·
Sécurité de l'IA dans les soins de santé
Soins de santé
TI de la santé / CIO
Règlement européen sur l'IA : ce que les organisations de soins doivent savoir
Un guide complet sur le règlement européen sur l'IA pour les organisations de soins. Comprendre les classifications de risque, les calendriers de conformité et les obligations pour les déployeurs et les fournisseurs

La loi européenne sur l'IA (Règlement UE 2024/1689) constitue le premier cadre juridique complet régissant l'intelligence artificielle dans l'Union européenne. Adoptée par le Parlement européen en mars 2024 et publiée au Journal officiel de l'Union européenne en juillet 2024, elle ajoute une nouvelle couche d'obligations juridiquement contraignantes aux cadres existants pour les organisations de soins. Les hôpitaux, cabinets de médecins généralistes et fournisseurs de technologies de santé opérant sur les marchés de l'UE ou les approvisionnant doivent comprendre ce que la loi exige, à quel moment ces exigences s'appliquent et qui est responsable de leur respect.
Qu'est-ce que la loi européenne sur l'IA ?
La loi européenne sur l'IA établit un cadre juridique unifié pour les systèmes d'intelligence artificielle, c'est-à-dire les systèmes informatiques utilisant des algorithmes et des données pour accomplir des tâches nécessitant normalement une intelligence humaine, dans tous les secteurs de l'Union européenne. Son objectif est de garantir que les systèmes d'IA mis sur le marché ou utilisés dans l'UE soient sûrs, transparents, traçables, non discriminatoires et soumis à une surveillance humaine. La loi s'applique non seulement aux organisations établies dans l'UE, mais également aux fournisseurs et déployeurs situés en dehors de l'UE dont les systèmes d'IA ont un impact sur les personnes s'y trouvant.
Le règlement s'articule autour d'un système de classification basé sur les risques, avec des obligations proportionnelles au préjudice potentiel qu'un système d'IA pourrait causer. Il introduit également de nouvelles structures de gouvernance, notamment le Bureau européen de l'IA, qui siège au sein de la Commission européenne et supervise l'application des règles relatives aux modèles d'IA à usage général. Un modèle d'IA à usage général est un grand modèle d'IA entraîné sur de vastes ensembles de données, capable d'effectuer un large éventail de tâches.
Quand la loi européenne sur l'IA entre-t-elle en vigueur ?
La loi est entrée en vigueur le 1er août 2024, mais ses obligations sont introduites selon un calendrier progressif, et non à une date unique. Les décideurs du secteur de la santé doivent être attentifs aux étapes clés suivantes :
Février 2025 : Les interdictions concernant les systèmes d'IA à risque inacceptable s'appliquent. L'obligation de maîtrise de l'IA, c'est-à-dire les connaissances et compétences requises pour utiliser les systèmes d'IA de manière appropriée, entre également en vigueur à cette date pour toutes les organisations déployant l'IA.
Août 2025 : Les règles régissant les modèles d'IA à usage général, y compris les modèles de fondation qui sous-tendent de nombreux outils d'IA clinique, deviennent applicables.
Août 2026 : Les obligations principales pour les systèmes d'IA à haut risque, notamment les évaluations de conformité, la documentation technique et les exigences de surveillance humaine, s'appliquent pleinement. Il s'agit de la date limite de conformité essentielle pour la plupart des IA de santé.
Août 2027 : Une période de transition prolongée s'applique spécifiquement aux systèmes d'IA déjà réglementés en tant que dispositifs médicaux au titre du Règlement sur les dispositifs médicaux (RDM) ou du Règlement sur les dispositifs médicaux de diagnostic in vitro (RDIV) nécessitant une évaluation par un organisme notifié. Ces systèmes disposent d'une année supplémentaire pour satisfaire aux exigences de l'article 6(1) de la loi sur l'IA.
La Commission européenne a proposé des ajustements au calendrier des règles à haut risque par le biais de l'initiative Digital Omnibus, qui aborde les défis de mise en œuvre, notamment les retards dans le développement de normes harmonisées. Les organisations de soins doivent suivre ce processus, car il peut influer sur le moment où certaines exigences de documentation de conformité deviendront effectives dans la pratique.
Pourquoi la santé est-elle un secteur prioritaire en vertu de la loi ?
