L'intelligence artificielle dans les soins de santé : Considérations clés pour l'oncologie

L'intelligence artificielle (IA) a le pouvoir de révolutionner les soins de santé. En oncologie, il est désormais possible d'utiliser l'IA pour faciliter les diagnostics, les analyses prédictives et les tâches administratives.

Ce sujet brûlant a été abordé lors des sessions consacrées à l'innovation numérique (un cas d'utilisation de l'IA spécifique au cancer) et aux parcours cliniques avancés lors du Cancer Care Business Exchange de septembre 2024. Si ces sessions animées ont permis de clarifier l'intérêt commercial de cette technologie, il est important de noter que le développement de l'IA devance largement l'élaboration d'un cadre législatif et réglementaire approprié et réfléchi pour cette technologie essentielle.

Les hôpitaux, les prestataires, les payeurs et les fournisseurs tiers doivent prendre des mesures concrètes pour sélectionner et mettre en œuvre toute nouvelle solution d'IA. Voici quelques éléments clés à prendre en compte lorsque vous vous lancez dans ce domaine crucial :

Veiller au respect de toutes les normes applicables en matière de confidentialité et de sécurité

L'IA, et souvent le succès de la solution d'IA, dépend des données. Presque toutes les solutions d'IA nécessitent d'énormes volumes de données, ce qui implique l'intégration et l'ingestion de données provenant de nombreuses sources, notamment les systèmes de dossiers médicaux électroniques, les plateformes des prestataires et les portails des patients. Il est essentiel de comprendre comment et qui utilisera et soutiendra la solution d'IA afin de garantir que les organismes de santé se conforment aux lois fédérales et étatiques en matière de confidentialité et de sécurité.[1] Les fournisseurs qui créent et prennent en charge des solutions d'IA pour les prestataires de soins de santé doivent s'assurer que leur solution respecte et se conforme aux meilleures pratiques en matière de confidentialité et de sécurité de base attendues par les prestataires de soins de santé.

Les prestataires de soins de santé doivent comprendre en détail le fonctionnement de la solution d'IA afin d'évaluer les protections réglementaires requises. De quel type de données le fournisseur aura-t-il besoin pour exploiter et prendre en charge la solution d'IA ? Si les informations des patients sont partagées avec le fournisseur, il est probable que le prestataire devra au minimum conclure un accord de partenariat commercial avec ce dernier. Les prestataires de soins de santé doivent comprendre quel type d'avis aux patients, le cas échéant, est requis. Certaines lois étatiques exigent que les personnes soient informées si leurs informations personnelles identifiables sont utilisées par une solution d'IA à des fins de recommandation ou de retour d'information. Les prestataires doivent également être attentifs aux signes indiquant que leurs fournisseurs cherchent à utiliser les données de santé à leurs propres fins, par exemple pour former leur solution d'IA et utiliser cette solution avec les concurrents du prestataire. Toute utilisation des données à des fins propres au fournisseur (non liées à la gestion de son contrat avec le client) devrait être expressément autorisée dans le contrat de partenariat commercial, et toutes les données devraient être anonymisées conformément à la loi HIPAA et avec l'autorisation du prestataire de soins de santé.

Surveiller activement l'activité législative et réglementaire dans le domaine, car la surveillance est susceptible de s'intensifier.

Alors que l'IA évolue à un rythme effréné, la réglementation gouvernementale a été lente à suivre ; cependant, nous pouvons nous attendre à voir apparaître de nouvelles lois et directives officielles de plus en plus fréquemment. Plusieurs États ont créé des groupes de travail et des conseils chargés d'étudier et de surveiller l'utilisation de l'IA. En mars, l'Utah a adopté la «loi sur l'intelligence artificielle », qui établit les premières exigences en matière de divulgation pour l'utilisation de l'IA générative dans les professions réglementées à compter du 1er mai 2024. Et en mai, le Colorado a adopté le projet de loi « Consumer Protections for Interactions with Artificial Intelligence » (Protection des consommateurs dans leurs interactions avec l'intelligence artificielle) (dont la date d'entrée en vigueur est fixée au 1er février 2026, la première loi étatique réglementant les « systèmes d'intelligence artificielle à haut risque »).[2] Pour plus d'informations, veuillez consulter le blog de Foley intitulé « Colorado Passes New AI Law to Protect Consumer Interactions » (Le Colorado adopte une nouvelle loi sur l'IA pour protéger les interactions des consommateurs).

Les dispositifs médicaux basés sur l'IA pourraient nécessiter des autorisations avant leur mise en œuvre

Les fournisseurs doivent vérifier si les solutions proposées basées sur l'IA nécessitent une autorisation réglementaire (par exemple, en tant que dispositif médical) et, dans le cas contraire, quelles sont les directives réglementaires qui soutiennent la commercialisation de leur produit, ainsi que les déclarations et garanties appropriées qui étayent ces affirmations. Si l'IA peut être entraînée à apprendre de ses erreurs et à évoluer pour améliorer ses performances, les modèles réglementaires existants sont conçus pour évaluer le cadre statique dans lequel l'IA fonctionne. Par conséquent, de nombreux dispositifs médicaux peuvent nécessiter une autorisation réglementaire appropriée, mais ne pas en disposer, ou pourraient être soumis à une obligation d'autorisation à l'avenir. La Food and Drug Administration (FDA) explore actuellement des moyens d'évaluer plus complètement les solutions d'IA (et, en août 2024, elle avait autorisé 950 dispositifs médicaux basés sur l'IA/l'apprentissage automatique), mais elle pourrait finalement se tourner vers le Congrès pour obtenir des orientations sous la forme d'une nouvelle législation. En attendant, les prestataires devraient faire examiner par un avocat tout dispositif médical basé sur l'IA avant de l'adopter.

