Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

AI Act santé : IA médicale et haut risque en 2026

AI Act santé : articulation avec le MDR, qualification haut risque de l'IA médicale, données de santé (art. 9 RGPD) et hébergement HDS.

L’essentiel. L’intelligence artificielle en santé cumule deux régimes exigeants. Au titre du règlement (UE) 2024/1689 (AI Act), une IA qui constitue un dispositif médical — ou le composant de sécurité d’un dispositif médical soumis au règlement (UE) 2017/745 (MDR) avec évaluation par un organisme notifié — est classée à haut risque (article 6, paragraphe 1). Elle hérite alors des obligations des articles 8 à 15 : gestion des risques, gouvernance des données, documentation technique, surveillance humaine. Ces obligations s’appliquent, pour les systèmes intégrés à des dispositifs médicaux, à compter du 2 août 2027. Au titre du RGPD, les données de santé sont des données sensibles (article 9) dont le traitement est en principe interdit sauf exception, et leur hébergement en France impose une certification HDS. Hôpitaux, medtech et éditeurs doivent bâtir une conformité intégrée MDR + AI Act + RGPD.

L’IA médicale est le terrain où l’AI Act déploie sa plus grande sévérité — et pour cause : une erreur d’un algorithme d’aide au diagnostic, de tri des urgences ou de dosage thérapeutique engage directement la sécurité des patients. Le législateur européen a donc choisi de ne pas créer un régime parallèle mais de greffer l’AI Act sur la réglementation existante des dispositifs médicaux, déjà robuste. Cette articulation, élégante en théorie, soulève en pratique des questions redoutables de coordination pour les établissements de santé et les industriels du secteur.

Pour un hôpital qui déploie un outil de détection de nodules pulmonaires, pour une medtech qui développe un logiciel de dépistage rétinien, pour un éditeur qui propose un assistant de codage PMSI, la question n’est pas de savoir s’il faut se conformer, mais à combien de régimes simultanés. Et les sanctions de l’AI Act — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial au titre de l’article 99 — s’ajoutent à celles du MDR et du RGPD.

Le cadre légal : trois régimes qui se superposent

L’AI Act et la qualification à haut risque

Le règlement (UE) 2024/1689 organise deux voies vers la qualification « haut risque » (article 6).

La première voie (article 6, paragraphe 1) vise les systèmes d’IA qui sont eux-mêmes un produit, ou le composant de sécurité d’un produit, couvert par la législation d’harmonisation de l’Union listée à l’annexe I, et soumis à une évaluation de conformité par un tiers au titre de cette législation. Or l’annexe I inclut le règlement (UE) 2017/745 relatif aux dispositifs médicaux (MDR) et le règlement (UE) 2017/746 relatif aux dispositifs médicaux de diagnostic in vitro (IVDR). Conséquence : un logiciel d’IA qualifié de dispositif médical de classe IIa ou supérieure — donc évalué par un organisme notifié — bascule automatiquement en système d’IA à haut risque.

La seconde voie (article 6, paragraphe 2) renvoie aux cas d’usage de l’annexe III. La santé n’y figure pas comme catégorie autonome générale, mais certains usages connexes peuvent relever d’autres points de l’annexe (par exemple le tri d’accès aux services essentiels). L’essentiel de l’IA médicale à haut risque passe toutefois par la première voie, celle du MDR.

Le calendrier est spécifique. Pour les systèmes à haut risque relevant de l’annexe I (dont les dispositifs médicaux), les obligations s’appliquent à compter du 2 août 2027 (36 mois après l’entrée en vigueur), délai plus long que le 2 août 2026 retenu pour les systèmes de l’annexe III. Les règles sur les modèles à usage général (chapitre V) s’appliquent, elles, depuis le 2 août 2025. Le calendrier complet de l’AI Act détaille ces échéances.

Le MDR : la réglementation des dispositifs médicaux

Un logiciel est un dispositif médical dès lors qu’il a une finalité médicale au sens du MDR (diagnostic, prévention, contrôle, traitement, atténuation d’une maladie). La classification (I, IIa, IIb, III) dépend du risque. La plupart des logiciels d’aide à la décision médicale relèvent au moins de la classe IIa, ce qui déclenche l’intervention d’un organisme notifié — et, par ricochet, la qualification haut risque de l’AI Act.