La santé est explicitement identifiée comme un domaine à haut risque dans la loi sur l'IA, car les systèmes d'IA utilisés dans les contextes cliniques peuvent directement affecter la sécurité des patients, l'accès aux soins et les droits fondamentaux. Un système d'IA qui influence une décision diagnostique, recommande un parcours de traitement ou trie les patients selon l'urgence prévue présente un potentiel de préjudice important s'il est inexact, biaisé ou utilisé sans surveillance humaine adéquate.
Les orientations de la Commission européenne en matière de santé publique sur l'IA dans les soins de santé précisent que les systèmes d'IA à haut risque destinés à des fins médicales doivent satisfaire aux exigences relatives à l'atténuation des risques, à la qualité des données, à la transparence et à la surveillance humaine. Cela traduit une reconnaissance plus large du fait que les enjeux dans les soins de santé diffèrent fondamentalement de ceux de secteurs comme le marketing ou la logistique.
Une analyse comparative des cadres de gouvernance de l'IA dans cinq juridictions a révélé que les systèmes de classification des risques pour l'IA de santé convergent à l'échelle internationale. L'approche de l'UE fait figure de modèle influent, notamment dans la manière dont elle distingue l'IA qui soutient la prise de décision de celle qui pourrait influencer de façon autonome les résultats cliniques.
Comment la loi européenne sur l'IA classe-t-elle les systèmes d'IA ?
La loi organise les systèmes d'IA en quatre catégories de risque, chacune comportant un niveau différent d'obligations réglementaires.
Risque inacceptable
Les systèmes d'IA qui constituent une menace claire pour les droits fondamentaux ou la sécurité sont purement et simplement interdits. Parmi les exemples figurent les systèmes de notation sociale utilisés par les autorités publiques et l'IA exploitant les vulnérabilités psychologiques. Ces interdictions s'appliquent depuis février 2025.
Haut risque
Les systèmes d'IA présentant des risques importants pour la santé, la sécurité ou les droits fondamentaux, mais dont les avantages peuvent justifier l'utilisation dans des conditions strictes. Ces systèmes doivent satisfaire à des exigences de conformité étendues avant leur déploiement. L'IA de santé relève principalement de cette catégorie.
Risque limité
Les systèmes d'IA soumis à des obligations spécifiques de transparence, tels que les chatbots qui doivent indiquer qu'ils sont pilotés par l'IA. De nombreux outils numériques destinés aux patients entrent dans cette catégorie.
Risque minimal
Les systèmes d'IA sans exigences réglementaires spécifiques au titre de la loi, tels que les filtres anti-spam ou l'IA utilisée dans les jeux vidéo.
Une catégorie distincte concerne les modèles d'IA à usage général. Ces grands modèles de fondation, qui sous-tendent de nombreux outils de langage clinique, comportent leurs propres obligations indépendamment du niveau de risque de l'application en aval construite sur eux.
Quels systèmes d'IA de santé sont classés à haut risque ?
L'annexe III de la loi sur l'IA précise les catégories de systèmes d'IA à haut risque. Pour les soins de santé, la plus pertinente est l'annexe III, point 5(a) : les systèmes d'IA destinés à être utilisés comme composants de sécurité de dispositifs médicaux, ou comme systèmes d'IA autonomes constituant eux-mêmes des dispositifs médicaux. La loi couvre les systèmes d'IA utilisés pour :
Le diagnostic et l'aide à la décision médicale : y compris les outils d'IA qui aident à identifier les maladies, à interpréter l'imagerie médicale ou à recommander des parcours diagnostiques
Les recommandations de traitement : les systèmes d'IA qui suggèrent ou priorisent les options de traitement pour les patients individuels
Le tri des patients : les systèmes qui attribuent une priorité ou une urgence clinique
La surveillance des patients : les outils d'IA qui évaluent en continu l'état du patient et signalent toute détérioration
Une analyse évaluée par des pairs dans npj Digital Medicine a révélé qu'environ 75 % des dispositifs médicaux commerciaux dotés d'IA se trouvent en radiologie, et que tous sauf un sont classés en classe IIa ou supérieure au titre du RDM. Cela signifie que la majorité de l'IA clinique déployée sera considérée comme à haut risque au regard de la loi sur l'IA.
