Guide ISPE IA : comment valider l’intelligence artificielle en environnement Pharma ?

L’intelligence artificielle prend une place croissante dans l’industrie pharmaceutique et les sciences de la vie. Analyse documentaire, extraction d’informations, aide à la décision, détection de signaux, automatisation de traitements de données : les usages se multiplient. Mais dans un environnement GxP, une question revient immédiatement : comment intégrer ces technologies tout en restant conforme, maîtrisé et auditable ?

Le guide ISPE consacré à l’intelligence artificielle apporte un cadre structurant pour répondre à cette question. Il permet d’aborder l’IA non pas uniquement comme un sujet technologique, mais comme un enjeu de qualité, de gouvernance, de gestion des risques et de validation.

Cet article est issu du premier webinaire de présentation du Guide ISPE IA, consacré aux fondamentaux de la validation de l’intelligence artificielle en environnement Pharma.

Pourquoi le guide ISPE IA est important

L’IA suscite beaucoup d’intérêt, mais aussi beaucoup de confusion. Entre promesses technologiques, attentes métiers et contraintes réglementaires, les entreprises du secteur Pharma ont besoin d’un cadre clair pour avancer de façon pragmatique.

Le guide ISPE apporte justement une grille de lecture adaptée aux environnements réglementés. Il ne s’agit pas seulement de parler d’algorithmes ou de performance technique, mais de replacer l’IA dans une logique de qualité, de gouvernance, de gestion des risques et de validation.

L’enjeu n’est donc pas de déployer de l’IA “pour faire moderne”, mais de mettre en œuvre des systèmes réellement fiables, maîtrisés et adaptés à leur usage prévu.

Un cadre réglementaire encore en évolution

À ce jour, il n’existe pas encore de réglementation Pharma entièrement dédiée à l’IA. En revanche, les référentiels déjà en place continuent pleinement de s’appliquer, notamment l’Annexe 11 et le 21 CFR Part 11.

L’absence de texte spécifique ne signifie donc pas l’absence d’exigence. Les industriels doivent déjà démontrer que leurs systèmes restent maîtrisés, que les données sont pertinentes, que les performances sont surveillées et que les risques sont évalués.

Plusieurs publications et initiatives structurantes de la FDA et de l’EMA viennent également préciser les attentes des autorités. La ligne commune FDA-EMA publiée en janvier 2026 autour de dix principes clés de bonne pratique de l’IA en drug development confirme cette orientation.

Le signal envoyé par les autorités est clair : l’IA doit être encadrée avec sérieux, en particulier lorsqu’elle intervient dans des processus critiques.

Ce que l’IA change dans l’approche de validation

L’un des apports majeurs du guide est de montrer que les principes historiques du GAMP restent valables, mais qu’ils doivent être enrichis pour tenir compte des spécificités de l’IA.

Un système intégrant de l’IA n’est pas seulement un logiciel classique avec une interface et des règles déterministes. Il peut inclure un modèle, des jeux de données, des mécanismes de pré-traitement et de post-traitement, une logique d’apprentissage, ainsi que des comportements plus ou moins dynamiques dans le temps.

Cela oblige à élargir la réflexion sur plusieurs dimensions : qualité des données, gouvernance des modèles, traçabilité, explicabilité, surveillance en fonctionnement et gestion du changement.

La donnée devient un pilier central

La qualité des données est au cœur de la qualité des systèmes d’IA.

Les données doivent être adaptées à l’usage prévu, ce qui suppose plusieurs caractéristiques essentielles : elles doivent être fiables, pertinentes, représentatives et suffisantes.

C’est un changement de perspective important pour beaucoup d’organisations. Dans un système traditionnel, la logique applicative porte une grande partie du comportement attendu. Dans un système basé sur l’IA, la performance dépend aussi directement de la qualité des données qui servent à entraîner, tester, valider ou alimenter le modèle.

En pratique, un projet IA en environnement réglementé ne peut donc pas être abordé sans une vraie stratégie de gestion des données.

Valider un modèle IA n’est pas valider un logiciel classique

Le cycle de vie d’un modèle IA n’est pas identique à celui d’un logiciel conventionnel. Il repose souvent sur une expérimentation itérative, avec des boucles successives de sélection de modèle, d’ingénierie des données, d’ajustement, d’évaluation et d’amélioration.

Cette logique est essentielle à comprendre. Dans un développement logiciel classique, l’objectif est généralement de construire puis vérifier des fonctionnalités. Dans un développement de modèle, l’objectif est d’atteindre un niveau de performance satisfaisant au regard d’indicateurs définis, à partir de données données, selon un contexte donné.

