·
Adoption de la technologie
Soins de santé
TI de la santé / CIO
Réglementations européennes sur l'IA en santé : RDM, RGPD et AI Act
Naviguez dans les réglementations européennes pour l'IA clinique. Comprenez les exigences du RDM UE pour les dispositifs médicaux, la protection des données du RGPD et les obligations de conformité de l'AI Act pour les organisations de soins

L'IA dans le secteur de la santé en Europe ne relève pas d'un cadre réglementaire unique. Elle s'inscrit simultanément dans trois cadres, chacun avec sa propre autorité, ses propres obligations de conformité et ses propres mécanismes d'application. Un outil d'IA clinique qui soutient les décisions diagnostiques peut nécessiter un marquage CE en tant que dispositif médical, doit traiter les données des patients conformément au Règlement général sur la protection des données (RGPD) et est susceptible d'être classé comme à haut risque en vertu de la loi européenne sur l'IA. Ces cadres ne s'appliquent pas de manière séquentielle, mais en parallèle, et interagissent de façons qui ne sont pas toujours évidentes. Pour les organisations de soins qui évaluent ou déploient l'IA, comprendre ce paysage réglementaire est un prérequis pour un approvisionnement responsable et une utilisation clinique sûre.
Les trois piliers réglementaires que toute entreprise d'IA dans le secteur de la santé doit comprendre
Trois cadres distincts de l'UE régissent le déploiement de l'IA clinique, chacun ayant une préoccupation principale différente.
Le Règlement européen sur les dispositifs médicaux (RDM UE) 2017/745 régit la sécurité et les performances. Il s'intéresse à la question de savoir si un produit, y compris un logiciel, est sûr pour son usage clinique prévu et s'il a été validé.
Le RGPD régit la confidentialité. Il porte sur la manière dont les données personnelles, en particulier les données de santé, sont collectées, traitées, stockées et partagées, et sur la garantie que les individus conservent des droits effectifs sur leurs informations.
La loi européenne sur l'IA (Règlement (UE) 2024/1689, en vigueur depuis le 1er août 2024) régit le risque systémique. Elle s'intéresse à la transparence, à la responsabilité et à la surveillance humaine adéquate des systèmes d'IA, en particulier lorsque ces systèmes affectent les droits fondamentaux ou des décisions critiques.
Comme une FAQ conjointe du Groupe de coordination des dispositifs médicaux (MDCG) et du Conseil européen de l'IA (MDCG 2025-6) l'a confirmé en 2025, les systèmes d'IA qualifiés de dispositifs médicaux doivent se conformer simultanément au RDM UE/DMDIV et à la loi sur l'IA. La conformité à un cadre ne dispense pas de la conformité à un autre.
Quand l'IA dans le secteur de la santé est qualifiée de dispositif médical en vertu du RDM UE
En vertu du RDM UE 2017/745, la question centrale est de savoir si un outil logiciel a une finalité médicale prévue. Autrement dit, si son fabricant l'a conçu pour le diagnostic, la prévention, la surveillance, la prédiction, le pronostic, le traitement ou l'atténuation d'une maladie. Les logiciels répondant à cette définition sont classés comme Logiciels en tant que Dispositifs Médicaux (SaMD) et doivent se conformer à l'ensemble du régime du RDM UE.
La finalité prévue est le facteur déterminant. Un outil de documentation qui transcrit des comptes rendus médicaux sans interpréter ni influencer les décisions cliniques se trouve dans une position réglementaire différente d'un système d'IA qui signale des résultats anormaux, suggère des diagnostics ou hiérarchise le tri des patients. Ce dernier est beaucoup plus susceptible d'être classé comme SaMD.
Lorsqu'un outil est classé comme dispositif médical, le fabricant doit :
Effectuer une évaluation de la conformité adaptée à la classification de risque du dispositif (Classe I à III)
Produire et maintenir une documentation technique complète
Mettre en place un système de gestion de la qualité (SGQ)
Obtenir le marquage CE avant la mise sur le marché du dispositif dans l'UE
Assurer une surveillance post-commercialisation et signaler les incidents graves
L'analyse de King & Spalding des orientations MDCG 2025-6 identifie cinq domaines opérationnels clés où les obligations du RDM UE et de la loi sur l'IA convergent : les systèmes de gestion, la gouvernance des données, la documentation technique, la transparence et la surveillance humaine, ainsi que la cybersécurité et l'exactitude. Les fabricants devraient considérer ces éléments comme des exigences intégrées plutôt que comme des listes de contrôle parallèles.
