Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Protéger les informations médicales protégées (PHI) et les informations personnelles identifiables (PII) dans le secteur de la santé contre l’exposition aux IA publiques : mettre en place des solutions sécurisées | Rapport AMA
Le rapport AMA souligne l’urgence de protéger les PHI et PII du secteur de la santé contre l’exposition aux IA publiques

Protéger les informations médicales protégées (PHI) et les informations personnelles identifiables (PII) dans le secteur de la santé contre l’exposition aux IA publiques : mettre en place des solutions sécurisées | Rapport AMA

par Patrick Spencer updated mai 21, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 12 minutes

Les établissements de santé adoptent de plus en plus l’intelligence artificielle pour améliorer les soins aux patients, optimiser les processus et renforcer les résultats cliniques. Cependant, cette transformation numérique expose les informations médicales protégées (PHI) et les informations personnelles identifiables (PII) à des risques majeurs, en particulier lorsque les professionnels de santé utilisent des outils d’IA publics comme ChatGPT ou Claude sans mesures de sécurité adéquates.

Selon le rapport 2024 de l’American Medical Association sur la perception de l’IA par les médecins, 68 % d’entre eux reconnaissent les bénéfices de l’IA pour les soins (contre 63 % en 2023), mais la protection des données reste une préoccupation majeure : 84 % exigent des garanties renforcées avant d’adopter ces technologies. Les établissements de santé doivent donc concilier innovation et conformité réglementaire pour éviter les violations de la HIPAA, les responsabilités juridiques et la perte de confiance des patients.

Des solutions de passerelle de données IA sécurisées, comme celles proposées par Kiteworks, offrent des plateformes conformes à la HIPAA conçues pour protéger les données sensibles tout en permettant l’adoption de l’IA. Cet article analyse l’augmentation des risques pour les données de santé, les défis de conformité, et les mesures à mettre en place pour répondre à ces enjeux critiques.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

Risque croissant pour les données de santé

Pourquoi les données de santé sont-elles en danger ?

À mesure que les médecins et le personnel exploitent davantage les plateformes d’IA publiques, le risque d’exposition des PHI et PII augmente de façon exponentielle. Sans contrôles appropriés, les données des patients saisies sur ces plateformes peuvent être stockées dans des environnements non conformes à la HIPAA, utilisées pour entraîner des modèles d’IA sans autorisation, ou accessibles à des tiers non autorisés. De nombreux outils d’IA publics traitent les informations d’une manière qui viole les droits à la vie privée des patients et peuvent soumettre les données sensibles à différentes lois de résidence des données selon les juridictions.

L’architecture technologique de la plupart des plateformes d’IA publiques n’a pas été conçue pour répondre aux exigences strictes de confidentialité du secteur de la santé. Lorsque les professionnels de santé copient des informations sur les patients dans ces outils — même en tentant de les anonymiser — ils créent souvent un risque de non-conformité qui dépasse largement le cas d’usage immédiat.

Conséquences de l’exposition des PHI/PII

Les conséquences d’une mauvaise gestion des PHI/PII via des plateformes d’IA vont bien au-delà des aspects techniques. Une violation de la HIPAA peut entraîner des sanctions allant jusqu’à 1,9 million de dollars par catégorie de violation, selon la gravité et la négligence. Les organisations victimes de fuites doivent notifier obligatoirement les patients concernés, le HHS, voire les médias, ce qui accroît la surveillance réglementaire et les coûts opérationnels.

La responsabilité juridique constitue également un enjeu majeur, les actions en justice intentées par les patients pour atteinte à la vie privée aboutissant souvent à des indemnisations importantes. Mais l’impact le plus dommageable reste la perte de confiance des patients, qui peut affecter durablement les établissements de santé bien après la résolution technique du problème.

D’après le rapport 2024 d’IBM sur le coût des violations de données, une fuite de données de santé coûte en moyenne 11,07 millions de dollars par incident — maintenant le secteur en tête du classement des secteurs les plus coûteux pour la quatorzième année consécutive. Ce chiffre a augmenté de 1,3 % par rapport à 2023, reflétant l’impact croissant des exigences réglementaires et de la sensibilisation du public aux enjeux de confidentialité.

