Intelligence artificielleRéglementationSanté numérique

IA en santé : cadre réglementaire et cas d'usage

23 décembre 2025 · Thomas Bozzo

L'IA en santé : une révolution encadrée

L'IA en santé transforme la pratique médicale. De l'imagerie au diagnostic, de la prédiction clinique au traitement du langage naturel, les applications sont de plus en plus concrètes. Mais cette révolution s'accompagne d'un cadre réglementaire exigeant, en particulier en Europe, où le AI Act impose des obligations spécifiques aux systèmes d'IA à haut risque.

Pour les éditeurs de logiciels de santé, les intégrateurs et les établissements, comprendre ce cadre est indispensable. Il ne s'agit pas seulement de conformité juridique : c'est une condition de confiance pour les professionnels de santé et les patients.

Cet article détaille le cadre réglementaire applicable, les cas d'usage validés, les obligations des éditeurs et les principes d'une IA santé responsable et souveraine.

Le cadre réglementaire européen : l'AI Act

Un règlement fondateur

Le règlement européen sur l'intelligence artificielle (Artificial Intelligence Act), adopté en mars 2024 et entré en application progressive depuis août 2024, est le premier cadre juridique complet au monde dédié à l'IA. Il établit une classification des systèmes d'IA en fonction de leur niveau de risque.

Les quatre catégories de risque sont :

  • Risque inacceptable : systèmes interdits (notation sociale, manipulation subliminale, identification biométrique en temps réel dans l'espace public)
  • Haut risque : systèmes soumis à des obligations renforcées (IA en santé, éducation, emploi, justice, infrastructures critiques)
  • Risque limité : obligations de transparence (chatbots, deepfakes)
  • Risque minimal : pas d'obligation spécifique (filtres photo, jeux vidéo)

L'IA en santé classée haut risque

Les systèmes d'IA destinés à être utilisés comme composants de sécurité de dispositifs médicaux ou comme dispositifs médicaux eux-mêmes sont explicitement classés haut risque par l'annexe III du règlement.

Cela couvre notamment :

  • Les logiciels d'aide au diagnostic
  • Les systèmes de détection en imagerie médicale
  • Les outils de prédiction clinique utilisés pour des décisions thérapeutiques
  • Les systèmes de triage automatisé
  • Les dispositifs de monitoring patient avec composante IA

Cette classification entraîne des obligations lourdes mais nécessaires pour garantir la sécurité des patients.

Les obligations pour les fournisseurs de systèmes à haut risque

Les éditeurs qui développent ou déploient des systèmes d'IA en santé classés haut risque doivent respecter un ensemble d'exigences :

  • Système de gestion des risques : évaluation continue des risques tout au long du cycle de vie
  • Gouvernance des données : qualité, représentativité et pertinence des données d'entraînement
  • Documentation technique : description complète du système, de son fonctionnement et de ses limites
  • Journalisation : traçabilité automatique des opérations du système
  • Transparence : information claire des utilisateurs sur les capacités et limites du système
  • Supervision humaine : possibilité pour un professionnel de santé de comprendre, superviser et corriger les résultats de l'IA
  • Précision, robustesse et cybersécurité : niveaux de performance documentés et maintenus

Le marquage CE est obligatoire avant la mise sur le marché. Une évaluation de conformité par un organisme notifié est requise pour les dispositifs médicaux de classe IIa et supérieure.

L'IA en santé et le règlement MDR

Double réglementation

Les logiciels intégrant de l'IA qui répondent à la définition de dispositif médical (DM) sont soumis au règlement MDR 2017/745 en plus de l'AI Act. Cette double réglementation impose une qualification réglementaire rigoureuse.

Un logiciel est qualifié de dispositif médical s'il est destiné par le fabricant à être utilisé à des fins de diagnostic, de prévention, de monitoring, de traitement ou d'atténuation d'une maladie. Le critère déterminant est l'intention d'usage, pas la technologie sous-jacente.

Classification des SaMD (Software as Medical Device)

La classification des logiciels dispositifs médicaux suit les règles du MDR :

  • Classe I : risque faible (logiciel de gestion de données, sans aide à la décision directe)
  • Classe IIa : risque modéré (aide au diagnostic non critique, monitoring)
  • Classe IIb : risque élevé (aide au diagnostic pour pathologies graves, modification de plan de traitement)
  • Classe III : risque maximal (surveillance de paramètres vitaux critiques, IA pilotant un dispositif implantable)

Pour les éditeurs, la première étape est de déterminer si leur logiciel est un dispositif médical et dans quelle classe il se situe. Cette qualification conditionne l'ensemble du parcours réglementaire.