La validation doit donc intégrer cette réalité. On ne se contente plus de vérifier qu’une fonction marche ; il faut aussi démontrer que le modèle est pertinent, que ses performances sont comprises, que ses limites sont connues et que son comportement reste acceptable dans le contexte d’usage.

Statique ou dynamique : une distinction essentielle

La distinction entre systèmes statiques et systèmes dynamiques a un impact direct sur la stratégie de validation et sur le maintien en état de maîtrise.

Un système statique repose sur un modèle figé au moment de sa mise en production. Toute évolution passe alors par un processus de changement formel.

À l’inverse, un système dynamique peut évoluer dans le temps. Il impose donc une surveillance renforcée, des métriques définies à l’avance, des seuils de tolérance et un dispositif de gouvernance beaucoup plus robuste.

À l’heure actuelle, les modèles statiques restent les plus couramment déployés, notamment parce qu’ils sont plus simples à maîtriser sur les plans des données, de l’infrastructure et des efforts de validation.

Gouvernance des données et des modèles : un prérequis

L’IA ne peut pas être abordée sans gouvernance.

Les dimensions à maîtriser sont nombreuses : rôles et responsabilités, standards, gestion du cycle de vie des données et des modèles, traçabilité, sécurité des accès, gestion des incidents, audit et métriques de suivi.

Un système IA conforme n’est donc pas seulement un système performant. C’est un système dont on sait :

• qui en est responsable ;

• avec quelles données il fonctionne ;

• comment il a été configuré ;

• comment il est surveillé ;

• comment les changements sont gérés ;

• comment les écarts sont détectés et traités.
  

C’est cette capacité à documenter, expliquer et piloter le système dans le temps qui conditionne réellement sa crédibilité en environnement réglementé.

AI literacy et gestion des connaissances : des enjeux stratégiques

La validation de l’IA ne repose pas uniquement sur la technologie. Elle suppose aussi une montée en compétence des organisations et une meilleure gestion des connaissances.

C’est un point souvent sous-estimé. Beaucoup de projets échouent ou se fragilisent non pas parce que la technologie est mauvaise, mais parce que l’organisation ne possède pas le niveau de compréhension nécessaire pour poser les bonnes questions, encadrer correctement les usages et prendre les bonnes décisions.

Pour être maîtrisée, l’IA doit s’appuyer sur un dialogue solide entre les équipes métier, qualité, validation, data science, IT et compliance. Cette transversalité devient une condition de réussite.

LLM, RAG, agents IA : de nouveaux usages, mais aussi de nouveaux risques

Les foundation models, les LLM et les approches RAG ouvrent la voie à des systèmes plus complexes, y compris des formes d’IA agentique capables de soutenir des processus de recherche, d’analyse ou de gestion de connaissances.

Mais ces technologies introduisent aussi des défis spécifiques : difficultés d’intégration dans une architecture logicielle maîtrisée, qualité variable des réponses, manque de fiabilité, risques de biais, difficulté de compréhension du comportement du modèle, et complexité supplémentaire lorsqu’un fine-tuning est mis en œuvre.

Pour les entreprises réglementées, l’innovation doit donc aller de pair avec une analyse de risque lucide et une stratégie de validation adaptée à la nature réelle du système.

Ce qu’il faut retenir

La validation de l’IA en Pharma n’est pas un sujet théorique : c’est déjà un sujet opérationnel.

Les entreprises ne peuvent pas attendre un cadre parfait pour agir. Elles doivent dès maintenant structurer leur approche autour de quelques principes forts :

• une compréhension claire de l’usage prévu ;

• une attention rigoureuse portée aux données ;

• une gouvernance solide ;

• une distinction nette entre modèles statiques et dynamiques ;

• une gestion des risques adaptée ;

• une montée en compétence des équipes.
  

Le guide ISPE IA fournit une base précieuse pour construire cette démarche de façon cohérente et pragmatique.

Pour les acteurs Pharma et MedTech, le sujet est désormais clair : l’intelligence artificielle ne doit pas être abordée comme un simple sujet d’innovation, mais comme un véritable sujet de qualité, de conformité et de maîtrise des systèmes informatisés.

Chez ADN, c’est précisément cette articulation entre innovation et exigences réglementaires que nous accompagnons au quotidien.

Pour aller plus loin Ce sujet a également été abordé dans le cadre d’un webinaire dédié au guide ISPE IA et à la validation de l’intelligence artificielle en environnement Pharma.

👉 Voir le replay du premier webinaire de présentation du Guide ISPE IA

Dans les prochains articles, nous approfondirons trois dimensions clés du guide ISPE IA : l’approche cycle de vie des systèmes intégrant de l’IA, la gestion des risques et des fournisseurs, puis les enjeux de gouvernance et de culture IA au sein des organisations Pharma et MedTech.