Implications concrètes

Imaginez ce scénario : un médecin utilise un outil d’IA public pour résumer des dossiers patients et divulgue, sans le savoir, des données sensibles à une plateforme qui conserve ces échanges pour entraîner ses modèles. Ce processus apparemment anodin peut entraîner des violations directes de la HIPAA, compromettre la confidentialité des patients, imposer des notifications de violation, déclencher une enquête de l’OCR, et aboutir à des amendes importantes ainsi qu’à des plans correctifs obligatoires.

Les responsables de la sécurité et de la conformité dans la santé doivent anticiper ces risques en combinant solutions technologiques et politiques organisationnelles. Le défi consiste à exploiter les atouts de l’IA tout en maintenant une conformité réglementaire stricte et en protégeant la vie privée des patients.

Résumé de

  1. L’adoption de l’IA s’accélère malgré les préoccupations liées à la confidentialité

    L’utilisation de l’IA dans le secteur de la santé a presque doublé, passant de 38 % en 2023 à 66 % en 2024 selon l’étude de l’AMA. Si 68 % des médecins reconnaissent désormais les bénéfices de l’IA pour les soins aux patients, 84 % exigent encore des garanties plus solides en matière de confidentialité des données avant de généraliser son adoption.

  2. Les violations HIPAA exposent à des risques financiers majeurs

    Les violations de données dans la santé coûtent désormais en moyenne 11,07 millions de dollars par incident, maintenant ce secteur au rang du plus coûteux en matière de fuites de données. Ces coûts incluent non seulement des sanctions réglementaires pouvant atteindre 1,9 million de dollars par catégorie de violation, mais aussi des responsabilités juridiques, des notifications obligatoires et une atteinte durable à la réputation.

  3. Les médecins privilégient la sécurité et l’intégration dans les workflows

    Le rapport de l’AMA indique que 84 % des médecins demandent des garanties renforcées sur la confidentialité, tandis que 82 % insistent pour que les outils d’IA s’intègrent naturellement aux systèmes existants. Cette double exigence montre l’importance de solutions qui protègent les données des patients sans perturber les workflows, afin de favoriser l’adoption.

  4. Les plateformes d’IA publiques créent d’importants écarts de conformité

    La plupart des outils d’IA publics n’offrent pas les garanties HIPAA requises, fournissent rarement les Business Associate Agreements nécessaires et adoptent souvent des politiques d’utilisation qui leur permettent d’exploiter les données soumises pour entraîner leurs modèles. Les organisations doivent mettre en place des passerelles sécurisées afin de créer des canaux protégés entre les systèmes de santé et les plateformes d’IA, pour rester conformes tout en innovant.

  5. Sécuriser les données exige à la fois technologie et règles internes

    Protéger les informations médicales protégées (PHI) et les informations personnelles identifiables nécessite une approche globale combinant architecture zéro trust, chiffrement de bout en bout des e-mails, contrôles d’accès et traçabilité détaillée. Les établissements de santé doivent également définir des règles claires sur les usages acceptables de l’IA et proposer des programmes de formation, considérés comme essentiels par 83 % des médecins pour réussir l’intégration de l’IA.

Principaux défis de l’adoption de l’IA dans la santé

Perception des médecins selon le rapport de l’AMA

L’étude 2024 de l’American Medical Association met en lumière les défis multiples auxquels les établissements de santé font face pour adopter l’IA. La confidentialité des données arrive en tête : 84 % des médecins exigent des garanties renforcées pour que les informations des patients restent protégées tout au long du traitement par l’IA. L’intégration fluide dans les workflows est également essentielle, 82 % des médecins insistant pour que les outils d’IA s’intègrent naturellement aux systèmes existants pour être acceptés.

Les considérations réglementaires sont aussi centrales : 47 % des médecins réclament une gouvernance accrue pour garantir la conformité avec les réglementations du secteur. Cela traduit une prise de conscience croissante que l’IA nécessite une supervision spécifique, au-delà de la gouvernance IT classique. Par ailleurs, 83 % des médecins soulignent l’importance de la formation, car même les systèmes d’IA les plus sûrs peuvent présenter des risques si les utilisateurs ne sont pas suffisamment informés.

Lacunes en matière de conformité et de confiance

La conformité HIPAA reste incontournable dans la santé, mais la plupart des outils d’IA publics n’offrent pas les garanties nécessaires. Ces plateformes proposent rarement les accords de partenariat exigés par la HIPAA, créant ainsi des obstacles immédiats à la conformité. Les informations soumises à ces outils peuvent être conservées indéfiniment, en violation des principes de minimisation des données et exposant les organisations à des risques à long terme.