Une complication pratique est la pénurie d'organismes notifiés désignés, ces organisations indépendantes d'évaluation de la conformité requises pour les dispositifs à risque plus élevé. Baker McKenzie a noté que ce goulot d'étranglement, combiné à un écart significatif dans les normes harmonisées pour les risques spécifiques à l'IA tels que le biais algorithmique et la dérive du modèle, crée de véritables retards pour les fabricants cherchant à accéder au marché.
RGPD et IA clinique : ce qui compte comme données de catégorie spéciale et pourquoi c'est important
Les données de santé traitées par les systèmes d'IA sont classées comme données de catégorie spéciale en vertu de l'article 9 du RGPD, bénéficiant du plus haut niveau de protection prévu par le droit européen de la protection des données. Cette classification s'applique indépendamment du fait que le système d'IA soit le responsable du traitement principal ou un sous-traitant en aval. C'est la nature des données, et non le rôle du sous-traitant, qui détermine la classification.
Pour les déploiements d'IA clinique, cela a plusieurs implications directes.
Base juridique. Le traitement de données de santé de catégorie spéciale nécessite à la fois une base juridique en vertu de l'article 6 et une condition supplémentaire en vertu de l'article 9. Dans les contextes cliniques, les conditions de l'article 9 les plus couramment applicables sont le traitement nécessaire au diagnostic médical ou à la fourniture de soins de santé (article 9(2)(h)), le traitement pour des raisons d'intérêt public en matière de santé publique (article 9(2)(i)) et, lorsque aucune ne s'applique, le consentement explicite (article 9(2)(a)). Le consentement est rarement la base la plus appropriée dans les contextes cliniques, compte tenu du déséquilibre de pouvoir inhérent entre les patients et les prestataires de soins de santé.
Minimisation des données et limitation de la finalité. Les systèmes d'IA ne doivent traiter que les données nécessaires à leur finalité spécifiée. Ces données ne peuvent pas être réutilisées sans une nouvelle base juridique. Cela crée une tension particulière lorsque les fournisseurs souhaitent utiliser des données cliniques pour l'entraînement ou l'amélioration du modèle, une utilisation généralement distincte de la finalité clinique d'origine.
Droits de la personne concernée. Les patients conservent les droits d'accès, de rectification et, dans certaines circonstances, d'effacement, même lorsque leurs données ont été traitées par des systèmes d'IA. Les organisations de soins doivent être en mesure de répondre à ces demandes concernant les données détenues ou traitées par des fournisseurs d'IA tiers.
Un examen des cadres de confidentialité et de gouvernance pour les dispositifs de santé alimentés par l'IA a souligné que la conformité au RGPD dans les contextes cliniques utilisant l'IA nécessite non seulement des contrôles techniques, mais aussi des structures de gouvernance continues, incluant des analyses d'impact sur la protection des données (AIPD), des registres des activités de traitement et des accords de sous-traitance des données clairement définis.
Résidence des données et flux de données transfrontaliers dans l'IA de santé de l'UE
Le RGPD impose des restrictions strictes sur le transfert de données personnelles en dehors de l'Espace économique européen (EEE). Pour les fournisseurs d'IA clinique, cela signifie que lorsque les données des patients sont traitées ou stockées sur une infrastructure située en dehors de l'EEE, y compris sur des plateformes cloud hébergées aux États-Unis ou ailleurs, des mécanismes de transfert spécifiques doivent être en place.
Les principaux mécanismes sont :
Décisions d'adéquation, lorsque la Commission européenne a déterminé qu'un pays tiers offre un niveau équivalent de protection des données (couvrant actuellement un nombre limité de juridictions)
Clauses contractuelles types (CCT), qui imposent des obligations contractuelles à la fois à l'exportateur et à l'importateur de données
Règles d'entreprise contraignantes (BCR), utilisées principalement au sein de groupes d'entreprises multinationales
Pour les organisations de soins, la question pratique n'est pas simplement de savoir si un fournisseur a signé des CCT, mais où les données sont réellement traitées et stockées. L'hébergement des données au sein de l'UE signifie que les données des patients sont traitées et stockées sur une infrastructure physiquement située dans l'EEE. Cela élimine le besoin de mécanismes de transfert transfrontalier et simplifie considérablement la conformité au RGPD. Les organisations de soins devraient exiger des fournisseurs qu'ils précisent cela dans la documentation contractuelle.