Les cas d'usage validés de l'IA en santé

Imagerie médicale : le cas d'usage le plus mature

L'imagerie médicale est le domaine où l'IA a le plus progressé. Des centaines de logiciels sont aujourd'hui marqués CE pour la détection et la classification de lésions :

  • Radiologie : détection de fractures, nodules pulmonaires, anomalies thoraciques sur les radiographies standard
  • Mammographie : détection du cancer du sein avec des performances comparables ou supérieures aux radiologues en seconde lecture
  • Ophtalmologie : analyse automatisée des rétinographies pour la détection de la rétinopathie diabétique
  • Dermatologie : classification des lésions cutanées suspectes
  • Anatomopathologie : analyse de lames histologiques numérisées

Ces systèmes fonctionnent comme aide au diagnostic. Le radiologue ou le clinicien reste le décideur final, conformément au principe de supervision humaine imposé par l'AI Act.

Aide à la décision clinique

Les systèmes d'aide à la décision clinique (CDSS) utilisent l'IA pour croiser les données du patient avec les bases de connaissances médicales et proposer des recommandations :

  • Alertes sur les interactions médicamenteuses
  • Suggestions de diagnostic différentiel basées sur les symptômes
  • Calcul de scores de risque (cardiovasculaire, rénal, oncologique)
  • Recommandations de parcours de soins personnalisés

L'enjeu principal est l'explicabilité : le clinicien doit pouvoir comprendre pourquoi le système fait telle suggestion, pas simplement recevoir un score opaque.

Traitement du langage naturel (NLP)

Le NLP appliqué aux données médicales ouvre des perspectives considérables :

  • Structuration automatique des comptes-rendus médicaux en texte libre
  • Codage automatique des actes et diagnostics (CIM-10, CCAM)
  • Extraction d'information dans les dossiers patients pour la recherche ou la qualité
  • Résumé automatique de dossiers volumineux pour la coordination des soins

Un projet IA en santé ?

Nous concevons des solutions IA conformes au AI Act et au RGPD, hébergées sur un cloud souverain SecNumCloud.

Discuter de votre projet →

Prédiction clinique

Les modèles prédictifs en santé permettent d'anticiper des événements critiques :

  • Risque de réadmission hospitalière à 30 jours
  • Détérioration clinique des patients en réanimation (scores d'alerte précoce)
  • Prédiction de la durée de séjour
  • Pharmacovigilance et détection d'effets indésirables

Ces modèles nécessitent une validation clinique rigoureuse avant le déploiement en production et un monitoring continu de leurs performances (dérive du modèle).

RGPD et données d'entraînement

Les bases légales pour le traitement des données de santé

Les données de santé sont des données sensibles au sens de l'article 9 du RGPD. Leur traitement, y compris pour l'entraînement de modèles d'IA, requiert une base légale solide :

  • Consentement explicite du patient : difficile à obtenir à grande échelle et révocable
  • Intérêt public dans le domaine de la santé publique (article 9.2.i)
  • Recherche scientifique (article 9.2.j) : avec garanties appropriées, autorisation CNIL et avis du comité d'éthique

Dans tous les cas, une analyse d'impact relative à la protection des données (AIPD) est obligatoire avant tout traitement de données de santé à des fins d'IA. La CNIL a publié des recommandations spécifiques sur ce sujet.

Anonymisation, pseudonymisation et données synthétiques

Trois approches permettent de réduire les risques liés aux données d'entraînement :

  • L'anonymisation irréversible : si les données sont véritablement anonymes (impossibilité de réidentification), elles sortent du champ du RGPD. Mais l'anonymisation de données médicales est techniquement difficile
  • La pseudonymisation : remplacement des identifiants directs par des pseudonymes. Les données restent des données personnelles et sont soumises au RGPD
  • Les données synthétiques : génération de données artificielles reproduisant les propriétés statistiques des données réelles. Approche prometteuse mais qui nécessite une validation rigoureuse

Hébergement et souveraineté des données

Les données de santé utilisées pour l'entraînement doivent être hébergées sur une infrastructure certifiée HDS. Pour les projets les plus sensibles, un hébergement qualifié SecNumCloud garantit la souveraineté totale.

