de former des modèles sur des informations de santé des patients.

Meilleure pratique n° 2 : Mettez en place des mécanismes de sécurité avec l’homme dans la boucle

Assurez-vous que les cliniciens examinent toutes les sorties générées par l’IA qui pourraient avoir un impact sur les décisions de soins. L’IA peut être un outil puissant, mais dans un secteur qui a un impact direct sur la vie des patients, la surveillance clinique est essentielle pour garantir une utilisation responsable et l’exactitude de toute information assistée par l’IA.

Meilleure pratique n° 3 : Formation et préparation de la main-d’œuvre

Éduquez les cliniciens et le personnel sur les avantages et les risques de l’utilisation de l’IA pour réduire l’adoption de l’IA fantôme. Le personnel des soins de santé navigue dans un environnement de travail complexe, contraint par les pénuries de personnel et les taux élevés de burn-out. La simplification du processus d’éducation à l’IA aide à assurer la conformité sans ajouter de fardeau supplémentaire à leur charge de travail.

Meilleure pratique n° 4 : Établissez une culture de gouvernance

Intégrez les évaluations de solutions d’IA par des tiers pour vérifier la sécurité, la fiabilité et la conformité. Parallèlement, mettez en place un cadre clair et global pour la surveillance de l’IA au sein de l’organisation qui définit l’approbation, l’utilisation et la surveillance pour renforcer encore la confiance dans la technologie et empêcher le personnel de recourir à des outils non autorisés.

Meilleure pratique n° 5 : Alignez-vous avec la direction sur la gestion de l’IA

Collaborez avec la direction pour rester en tête des réglementations en évolution, ainsi que des orientations de la FDA et de l’ONC. Les efforts réglementaires émergent au niveau des États. Par exemple, la Californie a institué la Loi sur la transparence dans l’IA de pointe, qui met l’accent sur la divulgation des risques, la transparence et l’atténuation, en particulier dans les établissements de soins de santé, et il y a également la Loi sur l’intelligence artificielle du Colorado (CAIA), conçue pour prévenir la discrimination algorithmique.

Meilleure pratique n° 6 : Surveillance continue et boucles de rétroaction

L’utilisation de l’IA dans un contexte de soins de santé ne doit jamais être abordée avec une mentalité « paramétrer et oublier ». La mise en place d’un cadre pour une surveillance continue peut aider à assurer l’exactitude des outils d’IA, à renforcer la responsabilité et à maintenir la conformité dans le temps.

Meilleure pratique n° 7 : Recherchez des partenariats pour optimiser la surveillance et la recherche

Les organisations de soins de santé devraient utiliser des partenariats avec les régulateurs et le secteur public pour maximiser la surveillance, contribuer leur perspective sectorielle aux normes de sécurité et combiner des ressources d’experts.

Établir la confiance grâce au leadership en matière de conformité

La différenciation des solutions d’IA dans les soins de santé dépendra de plus en plus de la qualité de leur contenu d’expert, de l’intégrité de leurs processus d’évaluation et d’une intégration responsable dans les flux de travail cliniques. La prochaine phase de l’adoption de l’IA dépendra moins du code et plus du leadership en matière de conformité.

La confiance est aussi cruciale que la conformité elle-même. Pour que la technologie soit vraiment efficace, les patients et les prestataires de soins doivent croire que l’IA est sûre et conforme à des soins de haute qualité et éthiques. Le leadership en matière de conformité est un avantage stratégique, et non pas simplement une mesure défensive. Les organisations proactives qui établissent des garde-fous tôt, avant que des incidents nuisibles ne se produisent, se différencieront dans un avenir des soins de santé alimenté par l’IA.