Beaucoup de plateformes prévoient dans leurs politiques d’utilisation le droit d’exploiter les données soumises pour entraîner leurs modèles — une pratique fondamentalement incompatible avec les exigences de confidentialité du secteur de la santé. Même lorsque certaines fonctionnalités de conformité existent, elles restent généralement limitées et ne permettent pas un audit complet, rendant le suivi de la conformité quasi impossible.

Au-delà de la conformité technique, les médecins insistent sur la nécessité de mesures renforçant la confiance. Ils attendent une validation par des autorités reconnues du secteur et des cadres de responsabilité clairs pour se protéger lors de l’utilisation d’outils d’IA. Les exigences de consentement et de transparence ajoutent une complexité supplémentaire, car les dispositifs actuels de consentement ne couvrent pas les spécificités du traitement par IA.

Concilier innovation et responsabilité

Les responsables de la sécurité et de la conformité dans la santé doivent trouver un équilibre délicat dans un environnement technologique en constante évolution. Ils doivent soutenir l’innovation qui améliore les soins tout en maintenant une conformité réglementaire stricte sur l’ensemble des systèmes et workflows. Protéger les intérêts de l’organisation et des patients tout en favorisant l’efficacité clinique et opérationnelle crée des tensions dans la prise de décision.

Prévenir l’exposition et la fuite de données reste prioritaire, mais cela doit se faire sans freiner l’adoption de technologies bénéfiques. L’enjeu est de taille : négliger ces aspects met en péril la confiance des patients et l’intégrité de l’organisation, tandis qu’une approche trop restrictive peut nuire à la qualité des soins et à l’efficacité opérationnelle.

Exigences fondamentales pour une IA sécurisée

Exigences de sécurité essentielles

Selon les conclusions du rapport de l’AMA, les établissements de santé ont besoin de solutions reposant sur une architecture zéro trust spécifiquement conçue pour protéger les PHI et PII. Tout système doit garantir un haut niveau de sécurité basé sur le principe du moindre privilège, afin que seuls les utilisateurs autorisés puissent accéder aux données sensibles.

Les organisations doivent privilégier les solutions qui créent des canaux protégés entre les systèmes d’IA et les référentiels de santé, isolant efficacement les données sensibles tout en permettant le traitement par l’IA. Des fonctions avancées de prévention des pertes de données sont essentielles pour appliquer des contrôles et des règles alignés sur la HIPAA, évitant toute fuite d’informations entre les systèmes.

L’intégration fluide avec les systèmes d’authentification existants pour la vérification d’identité est cruciale, maintenant la sécurité sans perturber les workflows. Cette approche intégrée répond à la préoccupation majeure des médecins concernant la confidentialité, tout en soutenant le besoin opérationnel d’un accès efficace.

Gouvernance conforme à la HIPAA

Le cadre réglementaire qui encadre les données de santé impose une gouvernance rigoureuse. Les établissements doivent mettre en place des règles strictes pour chaque interaction avec l’IA, veillant à ce que tous les traitements de données respectent les exigences organisationnelles et réglementaires. Les solutions doivent conserver des journaux d’audit détaillés, facilitant les audits de conformité et simplifiant la démonstration de la conformité HIPAA.

Pour les responsables de la conformité, des systèmes de documentation rationalisés transforment ce qui serait un processus chronophage en un workflow maîtrisé. Des fonctions efficaces de gestion du consentement permettent de suivre et d’appliquer systématiquement les autorisations des patients pour les cas d’usage IA, répondant à l’un des aspects les plus complexes de la confidentialité en santé.

Protection des données de bout en bout

La sécurité tout au long du cycle de vie des données reste essentielle pour les établissements de santé. Toute solution doit protéger les informations par un chiffrement robuste (comme AES-256) pour les données au repos et en transit, selon les standards les plus élevés du secteur. Un suivi en temps réel doit permettre de surveiller les mouvements de données entre les systèmes, offrant une visibilité continue au service de la sécurité et de la conformité.