Une analyse comparative des politiques de réglementation de la cybersécurité dans la santé numérique aux États-Unis, dans l'UE et en Inde a noté que l'approche de l'UE en matière de souveraineté des données dans le secteur de la santé est nettement plus prescriptive que celle d'autres juridictions, un facteur qui influence la manière dont les fournisseurs mondiaux d'IA conçoivent leurs produits pour les marchés européens.
Comment la loi européenne sur l'IA classifie l'IA dans le secteur de la santé et ce que signifie « haut risque » en pratique
La loi européenne sur l'IA établit un système de classification basé sur les risques avec quatre niveaux : risque inacceptable (interdit), haut risque, risque limité et risque minimal. La plupart des outils d'IA clinique, y compris les systèmes d'aide au diagnostic, les outils de tri et les assistants de documentation clinique qui influencent les parcours de soins, sont susceptibles de relever de la catégorie à haut risque.
En vertu de l'article 6(1) et de l'annexe I de la loi sur l'IA, les systèmes d'IA qui sont eux-mêmes réglementés comme dispositifs médicaux en vertu du RDM UE ou du DMDIV sont automatiquement classés comme systèmes d'IA à haut risque. Le SaMD marqué CE est donc soumis à la fois aux exigences de conformité du RDM UE et au régime complet de conformité de la loi sur l'IA pour les systèmes à haut risque.
L'analyse de Hunton Andrews Kurth de l'application de la loi sur l'IA aux dispositifs médicaux énonce les principales obligations pour les systèmes d'IA à haut risque :
Documentation technique : Registres détaillés de la conception du système, des données d'entraînement, de la méthodologie de validation et des limitations connues
Gestion des risques : Un système de gestion des risques continu couvrant les risques spécifiques à l'IA, y compris le biais algorithmique et la dérive du modèle
Gouvernance des données : Exigences concernant les ensembles de données d'entraînement, de validation et de test, incluant la détection des biais et les contrôles de qualité des données
Transparence et instructions d'utilisation : Documentation claire afin que les déployeurs et les utilisateurs puissent comprendre les capacités et les limitations du système
Surveillance humaine : Mesures techniques et organisationnelles garantissant que les humains peuvent surveiller, remplacer et intervenir efficacement dans les résultats de l'IA
Évaluation de la conformité : Évaluation formelle avant la mise sur le marché, avec surveillance post-commercialisation continue
Enregistrement : Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données de l'UE pour les systèmes d'IA
La loi sur l'IA introduit également des obligations de littératie en IA, en vigueur depuis février 2025, exigeant que les fournisseurs et les déployeurs s'assurent que le personnel travaillant avec les systèmes d'IA ait une compréhension suffisante des capacités et des limites de la technologie. Taylor Wessing note que cette obligation s'applique aux organisations de soins déployant des outils d'IA, et pas seulement aux fournisseurs qui les développent.
Où le RDM UE, le RGPD et la loi sur l'IA se chevauchent et où ils entrent en conflit
Les trois cadres partagent plusieurs fils conducteurs communs. Tous exigent de la transparence sur le fonctionnement d'un système, les données qu'il utilise et ses limitations. Tous imposent une gestion documentée des risques. Tous prévoient des obligations de surveillance post-commercialisation ou continue. Lorsque le RDM UE exige une surveillance post-commercialisation et que la loi sur l'IA en exige également une, ces obligations peuvent, en principe, être traitées par un processus unifié.
Une analyse évaluée par les pairs publiée en 2025 examinant le lien réglementaire entre la loi sur l'IA et le RDM UE/DMDIV a confirmé que le SGQ requis en vertu du RDM UE peut servir de fondement à la conformité à la loi sur l'IA, et que les exigences de documentation technique en vertu des deux cadres peuvent être intégrées plutôt que dupliquées. L'article 8 de la loi sur l'IA prévoit explicitement cette intégration pour les dispositifs médicaux IA.
Des tensions réelles existent cependant.
Conservation des données vs minimisation des données. La loi sur l'IA encourage, et dans certains cas exige, la conservation des données d'entraînement, des ensembles de validation et des journaux à des fins d'audit et de responsabilité. Les principes de minimisation des données et de limitation de la conservation du RGPD poussent dans la direction opposée. Les fournisseurs doivent gérer explicitement cette tension, généralement via des calendriers de conservation spécifiques à la finalité et l'anonymisation lorsque cela est possible.