Les assistants de santé virtuels alimentés par l'IA et les chatbots cliniques occupent une position plus nuancée. Lorsqu'ils fournissent des informations cliniques susceptibles d'influencer les décisions des patients, ils peuvent être classés à haut risque. Lorsqu'ils fonctionnent principalement comme interfaces de communication, des obligations de transparence à risque limité peuvent s'appliquer à la place.
Ce que la loi européenne sur l'IA implique pour les dispositifs médicaux IA et le chevauchement avec le RDM
L'un des aspects les plus complexes de la loi sur l'IA pour les organisations de soins est sa relation avec la réglementation existante sur les dispositifs médicaux. Pour plus d'informations sur les raisons pour lesquelles les outils de documentation IA doivent relever du cadre RDM, consultez cette analyse. Les systèmes d'IA déjà réglementés en tant que dispositifs médicaux au titre du RDM ou du RDIV sont soumis aux deux cadres simultanément. Les obligations ne se confondent pas.
L'analyse juridique de Reed Smith qualifie cela de cadre de double conformité. Les systèmes d'IA de dispositifs médicaux classés RDM classe IIa, IIb ou III, ou RDIV classe A à D, seront généralement considérés comme à haut risque au regard de la loi sur l'IA. Celle-ci ajoute ensuite des exigences en matière de qualité des données, de gouvernance des données, de tenue de registres, de transparence, de responsabilité et de surveillance humaine, allant au-delà de ce qu'exige le RDM.
Les organisations peuvent intégrer les exigences de la loi sur l'IA dans la documentation existante du système de gestion de la qualité (SGQ). Une évaluation de conformité unique est possible lorsque l'organisme notifié est accrédité au titre des deux cadres. Les organisations de soins ne doivent cependant pas supposer que la conformité au RDM est suffisante.
Le briefing de Hunton Andrews Kurth souligne que la loi sur l'IA introduit des obligations supplémentaires, notamment la déclaration d'incidents aux autorités de surveillance du marché dans les 15 jours pour les incidents graves, ce qui n'a pas d'équivalent direct dans le RDM.
L'analyse de White & Case note en outre que la loi sur l'IA, le RDM et la directive révisée sur la responsabilité du fait des produits forment ensemble ce qu'ils décrivent comme un « triangle réglementaire » renforçant la responsabilité des fabricants de dispositifs médicaux alimentés par l'IA, une considération pertinente pour les décisions d'approvisionnement comme pour la planification de la conformité interne.
Principales obligations de conformité pour l'IA à haut risque dans les soins de santé
Les organisations déployant ou fournissant des systèmes d'IA à haut risque dans les soins de santé doivent satisfaire à un ensemble substantiel d'exigences. Les principales obligations au titre de la loi comprennent :
Évaluation de conformité
Les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation de conformité avant d'être mis sur le marché ou en service. Pour les dispositifs médicaux IA déjà soumis à l'examen d'un organisme notifié au titre du RDM, ce processus peut être intégré dans le parcours d'évaluation existant.
Documentation technique
Les fournisseurs doivent maintenir une documentation technique complète couvrant la conception du système, la méthodologie de développement, les caractéristiques des données d'entraînement, les mesures de performance et les limitations connues. Cette documentation doit être tenue à jour tout au long du cycle de vie du système.
Mécanismes de surveillance humaine
Les systèmes d'IA à haut risque doivent être conçus pour permettre une surveillance humaine, y compris la possibilité pour les utilisateurs de surveiller, comprendre et, si nécessaire, outrepasser ou arrêter les sorties du système.
Obligations de transparence
Les déployeurs doivent s'assurer que les utilisateurs sont informés qu'ils interagissent avec ou s'appuient sur un système d'IA. Pour les outils cliniques, cela inclut la divulgation claire du rôle de l'IA dans la génération de sorties telles que les suggestions diagnostiques ou la documentation médicale.
Gouvernance des données
Les données d'entraînement, de validation et de test doivent répondre à des normes de qualité. Elles doivent être pertinentes, représentatives et exemptes d'erreurs susceptibles de produire des sorties discriminatoires ou dangereuses.
Surveillance post-commercialisation
Les fournisseurs doivent mettre en place des systèmes pour collecter et analyser les données de performance après le déploiement, et signaler les incidents graves à l'autorité nationale compétente.