Prenez des mesures pour vous protéger en faisant preuve de diligence et en concluant un contrat

Imaginez le pire scénario possible. Par exemple, votre fournisseur d'IA subit une cyberattaque. Ou bien, un diagnostic est manqué en raison d'un problème avec un produit d'IA et d'une dépendance excessive du prestataire à l'égard de la solution d'IA. Les prestataires doivent mettre en œuvre avec soin des politiques et des procédures décrivant les utilisations approuvées de l'IA par l'organisation, faire preuve de diligence raisonnable envers leurs fournisseurs et la solution d'IA, faire examiner les contrats afin d'y intégrer des protections appropriées et s'assurer que des assurances et autres protections en matière de responsabilité sont en place. Les domaines de diligence appropriés comprennent notamment la question de savoir si le fournisseur s'est correctement enregistré pour protéger sa propriété intellectuelle, s'il vérifie les antécédents de ses employés et agents afin de se prémunir contre la fraude en matière de santé et d'autres domaines à haut risque, quelle couverture d'assurance (y compris la couverture cyber) le fournisseur a mise en place et quelles ressources sont disponibles en cas de réclamation. Les contrats doivent attribuer de manière proactive les responsabilités en conséquence. De nombreux fournisseurs proposent des contrats types. Ceux-ci doivent être soigneusement examinés afin de s'assurer qu'ils comprennent les clauses juridiques suivantes :

• Attentes de base en matière de performance
• Déclarations et garanties relatives à la conformité et à la performance
• Confidentialité/vie privée et sécurité
• Obligations de non-sollicitation ou autres clauses restrictives (en particulier pour les fournisseurs qui seront présents sur place)
• Dispositions relatives à l'indemnisation : recherchez les indemnités liées à la négligence, à la violation, à la faute intentionnelle, à la cybercriminalité et à la violation de la propriété intellectuelle.
• Limites de responsabilité – de nombreux fournisseurs cherchent à plafonner les frais à un à trois ans de rétroactivité.

Élaborer et mettre en œuvre des procédures appropriées de gouvernance en matière de technologies de l'information et d'intelligence artificielle

Un cadre de gouvernance d'entreprise bien défini peut répondre aux préoccupations liées à la mise en œuvre éthique de l'IA, renforcer la confiance dans la solution d'IA et contribuer à minimiser la responsabilité de l'entreprise à l'avenir. Cela implique la mise en place de politiques et de procédures, notamment une formation appropriée pour le personnel qui aura accès à la solution d'IA ou l'utilisera, et qui permettra à l'organisation de contrôler, superviser et surveiller l'IA pendant le processus de mise en œuvre et à l'avenir. Toutefois, il est important de vérifier et de réviser en permanence ces politiques de gouvernance, car la technologie et les cas d'utilisation de l'IA continuent d'évoluer, et de contrôler le respect de ces politiques au sein de votre organisation.  

Donner la priorité aux solutions qui soutiennent ou améliorent le remboursement

L'IA peut contribuer à améliorer l'efficacité et l'innovation, ce qui peut surtout conduire à de meilleurs soins et résultats pour les patients, mais les cabinets d'oncologie avisés rechercheront également des solutions d'IA susceptibles d'améliorer leurs résultats financiers. La solution d'IA elle-même est-elle remboursable et/ou le fournisseur dispose-t-il d'une procédure de remboursement ? Le produit est-il certifié conforme aux programmes de reporting qualité des Centers for Medicare & Medicaid Services (CMS), tels que le Merit-based Incentive Payment System (MIPS) et les programmes étatiques visant à promouvoir l'interopérabilité ? La certification de l'Office of the National Coordinator for Health Information Technology (ONC) est reconnue par les CMS pour confirmer le respect des exigences en matière de sécurité, de fonctionnalité et de technologie.[3]

Toutefois, selon le niveau d'intégration avec la solution d'IA, les fournisseurs pourraient devoir prendre des mesures pour se conformer aux exigences de l'ONC relatives aux solutions d'IA générative et aux outils d'aide à la décision clinique. 

Prochaines étapes

Alors que l'IA s'intègre de plus en plus dans le fonctionnement des soins de santé, ces mesures pratiques peuvent être prises pour réduire les risques liés à la conformité, à la confidentialité et aux processus de sécurité. Foley suit de près l'évolution du paysage juridique et commercial lié à l'IA dans de nombreux secteurs, notamment les technologies innovantes, les soins de santé et les sciences de la vie, ainsi que la propriété intellectuelle, avec une équiped'avocats Foleyprêts à vous aider. Pour toute question, veuillez contacter les auteurs, votre partenaire Foley, notredomaine d'expertise en intelligence artificielleetnotre secteur des soins de santé et des sciences de la vie.

*Les auteurs remercient Jacqueline Acosta, avocate-conseil, et Francesca Camacho, étudiante à la faculté de droit de l'université de Boston et stagiaire d'été 2024 chez Foley & Lardner LLP, pour leur contribution.

[1] De nombreux États ont mis en place des normes en matière de confidentialité et de sécurité qui, dans bien des cas, dépassent les exigences minimales fédérales et devraient être révisées.

[2] SB205 (Protection des consommateurs dans le cadre des interactions avec l'intelligence artificielle).

[3] L'ONC a récemment publié des critères de certification révisés pour les « interventions d'aide à la décision », les « données démographiques et observations des patients » et les « rapports électroniques de cas », ainsi qu'une nouvelle version de référence de la norme USCDI (United States Core Data for Interoperability) dans sa version 3.