Transparence vs confidentialité commerciale. La loi sur l'IA et le RGPD exigent tous deux une transparence significative sur la manière dont les systèmes d'IA traitent les données et produisent des résultats. En pratique, les fournisseurs peuvent hésiter à divulguer l'architecture de leurs modèles propriétaires. Les cadres ne résolvent pas entièrement cette tension.
Biais algorithmique et principe d'équité du RGPD. Le RGPD exige que le traitement automatisé soit équitable, mais ne précise pas comment l'équité doit être mesurée dans les systèmes d'IA. La loi sur l'IA introduit des exigences de gouvernance des données plus spécifiques concernant la détection des biais, mais des commentaires académiques ont noté qu'aucun des deux cadres ne fournit d'orientations méthodologiques définitives pour les développeurs d'IA dans le secteur de la santé.
Le paysage réglementaire est lui-même en évolution. Deux propositions législatives concurrentes de l'UE, l'Omnibus numérique (dirigé par la DG CONNECT) et l'amendement RDM UE/DMDIV de la DG SANTE, cherchent toutes deux à simplifier le chevauchement entre la loi sur l'IA et le RDM UE. L'analyse du Petrie-Flom Center de la Harvard Law School soulève des préoccupations selon lesquelles les efforts de simplification pourraient, par inadvertance, affaiblir les garanties de surveillance humaine, en particulier pour les cliniciens et les patients. Le résultat de ces propositions reste incertain à la mi-2026.
Qui est responsable en vertu de chaque cadre : le fournisseur, l'hôpital ou les deux ?
La responsabilité réglementaire en vertu des trois cadres est distribuée plutôt que centralisée. L'attribution diffère selon le cadre applicable.
En vertu du RDM UE, l'obligation principale incombe au fabricant, généralement le fournisseur d'IA. Le fabricant est responsable de l'évaluation de la conformité, du marquage CE, de la documentation technique et de la surveillance post-commercialisation. Une organisation de soins qui déploie un SaMD marqué CE sans modification agit généralement en tant qu'opérateur plutôt qu'en tant que fabricant, avec des obligations plus limitées.
En vertu du RGPD, l'attribution dépend de qui détermine les finalités et les moyens du traitement. Une organisation de soins qui déploie un système d'IA pour traiter les dossiers des patients est généralement le responsable du traitement, portant la responsabilité principale de la base juridique, des droits des patients et des obligations d'AIPD. Le fournisseur d'IA, traitant les données pour le compte de l'organisation, est généralement le sous-traitant, lié par un accord de sous-traitance des données (DPA) précisant la portée et les conditions du traitement.
En vertu de la loi européenne sur l'IA, une distinction est faite entre les fournisseurs (ceux qui développent ou mettent des systèmes d'IA sur le marché) et les déployeurs (ceux qui utilisent des systèmes d'IA dans un contexte professionnel). Les fournisseurs supportent la charge principale de conformité pour les systèmes d'IA à haut risque, couvrant la documentation technique, l'évaluation de la conformité et l'enregistrement. Les déployeurs ont leurs propres obligations : mettre en œuvre des mesures de surveillance humaine, assurer la littératie en IA parmi le personnel, surveiller les performances du système en utilisation et suspendre l'utilisation lorsque des préoccupations de sécurité surviennent.
L'analyse de White & Case du paysage post-directive sur la responsabilité de l'IA, suite au retrait de cette directive en février 2025, confirme que la directive révisée sur la responsabilité du fait des produits fait désormais partie du cadre de responsabilité pour les dispositifs médicaux alimentés par l'IA, avec des implications pour les fabricants et les déployeurs lorsqu'un préjudice résulte d'un système d'IA défectueux.
Un hôpital déployant un outil d'IA clinique ne peut pas supposer que la conformité réglementaire relève entièrement de la responsabilité du fournisseur. La clarté contractuelle sur les rôles, les obligations et l'attribution de la responsabilité est essentielle avant le déploiement.
Ce que les organisations de soins devraient demander aux fournisseurs d'IA avant le déploiement
Les équipes d'approvisionnement et les responsables cliniques évaluant les outils d'IA pour le déploiement clinique devraient obtenir des réponses claires et documentées aux questions suivantes.
Sur le RDM UE et le statut de dispositif médical :
Ce produit est-il classé comme dispositif médical en vertu du RDM UE 2017/745 ?
