Contexte du marché de l’IA en santé
Le processus de demande de proposition (RFP) pour les technologies de santé a toujours été rigoureux, et il le reste aujourd’hui alors que les capacités d’intelligence artificielle (IA) deviennent essentielles pour l’engagement des membres, la navigation clinique et l’administration des avantages. Les assureurs, les plans de santé et les organisations de santé sont soumis à une surveillance accrue de la part des régulateurs, des conseils d’administration et des membres qu’ils servent.
Le “Goldilocks” du marché actuel
Le marché actuel se présente comme une situation « Goldilocks » pour les entités de santé :
Plateformes « AI‑native »
Ces nouvelles solutions, spécifiquement destinées à la santé, offrent souvent des cadres de gouvernance IA sophistiqués et des démonstrations convaincantes. Cependant, elles manquent parfois de l’expérience opérationnelle acquise au fil des années dans la gestion à grande échelle des informations de santé protégées (PHI).
Vendeurs « général purpose »
Les fournisseurs d’IA généralistes peuvent ne pas être disposés à couvrir les exigences organisationnelles spécifiques au secteur de la santé. Les obligations liées à la santé peuvent être perçues comme un obstacle plutôt que comme une composante centrale du service.
Fournisseurs « legacy »
Les acteurs historiques de la technologie de santé possèdent souvent des crédits solides en matière de sécurité et de confidentialité, mais manquent de l’agilité nécessaire pour intégrer l’IA de manière responsable, en raison de leurs architectures legacy.
Implications pour la gouvernance de l’IA
Ces profils de fournisseurs ne correspondent pas toujours aux attentes des organisations qui souhaitent confier leurs données membres et déployer les dernières fonctionnalités IA de façon responsable et sécurisée. Il est donc crucial d’évaluer chaque fournisseur selon des critères précis.
Questions clés à poser aux fournisseurs d’IA en santé
Certification HITRUST
Quel est le statut de la certification HITRUST du fournisseur, et quel type de certification détient‑il ? La certification r2, basée sur un risque, validée sur deux ans, est largement considérée comme la norme d’or.
Exemples de vérifications supplémentaires
• Existe‑t‑il une équipe dédiée à la gestion des PHI ?
• Quels sont les processus de réponse aux incidents et d’audit ?
• Comment le fournisseur assure‑t‑il la conformité continue aux exigences réglementaires (ex. : GDPR, HIPAA) ?
• Le fournisseur propose‑t‑il des mécanismes de traçabilité et d’explicabilité des modèles d’IA ?
Conclusion
Pour garantir une adoption sûre et efficace de l’IA dans le secteur de la santé, les organisations doivent mener une évaluation approfondie des fournisseurs, en s’appuyant sur des certifications reconnues comme HITRUST r2, et en examinant leur maturité opérationnelle en matière de protection des données de santé. Une approche rigoureuse dès la phase de RFP permettra de minimiser les risques et d’assurer le succès à long terme des initiatives d’IA.