Maîtrise de l'IA
Applicable à partir de février 2025, toutes les organisations déployant des systèmes d'IA doivent s'assurer que le personnel travaillant avec ces systèmes dispose de connaissances suffisantes pour comprendre leurs capacités et leurs limites. HIMSS a noté que cette obligation s'applique à tous les niveaux de risque, pas seulement aux systèmes à haut risque.
Une revue de la portée publiée dans npj Digital Medicine synthétisant les preuves sur les cadres de gouvernance de l'IA dans les organisations de soins a identifié la surveillance humaine, la transparence et la surveillance post-déploiement comme les composantes les plus systématiquement citées d'une gouvernance efficace. Ces composantes s'alignent étroitement sur ce qu'exige désormais la loi.
Qui est responsable : fournisseurs d'IA vs déployeurs
La loi sur l'IA établit une distinction juridique claire entre deux catégories de parties obligées.
Fournisseurs
Les fournisseurs sont des organisations qui développent un système d'IA, le mettent sur le marché ou le mettent en service sous leur propre nom ou marque. Cela inclut les éditeurs d'IA, les développeurs de logiciels et les entreprises de technologies de santé.
Déployeurs
Les déployeurs sont des organisations qui utilisent un système d'IA à haut risque sous leur propre autorité dans un contexte professionnel. Dans les soins de santé, cela désigne les hôpitaux, cabinets de médecins généralistes, systèmes de soins intégrés et toute autre organisation utilisant un outil d'IA tiers dans des flux de travail cliniques ou administratifs.
Cette distinction est importante car les deux parties portent des obligations distinctes et non transférables. Les fournisseurs sont responsables de s'assurer que leurs systèmes répondent aux exigences techniques et de documentation avant le déploiement. Les déployeurs sont responsables de l'utilisation appropriée des systèmes, de la mise en place d'une surveillance humaine et de la formation adéquate du personnel.
L'analyse du journal Diagnostic and Interventional Radiology souligne que les organisations de soins agissant en tant que déployeurs ne peuvent pas simplement s'appuyer sur la conformité des fournisseurs. Elles doivent activement vérifier que les systèmes d'IA qu'elles utilisent répondent aux exigences de la loi et que les processus internes soutiennent une utilisation conforme.
Une nuance importante : les organisations de soins qui développent des outils d'IA en interne pour leur propre usage peuvent bénéficier d'une exemption limitée, mais seulement dans des conditions spécifiques. La loi exige toujours le respect des normes de qualité des données et de transparence.
Ce que la surveillance humaine signifie réellement dans un contexte clinique
L'exigence de surveillance humaine de la loi n'est pas simplement une formalité juridique. Elle reflète un principe fondamental : les décisions importantes affectant les patients ne doivent pas être entièrement déléguées à des systèmes automatisés.
En pratique, une surveillance humaine effective dans les flux de travail cliniques signifie :
Un clinicien examine la documentation médicale générée par l'IA avant qu'elle ne soit enregistrée dans le dossier du patient, plutôt que de l'accepter sans vérification
Un radiologue examine une anomalie signalée par l'IA et prend une décision clinique indépendante avant d'agir
Une infirmière de tri évalue un score de priorité généré par l'IA à la lumière de l'observation directe du patient, plutôt que de le traiter comme une instruction définitive
Le personnel clinique dispose de la capacité technique et de l'autorisation organisationnelle pour outrepasser ou ignorer une sortie d'IA lorsque le jugement clinique le justifie
Un commentaire de BMJ Health Care Informatics proposant une approche stratifiée par risque de la gouvernance des grands modèles de langage en pratique clinique soutient qu'une surveillance effective nécessite non seulement des mécanismes techniques, mais aussi une culture organisationnelle. Les cliniciens doivent se sentir habilités à remettre en question les sorties de l'IA. Les structures de gouvernance doivent encourager ce comportement.
La loi exige que les systèmes d'IA à haut risque soient conçus avec des mécanismes de surveillance intégrés par défaut, et non ajoutés a posteriori. Les organisations de soins évaluant des outils d'IA devraient vérifier si la conception du produit favorise réellement l'examen par les cliniciens, ou si les contraintes de flux de travail rendent l'approbation automatique des sorties de l'IA la solution de facilité.