Le principe posé par l’AI Act est celui de l’intégration, pas de la duplication : lorsque c’est possible, les exigences de l’AI Act doivent être satisfaites dans le cadre de la documentation et de l’évaluation de conformité déjà réalisées au titre du MDR, pour éviter les doubles procédures. Une documentation technique unique, enrichie des exigences propres à l’IA (gouvernance des données, robustesse, surveillance humaine), est l’objectif. Notre analyse de la documentation technique AI Act précise ces exigences.

Le RGPD et l’article 9

Les données de santé sont des données à caractère personnel relevant de catégories particulières au sens de l’article 9 du RGPD. Leur traitement est en principe interdit, sauf à relever d’une des exceptions du paragraphe 2 : consentement explicite, motifs d’intérêt public dans le domaine de la santé, médecine préventive, diagnostic médical, gestion des systèmes de santé, recherche, sous réserve de garanties appropriées. Sur la nature et le régime de ces données sensibles, la vigilance doit être maximale : c’est le socle le plus surveillé par la CNIL.

Qualification pratique : votre IA est-elle à haut risque ?

Situation Régime MDR Statut AI Act
Logiciel d’aide au diagnostic, classe IIa+ Dispositif médical, organisme notifié Haut risque (art. 6, §1)
Algorithme de tri des urgences intégré à un DM Composant de sécurité d’un DM Haut risque (art. 6, §1)
Outil de codage administratif sans finalité médicale Hors MDR Non haut risque par cette voie
Chatbot d’information santé grand public Selon finalité Transparence (art. 50), à analyser
IA de recherche sur données pseudonymisées Selon usage À qualifier au cas par cas

La qualification n’est jamais automatique pour les usages périphériques : un assistant conversationnel, un outil d’optimisation logistique hospitalière ou un module de veille sanitaire doit être analysé à l’aune de sa finalité réelle. Notre grille de classification des risques IA aide à trancher.

Les obligations concrètes pour hôpitaux et medtech

Pour l’éditeur / le fabricant (fournisseur)

Le développeur d’un logiciel médical d’IA est fournisseur au sens de l’AI Act et cumule les obligations du MDR et de l’article 16 de l’AI Act : système de gestion des risques (art. 9), gouvernance et qualité des données d’entraînement et de test (art. 10), documentation technique (art. 11), journalisation (art. 12), transparence et notice (art. 13), surveillance humaine par conception (art. 14), exactitude et robustesse (art. 15), management de la qualité, évaluation de conformité, marquage CE et surveillance après commercialisation. La distinction des rôles est développée dans notre article fournisseur ou déployeur AI Act.

Pour l’établissement de santé (déployeur)

L’hôpital ou la clinique qui utilise l’outil est déployeur (article 26) : usage conforme à la notice, surveillance humaine par un professionnel de santé compétent, vigilance sur les données d’entrée, conservation des journaux, information et coopération. S’y ajoute, au titre du RGPD, la conduite d’une analyse d’impact sur l’IA (AIPD) — quasi systématique pour un traitement de données de santé à grande échelle — et la désignation d’un DPO, obligatoire pour les organismes traitant à grande échelle des données sensibles.

Le maintien d’un professionnel de santé dans la boucle

Un point non négociable : l’IA médicale ne saurait décider seule. La surveillance humaine (art. 14 AI Act) rejoint ici l’interdiction de principe des décisions entièrement automatisées de l’article 22 du RGPD lorsque la décision produit des effets significatifs sur la personne. Le diagnostic reste un acte médical ; l’algorithme l’assiste, ne le remplace pas.

L’hébergement des données de santé : la certification HDS

Toute structure qui héberge des données de santé à caractère personnel pour le compte de tiers, dans un cadre de prévention, de diagnostic ou de soins, doit être certifiée « Hébergeur de Données de Santé » (HDS), en application de l’article L. 1111-8 du Code de la santé publique. Cette exigence concerne directement l’IA médicale : les jeux de données d’entraînement, les données patients traitées en production et les journaux doivent résider sur une infrastructure certifiée HDS.

Conséquence pratique : le choix du fournisseur de modèle et de l’hébergeur cloud n’est pas neutre. Un outil d’IA générative dont les données transitent par une infrastructure non certifiée HDS ne peut pas, en l’état, traiter des données de santé identifiantes. Les questions de localisation et de transferts hors UE se posent aussi avec acuité — voir notre analyse de l’IA générative et données personnelles.

Un exemple sectoriel : le cabinet médical

Un cabinet qui adopte un assistant d’IA pour la rédaction de comptes rendus ou l’aide à la décision doit combiner les registres : information des patients, base légale au titre de l’article 9, hébergement HDS, encadrement contractuel du prestataire. Notre guide RGPD au cabinet médical détaille ce socle, auquel l’AI Act ajoute la couche « système d’IA ».

Piloter cette conformité multi-régimes suppose de tracer, pour chaque outil, sa qualification MDR, son statut AI Act et son traitement RGPD. Une plateforme de gouvernance comme Legiscope permet de centraliser ces trois dimensions dans un référentiel unique et de rattacher à chaque système ses obligations et sa documentation.

Recommandations opérationnelles

  1. Qualifiez d’abord au titre du MDR. La classe du dispositif médical commande la qualification haut risque de l’AI Act.
  2. Unifiez la documentation. Construisez une documentation technique unique MDR + AI Act pour éviter les doublons.
  3. Sécurisez l’hébergement. Vérifiez la certification HDS de toute infrastructure traitant des données de santé identifiantes.
  4. Cadrez la base légale RGPD. Identifiez l’exception de l’article 9, paragraphe 2, applicable, et réalisez l’AIPD.
  5. Garantissez la supervision médicale. Aucun système ne doit produire un effet significatif sur le patient sans intervention humaine qualifiée.
  6. Anticipez 2027. Les obligations haut risque des dispositifs médicaux s’appliquent au 2 août 2027 : la préparation commence maintenant.

FAQ

Toute IA utilisée en santé est-elle à haut risque ?

Non. Seule l’IA qui constitue un dispositif médical (ou le composant de sécurité d’un dispositif médical) soumis à évaluation par un organisme notifié est automatiquement à haut risque. Un outil administratif, logistique ou d’information sans finalité médicale directe ne l’est pas par cette voie, même s’il est utilisé dans un établissement de santé.

Quand les obligations s’appliquent-elles pour un logiciel médical d’IA ?

Pour les systèmes à haut risque relevant de l’annexe I (dispositifs médicaux), les obligations de fond s’appliquent à compter du 2 août 2027. Attention toutefois : les obligations de transparence, l’interdiction des pratiques prohibées et l’obligation de formation à l’IA sont déjà applicables depuis 2025.

Faut-il refaire une évaluation de conformité au titre de l’AI Act et du MDR ?

Le règlement privilégie l’intégration : les exigences de l’AI Act doivent, autant que possible, être satisfaites dans le cadre de l’évaluation de conformité déjà menée au titre du MDR, via une documentation technique enrichie. L’objectif est d’éviter deux procédures parallèles, mais les modalités précises font encore l’objet de lignes directrices attendues.

L’hébergement HDS est-il obligatoire pour les données d’entraînement ?

Dès lors que les données de santé sont identifiantes ou réidentifiables et hébergées pour le compte d’un tiers dans un cadre de soins, la certification HDS s’impose. Des données réellement anonymisées échappent au RGPD et à l’exigence HDS — mais l’anonymisation véritable est un standard exigeant, rarement atteint sur des données de santé fines.

Un chatbot d’information santé grand public est-il concerné ?

Il n’est en principe pas un dispositif médical s’il ne poursuit pas de finalité médicale individuelle. Il reste soumis aux obligations de transparence de l’article 50 (indiquer à l’utilisateur qu’il dialogue avec une IA) et, s’il traite des données personnelles, au RGPD. La frontière avec le dispositif médical se joue sur la finalité affichée et l’usage réel.

Le DPO est-il obligatoire pour un établissement déployant de l’IA médicale ?

La désignation d’un DPO est obligatoire, entre autres, pour les organismes dont l’activité de base implique un traitement à grande échelle de données sensibles — ce qui est le cas de la plupart des établissements de santé. Le déploiement d’IA médicale renforce l’utilité de cette fonction sans en changer le fondement.


Cet article présente le cadre applicable au 2 juillet 2026. L’articulation MDR / AI Act fait l’objet de lignes directrices de la Commission européenne encore en cours de publication. Vérifiez l’état du droit et faites-vous accompagner avant toute mise sur le marché ou tout déploiement d’IA médicale.