Si oui, quelle est sa classification de risque et le marquage CE a-t-il été obtenu ?
Pouvez-vous fournir la déclaration de conformité et le résumé de la sécurité et des performances cliniques ?
Comment la surveillance post-commercialisation est-elle assurée et comment les incidents sont-ils signalés ?
Sur le RGPD et le traitement des données :
Où les données des patients sont-elles traitées et stockées ? L'hébergement des données au sein de l'UE est-il garanti ?
Signerez-vous un accord de sous-traitance des données conforme à l'article 28 du RGPD ?
Une analyse d'impact sur la protection des données est-elle disponible pour examen ?
Les données des patients sont-elles utilisées pour l'entraînement ou l'amélioration du modèle ? Si oui, sur quelle base juridique ?
Comment les droits de la personne concernée (accès, effacement, rectification) sont-ils gérés ?
Sur la loi européenne sur l'IA :
Ce système est-il classé comme système d'IA à haut risque en vertu de la loi européenne sur l'IA ?
Quelle évaluation de la conformité a été effectuée ou est prévue en vertu de la loi sur l'IA ?
Quelle documentation technique est disponible couvrant les données d'entraînement, la validation et les limitations connues ?
Quels mécanismes de surveillance humaine sont intégrés dans le système ?
Le système est-il enregistré dans la base de données des systèmes d'IA de l'UE ?
Sur la sécurité et l'audit :
L'organisation détient-elle la certification ISO 27001 ? Est-elle à jour ?
Quelles capacités de traçabilité le système fournit-il ?
Comment les vulnérabilités de cybersécurité sont-elles identifiées et traitées après le déploiement ?
Sur la littératie en IA :
Quelle formation ou documentation est fournie pour soutenir les obligations de littératie en IA en vertu de la loi sur l'IA ?
Des réponses incomplètes ou évasives à ces questions doivent être considérées comme un signal de risque d'approvisionnement important.
Comment le paysage réglementaire évolue : ce qu'il faut surveiller jusqu'en 2026 et au-delà
La loi européenne sur l'IA est entrée en vigueur en août 2024, mais ses obligations s'appliquent selon un calendrier progressif. Les jalons clés comprennent :
Février 2025 : Les interdictions sur les systèmes d'IA à risque inacceptable s'appliquent. Les obligations de littératie en IA pour les fournisseurs et les déployeurs prennent effet
Août 2026 : Les obligations des systèmes d'IA à haut risque en vertu du chapitre III s'appliquent pleinement, y compris celles pour les dispositifs médicaux IA en vertu de l'annexe I
Août 2027 : Applicabilité complète à toutes les dispositions restantes
Le guide de conformité de MDX CRO note que des dispositions transitoires existent pour les systèmes d'IA déjà légalement sur le marché avant août 2026, mais ces dispositions sont limitées dans le temps et n'exemptent pas les fabricants de la conformité complète à terme.
Deux développements supplémentaires méritent une attention particulière.
Le règlement sur l'Espace européen des données de santé (EHDS) est entré en vigueur le 26 mars 2025. L'EHDS crée un cadre pour l'utilisation secondaire des données de santé, y compris pour le développement et la recherche en IA, dans les États membres de l'UE. Les orientations officielles de la Commission européenne sur l'IA dans le secteur de la santé identifient l'EHDS comme un facilitateur clé du développement responsable de l'IA clinique, mais son interaction avec le principe de limitation de la finalité du RGPD nécessitera une clarification continue à mesure que la mise en œuvre progresse.
Les propositions de simplification concurrentes, l'Omnibus numérique et l'amendement RDM UE/DMDIV de la DG SANTE, visent toutes deux à réduire la charge de conformité à l'intersection RDM UE/loi sur l'IA. Comme le Petrie-Flom Center de la Harvard Law School l'a observé, le résultat de ces propositions pourrait modifier considérablement le paysage de conformité pour l'IA clinique, soit en rationalisant les exigences de double conformité, soit, si les dispositions de surveillance humaine sont affaiblies, en créant de nouveaux risques pour la sécurité des patients.
L'incertitude quant à la légalité de l'utilisation de l'IA dans des contextes cliniques spécifiques demeure un défi réel pour les prestataires de soins de santé, même lorsque des cadres existent. La conformité réglementaire dans l'IA clinique n'est pas une simple formalité d'approvisionnement ponctuelle. Elle exige une surveillance continue d'un environnement réglementaire en constante évolution, ainsi qu'une structure de gouvernance capable de s'adapter à mesure que les obligations évoluent.