La question de la souveraineté est particulièrement critique pour l'IA en santé. Entraîner un modèle sur des données de patients français chez un cloud provider soumis au Cloud Act américain pose un problème juridique et éthique majeur. Le Health Data Hub en a fait l'expérience avec la controverse sur l'hébergement initial chez Microsoft Azure.

L'approche Ducal : IA responsable et souveraine

Nos principes

Chez Ducal, nous abordons l'IA en santé avec trois principes non négociables :

  • Conformité native : tout système d'IA que nous développons intègre les exigences du AI Act, du MDR et du RGPD dès la conception (by design), pas en surcouche
  • Souveraineté : les données et les modèles sont hébergés en France, sur une infrastructure certifiée HDS et qualifiée SecNumCloud (Outscale, Dassault Systèmes), hors de portée des législations extraterritoriales
  • Explicabilité : nous privilégions les architectures qui permettent au clinicien de comprendre les résultats, pas les boîtes noires performantes mais opaques

Des applications concrètes

Nous intégrons l'IA de manière pragmatique dans nos applications métier :

  • Traitement automatique de formulaires et questionnaires médicaux
  • Analyse et structuration de données issues de programmes d'éducation thérapeutique
  • Recommandations personnalisées dans les parcours de formation santé
  • Automatisation du codage et de la classification

Ces cas d'usage sont concrets, maîtrisés et conformes. L'objectif n'est pas de faire de l'IA pour faire de l'IA, mais d'apporter une valeur mesurable aux professionnels de santé et aux patients.

Recommandations pour les éditeurs et les établissements

Pour les éditeurs

  • Qualifier votre logiciel : déterminez s'il est un dispositif médical et dans quelle classe du MDR
  • Anticiper l'AI Act : les obligations pour les systèmes à haut risque s'appliquent à partir de mi-2026
  • Documenter exhaustivement : documentation technique, résultats de validation, analyse de risques, données d'entraînement
  • Valider cliniquement : les performances in silico ne suffisent pas, une validation sur des données cliniques réelles est indispensable
  • Héberger souverainement : les données de santé et les modèles doivent rester en France, sur une infrastructure certifiée, idéalement qualifiée SecNumCloud par l'ANSSI

Pour les établissements de santé

  • Exiger la conformité : AI Act, MDR, RGPD, HDS. La HAS publie également des référentiels d'évaluation des dispositifs médicaux numériques. Pas de compromis
  • Vérifier l'explicabilité : les cliniciens doivent pouvoir comprendre et contester les résultats
  • Évaluer les biais : un modèle entraîné sur des données non représentatives peut produire des résultats discriminatoires
  • Planifier la supervision : un système d'IA en production nécessite un monitoring continu de ses performances
  • Former les équipes : l'adoption de l'IA passe par la formation des professionnels de santé à son utilisation et à ses limites

Ce qu'il faut retenir

L'IA en santé n'est plus une promesse lointaine. C'est une réalité clinique, réglementaire et industrielle. Le cadre européen, avec le AI Act et le MDR, impose des standards élevés de sécurité, de transparence et de responsabilité. Loin d'être un frein, ce cadre est un avantage compétitif pour les éditeurs européens qui savent s'y conformer.

Les clés du succès sont la rigueur réglementaire, la validation clinique, l'explicabilité des résultats et la souveraineté des données. Les enjeux d'interopérabilité et de conformité au Ségur du Numérique renforcent l'importance d'une approche structurée. L'IA en santé ne se déploie pas comme une IA de recommandation e-commerce. Les enjeux sont d'un autre ordre : il en va de la sécurité des patients et de la confiance des professionnels de santé.

Pour les éditeurs et les établissements, l'heure n'est plus à l'observation. Les obligations arrivent, les cas d'usage sont matures, et les patients attendent les bénéfices d'une IA médicale responsable, performante et souveraine.

Thomas Bozzo

Fondateur — Expert santé numérique

Thomas Bozzo

Plus de 10 ans d'expérience dans le numérique en santé. Spécialiste HDS, FHIR, Article 51 et plateformes d'éducation thérapeutique.

LinkedIn

Articles récents

TélémédecineRéglementation

Télémédecine en France : obligations et solutions

Lire
IA agentiqueSanté numérique

Les deux IA de la santé : celle qui construit et celle qui assiste

Lire
Article 51Financement

Article 51 LFSS : financer un projet numérique en santé en 2026

Lire

Un projet de digitalisation santé ?

Parlons-en. Nous vous répondons sous 48h avec une première proposition adaptée à votre contexte.

Nous contacter