Les établissements doivent veiller à respecter les lois locales sur la résidence des données, un enjeu de plus en plus important avec la multiplication des réglementations régionales. Pour l’usage de l’IA, il est crucial de privilégier des traitements éphémères qui empêchent toute conservation non autorisée dans les systèmes d’IA publics : les données doivent être traitées pour le besoin immédiat, sans être retenues par la plateforme à des fins d’entraînement ou autres.

RAG sécurisé (Retrieval-Augmented Generation)

Les établissements de santé modernes ont besoin de fonctions avancées d’IA sans compromis sur la sécurité. Les solutions doivent permettre à l’IA d’accéder aux données patients de façon sécurisée pour l’aide à la décision clinique, via des canaux protégés. Cette technologie améliore le diagnostic et la planification des traitements sans exposer les PHI à des systèmes ou utilisateurs non autorisés.

Les fonctions d’aide à la décision clinique exigent une architecture adaptée, permettant des workflows assistés par IA tout en respectant la réglementation. Les gains d’efficacité administrative doivent réduire la charge documentaire sans sacrifier la sécurité, répondant ainsi à la principale préoccupation identifiée par l’AMA : la réduction de la charge administrative.

Stratégie de mise en œuvre pour les établissements de santé

Évaluer la maturité organisationnelle

Les établissements de santé doivent commencer par évaluer précisément leurs usages actuels de l’IA, afin d’identifier les points où les données protégées pourraient déjà être exposées. Cette évaluation doit couvrir les usages formels et informels de l’IA, tant dans les fonctions cliniques qu’administratives.

Une analyse des écarts entre les pratiques actuelles et les exigences réglementaires permettra de cibler les priorités d’action. Les organisations doivent définir des règles claires sur les usages acceptables de l’IA et les communiquer efficacement à l’ensemble du personnel susceptible d’utiliser ces outils.

Choisir les solutions adaptées

Lors de l’évaluation de solutions de passerelle comme celles de Kiteworks, les établissements de santé doivent privilégier :

  1. La conformité HIPAA avec des capacités d’audit complètes
  2. L’intégration fluide avec les workflows et systèmes existants
  3. Des fonctions de sécurité incluant chiffrement et contrôles d’accès
  4. Le support des usages IA cliniques et administratifs
  5. La capacité à prouver la conformité lors d’audits ou d’enquêtes

Le rapport de l’AMA souligne que les médecins attendent des technologies qui réduisent la charge administrative (57 % de priorité) tout en maintenant des contrôles stricts sur la confidentialité (84 % de priorité). Les solutions doivent être évaluées selon ces critères essentiels.

Instaurer la confiance par la transparence

Les établissements de santé doivent élaborer des stratégies de communication claires expliquant comment les outils d’IA sont sécurisés et comment les informations patients sont protégées. La transparence favorise la confiance des patients et des professionnels, accélérant l’adoption et la conformité aux protocoles de sécurité.

Les programmes de formation doivent être complets, couvrant à la fois les aspects techniques de l’utilisation sécurisée de l’IA et les enjeux éthiques de son intégration dans les workflows de santé. Selon le rapport de l’AMA, 83 % des médecins considèrent la formation comme essentielle pour réussir l’adoption de l’IA.

Avantages des passerelles IA sécurisées

Concilier conformité et innovation

Pour les responsables sécurité, gestion des risques et conformité, les passerelles IA sécurisées apportent des bénéfices concrets répondant à la fois aux exigences réglementaires et aux besoins d’innovation. Ces solutions permettent de rester conforme à la HIPAA en respectant les exigences de la Security Rule pour la protection des données et de la Privacy Rule pour la gestion des PHI. Elles autorisent l’usage sécurisé de l’IA dans un cadre conforme, tout en assurant les contrôles d’accès et la surveillance nécessaires.

La prévention des fuites de données constitue un autre avantage clé. Les passerelles adaptées éliminent les risques associés aux outils d’IA publics en offrant une visibilité sur l’accès et l’utilisation des données. Ces systèmes mettent en place des contrôles pour empêcher tout partage non autorisé et réduire les erreurs humaines dans la gestion des informations sensibles — l’une des principales causes de fuites dans la santé.

Favoriser une adoption sécurisée de l’IA

Les passerelles sécurisées permettent aux professionnels de santé d’utiliser l’IA sans compromis sur la confidentialité, pour des usages cliniques comme administratifs. Ces technologies favorisent l’innovation dans un cadre conforme, facilitant l’intégration responsable de l’IA sans exposer l’organisation à des risques inutiles.