Foire aux questions
▶ Quels cadres réglementaires s'appliquent à l'IA clinique en Europe ?
Trois cadres de l'UE s'appliquent simultanément à l'IA clinique. Le Règlement sur les dispositifs médicaux (RDM UE) 2017/745 régit la sécurité et les performances. Le Règlement général sur la protection des données (RGPD) régit la manière dont les données des patients sont collectées, traitées et stockées. La loi européenne sur l'IA (Règlement (UE) 2024/1689), en vigueur depuis le 1er août 2024, régit la transparence, la responsabilité et la surveillance humaine. Une FAQ conjointe du Groupe de coordination des dispositifs médicaux et du Conseil européen de l'IA a confirmé en 2025 que la conformité à un cadre ne dispense pas de la conformité à un autre.
▶ Quand un outil d'IA clinique est-il qualifié de dispositif médical en vertu du RDM UE ?
Un outil d'IA clinique est qualifié de dispositif médical lorsque son fabricant l'a conçu pour le diagnostic, la prévention, la surveillance, la prédiction, le pronostic, le traitement ou l'atténuation d'une maladie. Les logiciels répondant à cette définition sont classés comme Logiciels en tant que Dispositifs Médicaux (SaMD). Un outil de documentation qui transcrit des comptes rendus médicaux sans influencer les décisions cliniques se trouve dans une position réglementaire différente d'un système d'IA qui signale des résultats anormaux ou hiérarchise le tri des patients. Ce dernier est beaucoup plus susceptible d'être classé comme SaMD et doit obtenir le marquage CE avant d'être mis sur le marché de l'UE.
▶ Comment le RGPD s'applique-t-il aux données de santé traitées par les systèmes d'IA ?
Les données de santé traitées par les systèmes d'IA sont classées comme données de catégorie spéciale en vertu de l'article 9 du RGPD, bénéficiant du plus haut niveau de protection prévu par le droit européen de la protection des données. Leur traitement nécessite à la fois une base juridique en vertu de l'article 6 et une condition supplémentaire en vertu de l'article 9. Dans les contextes cliniques, les conditions les plus couramment applicables sont le traitement nécessaire au diagnostic médical ou à la fourniture de soins de santé, et le traitement pour des raisons d'intérêt public en matière de santé publique. Les systèmes d'IA doivent également appliquer la minimisation des données, ce qui signifie qu'ils ne peuvent traiter que les données nécessaires à leur finalité spécifiée. Ces données ne peuvent pas être réutilisées sans une nouvelle base juridique.
▶ Que signifie l'hébergement des données au sein de l'UE pour les fournisseurs d'IA clinique ?
L'hébergement des données au sein de l'UE signifie que les données des patients sont traitées et stockées sur une infrastructure physiquement située dans l'Espace économique européen (EEE). Le RGPD impose des restrictions strictes sur le transfert de données personnelles en dehors de l'EEE. Lorsqu'un fournisseur traite des données sur une infrastructure située aux États-Unis ou ailleurs, des mécanismes de transfert spécifiques doivent être en place, tels que les clauses contractuelles types. L'hébergement des données au sein de l'UE élimine le besoin de ces mécanismes et simplifie considérablement la conformité au RGPD. Les organisations de soins devraient exiger des fournisseurs qu'ils précisent les modalités d'hébergement des données dans la documentation contractuelle.
▶ Comment la loi européenne sur l'IA classifie-t-elle les outils d'IA dans le secteur de la santé ?
La loi européenne sur l'IA établit un système de classification basé sur les risques avec quatre niveaux : risque inacceptable (interdit), haut risque, risque limité et risque minimal. La plupart des outils d'IA clinique, y compris les systèmes d'aide au diagnostic, les outils de tri et les assistants de documentation clinique qui influencent les parcours de soins, sont susceptibles de relever de la catégorie à haut risque. En vertu de l'article 6(1) et de l'annexe I de la loi sur l'IA, les systèmes d'IA réglementés comme dispositifs médicaux en vertu du RDM UE sont automatiquement classés comme systèmes d'IA à haut risque, les rendant soumis à la fois aux exigences de conformité du RDM UE et au régime complet de conformité de la loi sur l'IA pour les systèmes à haut risque.
▶ Où le RDM UE, le RGPD et la loi européenne sur l'IA se chevauchent-ils ou entrent-ils en conflit ?
Les trois cadres exigent de la transparence, une gestion documentée des risques et des obligations de surveillance continue. Une analyse évaluée par les pairs publiée en 2025 a confirmé que le système de gestion de la qualité requis en vertu du RDM UE peut servir de fondement à la conformité à la loi sur l'IA, et que les exigences de documentation technique en vertu des deux cadres peuvent être intégrées plutôt que dupliquées. Des tensions réelles existent cependant. La loi sur l'IA encourage la conservation des données d'entraînement et des journaux à des fins d'audit, tandis que les principes de minimisation des données et de limitation de la conservation du RGPD poussent dans la direction opposée. Les fournisseurs doivent gérer explicitement cette tension, généralement via des calendriers de conservation spécifiques à la finalité et l'anonymisation lorsque cela est possible.
▶ Qui est responsable de la conformité réglementaire : le fournisseur d'IA ou l'organisation de soins ?
La responsabilité est distribuée dans les trois cadres. L'attribution diffère selon le cadre applicable. En vertu du RDM UE, l'obligation principale incombe au fabricant, généralement le fournisseur d'IA, qui est responsable du marquage CE, de la documentation technique et de la surveillance post-commercialisation. En vertu du RGPD, l'organisation de soins déployant le système d'IA est généralement le responsable du traitement, portant la responsabilité principale de la base juridique et des droits des patients, tandis que le fournisseur agit en tant que sous-traitant. En vertu de la loi européenne sur l'IA, les fournisseurs portent la charge principale de conformité pour les systèmes d'IA à haut risque, mais les organisations déployantes ont leurs propres obligations, notamment la mise en œuvre de la surveillance humaine et l'assurance de la littératie en IA du personnel. Un hôpital déployant un outil d'IA clinique ne peut pas supposer que la conformité réglementaire relève entièrement de la responsabilité du fournisseur.
▶ Quelles questions les organisations de soins devraient-elles poser aux fournisseurs d'IA avant le déploiement ?
Les équipes d'approvisionnement devraient demander aux fournisseurs de confirmer si le produit détient le marquage CE en tant que dispositif médical et quelle est sa classification de risque. Sur la protection des données, elles devraient demander où les données des patients sont traitées et stockées, si l'hébergement des données au sein de l'UE est garanti, et si les données des patients sont utilisées pour l'entraînement du modèle et sur quelle base juridique. Concernant la loi européenne sur l'IA, elles devraient demander si le système est classé comme à haut risque, quelle évaluation de la conformité a été effectuée et quels mécanismes de surveillance humaine sont intégrés. Sur la sécurité, elles devraient demander si le fournisseur détient la certification ISO 27001 à jour. Des réponses incomplètes ou évasives doivent être considérées comme un signal de risque d'approvisionnement important.
▶ Quand les obligations de la loi européenne sur l'IA pour les systèmes d'IA clinique à haut risque prennent-elles pleinement effet ?
La loi européenne sur l'IA est entrée en vigueur le 1er août 2024, mais ses obligations s'appliquent selon un calendrier progressif. Les interdictions sur les systèmes d'IA à risque inacceptable et les obligations de littératie en IA pour les fournisseurs et les déployeurs ont pris effet en février 2025. Les obligations des systèmes d'IA à haut risque en vertu du chapitre III, y compris celles pour les dispositifs médicaux IA, s'appliquent pleinement à partir d'août 2026. L'applicabilité complète à toutes les dispositions restantes suit en août 2027. Des dispositions transitoires existent pour les systèmes d'IA déjà légalement sur le marché avant août 2026, mais elles sont limitées dans le temps et n'exemptent pas les fabricants de la conformité complète à terme.
▶ Qu'est-ce que l'Espace européen des données de santé et comment affecte-t-il l'IA clinique ?
Le règlement sur l'Espace européen des données de santé (EHDS) est entré en vigueur le 26 mars 2025. Il crée un cadre pour l'utilisation secondaire des données de santé, y compris pour le développement et la recherche en IA, dans les États membres de l'UE. La Commission européenne identifie l'EHDS comme un facilitateur clé du développement responsable de l'IA clinique. Son interaction avec le principe de limitation de la finalité du RGPD, qui restreint la réutilisation des données sans une nouvelle base juridique, nécessitera une clarification continue à mesure que la mise en œuvre progresse.