Gouvernance des données et RGPD : comment les deux cadres interagissent
La loi sur l'IA introduit des obligations de gouvernance des données qui s'ajoutent aux exigences existantes du Règlement général sur la protection des données (RGPD), sans les remplacer. Les organisations de soins opérant sous les deux cadres doivent comprendre que la conformité au RGPD ne répond pas automatiquement aux exigences de la loi sur l'IA en matière de données.
Le RGPD porte sur le traitement licite des données personnelles. Les dispositions de gouvernance des données de la loi sur l'IA portent spécifiquement sur la qualité et la pertinence des données utilisées pour entraîner, valider et tester les systèmes d'IA. La loi exige que les ensembles de données d'entraînement soient :
Pertinents et suffisamment représentatifs du cas d'usage prévu
Exempts d'erreurs et de lacunes de complétude susceptibles de générer des sorties dangereuses
Examinés pour les biais potentiels pouvant entraîner des résultats discriminatoires dans des contextes cliniques
Le commentaire évalué par des pairs de npj Digital Medicine souligne que les systèmes d'IA entraînés sur des ensembles de données sous-représentant certaines populations de patients, selon l'âge, l'origine ethnique, le sexe ou le profil de comorbidité, peuvent produire des résultats systématiquement moins bons pour ces groupes, avec des conséquences directes sur la sécurité des patients. Les exigences de gouvernance des données de la loi visent à traiter ce risque.
L'hébergement des données au sein de l'UE est une considération supplémentaire. Les organisations de soins se procurant des outils d'IA auprès de fournisseurs hors UE doivent vérifier où les données des patients sont traitées et stockées, à la fois pour satisfaire aux exigences du RGPD et pour assurer la conformité avec les dispositions de transparence et de responsabilité de la loi sur l'IA. L'Espace européen des données de santé (EHDS), entré en vigueur en 2025, ajoute une couche supplémentaire de gouvernance des données applicable spécifiquement aux données de santé.
Ce que les organisations de soins devraient faire maintenant
Compte tenu du calendrier de mise en œuvre progressive, les organisations de soins disposent d'une période définie pour se préparer. Les étapes suivantes constituent le cœur d'un programme de conformité concret :
Auditer les outils d'IA actuels : Identifier chaque système d'IA utilisé dans l'organisation, y compris les outils intégrés dans les dossiers médicaux, les logiciels de diagnostic, l'automatisation administrative et les applications destinées aux patients
Évaluer les classifications de risque : Pour chaque système identifié, déterminer s'il relève de la catégorie à haut risque selon l'annexe III de la loi, ou s'il est soumis à des obligations de transparence à risque limité
Examiner les contrats avec les fournisseurs : Analyser les accords avec les fournisseurs d'IA pour comprendre la répartition des obligations de conformité. Les contrats doivent préciser quelle partie est responsable des évaluations de conformité, de la documentation technique et de la surveillance post-commercialisation
Nommer un responsable de la gouvernance de l'IA : Désigner un référent interne pour la conformité à la loi sur l'IA. Dans les grandes organisations, cela peut relever de l'informatique clinique, du service juridique ou de la gouvernance de l'information. Dans les petits cabinets, un soutien externe peut être nécessaire
Préparer la documentation : Commencer à compiler ou à demander la documentation technique requise pour les systèmes à haut risque, y compris les preuves d'évaluations de conformité, les garanties de qualité des données et les mécanismes de surveillance humaine
Mettre en œuvre une formation à la maîtrise de l'IA : L'obligation de maîtrise de l'IA s'applique depuis février 2025. Les organisations qui n'ont pas encore abordé ce point devraient prioriser la formation du personnel clinique et administratif interagissant avec les outils d'IA
Établir des processus de déclaration d'incidents : Mettre en place des procédures internes pour identifier et signaler les incidents liés à l'IA, conformément à l'exigence de la loi de déclarer les incidents graves aux autorités nationales dans les 15 jours
Une étude comparative de gouvernance dans cinq juridictions a révélé que les organisations ayant développé de manière proactive des structures internes de gouvernance de l'IA avant les échéances réglementaires étaient mieux préparées à répondre aux exigences de conformité que celles ayant attendu le début de l'application.
Comment évaluer les fournisseurs d'IA pour la conformité à la loi européenne sur l'IA
Les équipes d'approvisionnement et d'informatique clinique évaluant les produits d'IA devraient considérer la conformité à la loi européenne sur l'IA comme une exigence standard de diligence, au même titre que les preuves cliniques et la sécurité des données. Les questions clés à poser aux fournisseurs incluent :
Classification des risques : Comment le fournisseur classe-t-il ce système au regard de la loi sur l'IA ? Quelles preuves étayent cette classification ?
Évaluation de conformité : Le système a-t-il fait l'objet d'une évaluation de conformité ? Si un organisme notifié est requis, lequel l'a réalisée ?
Documentation technique : Le fournisseur peut-il fournir une documentation technique complète, incluant les caractéristiques des données d'entraînement, les références de performance et les limitations connues ?
Marquage CE : Pour les dispositifs médicaux IA, le marquage CE est-il en place au titre du RDM ou du RDIV, et a-t-il été mis à jour pour refléter les exigences de la loi sur l'IA ?
Surveillance humaine par conception : Comment la conception du produit favorise-t-elle l'examen et l'outrepassement par les cliniciens ? Le fournisseur peut-il le démontrer dans un flux de travail réel ?
Hébergement des données : Où les données des patients sont-elles traitées et stockées ? Cela répond-il aux exigences du RGPD et de l'EHDS ?
Surveillance post-commercialisation : Quels processus le fournisseur a-t-il mis en place pour la surveillance continue des performances et la déclaration d'incidents ?
Dépendances aux modèles GPAI : Si le produit repose sur un modèle de fondation, quelles obligations s'appliquent à ce modèle au titre des dispositions GPAI, et comment le fournisseur les gère-t-il ?
Le vérificateur de conformité de la plateforme d'information unique sur la loi sur l'IA (SIP), maintenu par la Commission européenne, fournit un outil structuré pour évaluer la position d'un système d'IA dans le cadre réglementaire, un point de départ utile pour les équipes d'approvisionnement.
Pénalités pour non-conformité
La structure des pénalités prévues par la loi sur l'IA est graduée pour refléter la gravité de la violation :
Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) pour les violations impliquant des systèmes d'IA interdits
Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) pour les violations d'autres obligations, y compris les exigences relatives aux systèmes à haut risque
Jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) pour la fourniture d'informations incorrectes ou trompeuses aux autorités
L'application sera assurée au niveau des États membres par des autorités nationales de surveillance désignées. Le Bureau européen de l'IA sera chargé de la conformité des modèles GPAI. Les pénalités peuvent s'appliquer aux déployeurs, et pas seulement aux développeurs et fournisseurs d'IA, lorsque le déployeur n'a pas respecté ses propres obligations au titre de la loi.
L'analyse de responsabilité de White & Case note que le retrait de la directive autonome sur la responsabilité en matière d'IA en février 2025 implique que les réclamations en responsabilité civile seront traitées via la directive révisée sur la responsabilité du fait des produits, et non par un instrument dédié à l'IA. Cela ne réduit pas l'exposition financière pour les organisations reconnues en infraction à la loi sur l'IA elle-même.
Glossaire : termes clés de la loi européenne sur l'IA pour les professionnels de santé
Fournisseur
Organisation ou individu qui développe un système d'IA, le met sur le marché de l'UE ou le met en service sous son propre nom. Inclut les éditeurs d'IA et les entreprises de technologies de santé.
Déployeur
Organisation ou individu qui utilise un système d'IA à haut risque dans un contexte professionnel sous sa propre autorité. Les hôpitaux, cabinets de médecins généralistes et autres organisations de soins utilisant des outils d'IA tiers sont des déployeurs.
Système d'IA à haut risque
Système d'IA répertorié à l'annexe III de la loi, ou utilisé comme composant de sécurité dans un produit réglementé par une législation sectorielle spécifique telle que le RDM. Soumis aux obligations de conformité les plus étendues de la loi.
Évaluation de conformité
Processus formel par lequel un fournisseur démontre qu'un système d'IA à haut risque répond aux exigences de la loi. Selon le type de système, le fournisseur peut l'effectuer lui-même ou le confier à un organisme notifié accrédité.
Surveillance post-commercialisation
Processus continu par lequel les fournisseurs collectent et analysent des données sur les performances réelles d'un système d'IA déployé, afin d'identifier les risques ou la dégradation des performances non apparents lors de l'évaluation pré-commercialisation.
Évaluation de l'impact sur les droits fondamentaux
Évaluation structurée que les déployeurs de certains systèmes d'IA à haut risque doivent réaliser avant le déploiement, pour évaluer l'impact potentiel sur les droits fondamentaux, notamment la non-discrimination, la vie privée et l'accès aux soins de santé.
Modèle d'IA à usage général
Grand modèle d'IA entraîné sur de vastes ensembles de données, capable d'effectuer un large éventail de tâches. Les modèles de fondation qui sous-tendent de nombreux outils de langage clinique relèvent de cette catégorie et comportent des obligations spécifiques au titre de la loi, indépendamment de l'application en aval.
Maîtrise de l'IA
Connaissances et compétences requises pour utiliser les systèmes d'IA de manière appropriée, évaluer de façon critique leurs sorties et comprendre leurs limites. Les organisations doivent s'assurer que le personnel concerné possède une maîtrise suffisante de l'IA à partir de février 2025.
Documentation technique
Dossier formel que le fournisseur doit tenir à jour, couvrant la conception, le développement, les caractéristiques des données, la méthodologie de test et les performances d'un système d'IA. Requis pour tous les systèmes d'IA à haut risque et à maintenir tout au long de la vie opérationnelle du système.
Questions fréquemment posées
▶ Qu'est-ce que la loi européenne sur l'IA et s'applique-t-elle aux organisations de soins ?
La loi européenne sur l'IA (Règlement UE 2024/1689) est le premier cadre juridique complet régissant l'intelligence artificielle dans l'Union européenne. Elle s'applique à toute organisation mettant des systèmes d'IA sur le marché de l'UE ou les utilisant pour affecter des personnes au sein de l'UE, y compris les hôpitaux, cabinets de médecins généralistes et fournisseurs de technologies de santé. Elle ne s'applique pas uniquement aux organisations basées dans l'UE. Sa portée extraterritoriale signifie que les fournisseurs hors UE sont également concernés si leurs systèmes affectent des patients de l'UE.
▶ Quand les organisations de soins doivent-elles se conformer à la loi européenne sur l'IA ?
Les obligations sont introduites par étapes. Les interdictions concernant les systèmes d'IA à risque inacceptable et l'exigence de maîtrise de l'IA s'appliquent depuis février 2025. Les règles pour les modèles d'IA à usage général s'appliquent à partir d'août 2025. Les principales obligations pour les systèmes d'IA à haut risque, y compris les évaluations de conformité et les exigences de surveillance humaine, s'appliquent pleinement à partir d'août 2026. Les systèmes d'IA déjà réglementés en tant que dispositifs médicaux au titre du Règlement sur les dispositifs médicaux bénéficient d'une période de transition prolongée jusqu'en août 2027.
▶ Quels systèmes d'IA de santé sont classés à haut risque en vertu de la loi ?
La loi classe comme à haut risque les systèmes d'IA utilisés pour le diagnostic, l'aide à la décision médicale, les recommandations de traitement, le tri des patients et la surveillance des patients. Une analyse évaluée par des pairs dans npj Digital Medicine a révélé qu'environ 75 % des dispositifs médicaux commerciaux dotés d'IA se trouvent en radiologie et sont classés en classe IIa ou supérieure au titre du Règlement sur les dispositifs médicaux. Cela signifie que la majorité de l'IA clinique déployée sera considérée comme à haut risque au regard de la loi.
▶ Quelle est la différence entre un fournisseur et un déployeur au regard de la loi européenne sur l'IA ?
Les fournisseurs sont des organisations qui développent un système d'IA et le mettent sur le marché sous leur propre nom. Cela inclut les éditeurs d'IA et les entreprises de technologies de santé. Les déployeurs sont des organisations qui utilisent un système d'IA à haut risque dans un contexte professionnel, tels que les hôpitaux et cabinets de médecins généralistes utilisant des outils d'IA tiers. Les deux parties portent des obligations distinctes qui ne peuvent être transférées à l'autre. Les organisations de soins agissant en tant que déployeurs ne peuvent pas simplement s'appuyer sur la conformité des fournisseurs. Elles doivent activement vérifier que les systèmes répondent aux exigences de la loi et que les processus internes soutiennent une utilisation conforme.
▶ La conformité au RDM satisfait-elle aux exigences de la loi européenne sur l'IA pour les dispositifs médicaux IA ?
Non. Les systèmes d'IA réglementés en tant que dispositifs médicaux au titre du Règlement sur les dispositifs médicaux sont soumis aux deux cadres simultanément. La loi sur l'IA ajoute des exigences en matière de qualité des données, de gouvernance des données, de tenue de registres, de transparence, de responsabilité et de surveillance humaine, allant au-delà de ce qu'exige le Règlement sur les dispositifs médicaux. Les organisations peuvent intégrer les exigences de la loi sur l'IA dans la documentation existante du système de gestion de la qualité, mais la conformité au RDM seule n'est pas suffisante.
▶ Que signifie l'exigence de surveillance humaine en pratique pour le personnel clinique ?
La surveillance humaine signifie que les décisions importantes affectant les patients ne doivent pas être entièrement déléguées à des systèmes automatisés. En pratique, cela implique qu'un clinicien examine la documentation médicale générée par l'IA avant qu'elle ne soit enregistrée dans le dossier du patient, qu'un radiologue prenne une décision indépendante sur une anomalie signalée par l'IA, et qu'une infirmière de tri évalue un score de priorité généré par l'IA à la lumière de l'observation directe du patient. Le personnel clinique doit également disposer à la fois de la capacité technique et de l'autorisation organisationnelle pour outrepasser une sortie d'IA lorsque son jugement clinique le justifie.
▶ Comment la loi européenne sur l'IA interagit-elle avec le RGPD pour les organisations de soins ?
La loi sur l'IA introduit des obligations de gouvernance des données qui s'ajoutent au RGPD sans le remplacer. La conformité au RGPD ne répond pas automatiquement aux exigences de la loi sur l'IA en matière de données. Le RGPD porte sur le traitement licite des données personnelles. La loi sur l'IA se concentre spécifiquement sur la qualité et la pertinence des données utilisées pour entraîner, valider et tester les systèmes d'IA. Les ensembles de données d'entraînement doivent être pertinents, représentatifs et examinés pour les biais susceptibles de produire des sorties discriminatoires ou dangereuses pour certains groupes de patients.
▶ Quelles sont les pénalités pour non-conformité à la loi européenne sur l'IA ?
La structure des pénalités est graduée. Les violations impliquant des systèmes d'IA interdits peuvent entraîner des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Les violations des obligations relatives aux systèmes à haut risque peuvent entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. La fourniture d'informations incorrectes aux autorités peut entraîner des amendes allant jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial. Les pénalités peuvent s'appliquer aux déployeurs comme aux fournisseurs lorsque le déployeur n'a pas respecté ses propres obligations.
▶ Que devraient faire les organisations de soins maintenant pour se préparer à la loi européenne sur l'IA ?
Les organisations devraient commencer par auditer chaque système d'IA actuellement utilisé, y compris les outils intégrés dans les dossiers médicaux, les logiciels de diagnostic et les applications destinées aux patients. Chaque système doit être évalué au regard des classifications de risque de la loi. Les contrats avec les fournisseurs doivent être examinés pour vérifier la répartition des obligations de conformité. L'obligation de maîtrise de l'IA s'applique depuis février 2025. La formation du personnel interagissant avec les outils d'IA doit être une priorité si elle n'a pas déjà été abordée. Les processus internes de déclaration d'incidents, alignés sur l'exigence de signaler les incidents graves dans les 15 jours prévue par la loi, doivent également être en place.
▶ Quelles questions les équipes d'approvisionnement devraient-elles poser aux fournisseurs d'IA concernant la conformité à la loi européenne sur l'IA ?
Les équipes d'approvisionnement devraient demander aux fournisseurs comment ils classent leur système au regard de la loi et quelles preuves étayent cette classification. Elles doivent demander confirmation qu'une évaluation de conformité a été réalisée et, si un organisme notifié est requis, lequel l'a effectuée. Une documentation technique complète, incluant les caractéristiques des données d'entraînement et les limitations connues, doit être disponible sur demande. Les fournisseurs doivent également être en mesure de démontrer comment la conception du produit favorise l'examen et l'outrepassement par les cliniciens, de confirmer où les données des patients sont traitées et stockées, et d'expliquer leurs processus de surveillance post-commercialisation et de déclaration d'incidents.