Pour les responsables conformité, des passerelles complètes prouvent la diligence en documentant les mesures de protection mises en œuvre. Elles fournissent des preuves lors d’enquêtes, réduisent la responsabilité grâce à des contrôles adaptés et facilitent la défense en cas de contrôle réglementaire.

Des journaux d’audit complets constituent également une capacité essentielle, retraçant toutes les interactions IA pour vérification et investigation en cas d’incident. Cette traçabilité fournit des preuves lors d’audits et permet un suivi continu de la conformité — transformant un processus réactif en contrôle proactif.

Alignement avec les attentes des médecins

Le rapport de l’AMA met en avant l’exigence de confiance et d’intégration fluide exprimée par les médecins : les passerelles sécurisées doivent répondre à ces attentes, en renforçant la confiance dans les outils d’IA tout en protégeant les patients. En répondant aux préoccupations majeures des médecins, les établissements de santé accélèrent une adoption responsable de l’IA sans sacrifier la sécurité ni la conformité.

Les organisations doivent comprendre que la confiance des médecins dans les systèmes d’IA conditionne directement leur adoption. En garantissant des contrôles de sécurité et de confidentialité fiables, les responsables facilitent l’acceptation des nouvelles technologies et permettent à l’IA de déployer tout son potentiel dans leurs activités.

Adopter l’IA en toute sécurité : la voie à suivre pour la santé

L’adoption de l’IA dans la santé continue de s’accélérer, l’utilisation passant de 38 % en 2023 à 66 % en 2024 selon l’étude de l’AMA. Cette transformation rapide offre des opportunités majeures, mais aussi des risques importants, notamment pour la protection des PHI et PII. Les responsables sécurité, gestion des risques et conformité doivent mettre en place des solutions qui favorisent l’innovation tout en maintenant une conformité réglementaire stricte.

Les passerelles de données IA sécurisées, comme la AI Data Gateway de Kiteworks, apportent une réponse globale à ces défis, en créant des Réseaux de données privés qui protègent les informations sensibles tout en permettant l’innovation. En répondant aux préoccupations majeures sur la confidentialité, la conformité et l’intégration dans les workflows, ces solutions permettent aux établissements de santé d’adopter l’IA en toute confiance.

Alors que les médecins reconnaissent de plus en plus les atouts de l’IA — 68 % voient désormais des bénéfices pour les soins — une mise en œuvre responsable devient essentielle. Les établissements de santé devraient explorer des solutions de passerelle pour protéger les données patients tout en participant à la transformation du secteur par l’IA.

Questions fréquentes

Les passerelles de données IA sécurisées sont conçues spécifiquement pour protéger les flux de données entre les systèmes de santé et les plateformes d’IA. Contrairement aux outils de sécurité génériques, elles créent des canaux protégés qui permettent le traitement par l’IA tout en évitant l’exposition des PHI/PII, assurant la conformité HIPAA à chaque étape.

Oui. Des passerelles bien configurées permettent d’utiliser en toute sécurité des outils d’IA publics en créant une interface conforme entre vos données et ces plateformes. Elles empêchent l’exposition directe des PHI/PII tout en permettant aux professionnels de santé de tirer parti des fonctions d’IA pour la synthèse, l’analyse ou d’autres usages.

Des passerelles complètes prennent en charge les usages IA cliniques et administratifs : aide à la documentation, support à la décision clinique, synthèses de recherche et de référentiels, préparation de sortie, assistance à la facturation, services de traduction, etc.

Au-delà de la HIPAA, des passerelles efficaces aident les organisations à être conformes aux lois locales sur la vie privée (comme le CCPA/CPRA), aux réglementations internationales (telles que le RGPD) et aux exigences sectorielles. Des cadres de gouvernance adaptés évoluent avec la réglementation tout en maintenant un niveau de sécurité constant.

La plupart des organisations peuvent déployer des passerelles de données IA sécurisées en 4 à 8 semaines, selon la complexité de leurs systèmes existants. Les solutions qui s’intègrent aux technologies et systèmes d’authentification standards du secteur de la santé facilitent le déploiement et limitent les perturbations des opérations cliniques.

Ressources complémentaires

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks