Le règlement européen sur l’IA et l’IA en santé : ce que les prestataires doivent savoir
Feb 17, 2026
La ratification et l’entrée en vigueur imminente, dans sa pleine portée, du règlement de l’Union européenne sur l’intelligence artificielle, EU AI Act, marque un tournant décisif dans la gouvernance des technologies numériques, en transformant en profondeur le cadre opérationnel des prestataires de soins de santé à travers le continent. Ce texte, premier du genre au niveau mondial, ne se contente pas d’ajouter une couche de bureaucratie, il introduit un cadre d’architecture complet, fondé sur le risque, destiné à encadrer le développement, le déploiement et la surveillance des systèmes d’intelligence artificielle.[1] Pour les établissements de santé européens, en particulier dans les États membres dotés de normes déjà exigeantes comme les Pays Bas et l’Allemagne, cette réglementation impose une réévaluation profonde des stratégies d’achat et des structures de gouvernance. Elle déplace le centre de gravité de la conformité, des obligations de protection de la vie privée centrées sur les données du Règlement général sur la protection des données, RGPD, vers une approche plus large orientée sécurité des produits, qui examine l’impact sur les droits fondamentaux, la robustesse technique et les implications éthiques des outils algorithmiques.[3]
L’arrivée de l’AI Act coïncide avec une période de transformation numérique intense dans la santé en Europe, portée par la double pression des pénuries de personnel et du besoin d’efficacité opérationnelle. Le règlement fonctionne de concert avec l’Espace européen des données de santé, EHDS, créant une matrice réglementaire complexe où la fluidité des données rencontre des garde fous de sécurité stricts.[5] L’EHDS vise à libérer le potentiel des données de santé pour la prise en charge en soins primaires et l’innovation en recherche secondaire, tandis que l’AI Act impose simultanément des contraintes strictes sur la manière dont ces données peuvent être traitées par des systèmes autonomes. Cette interaction crée un défi spécifique pour les directions hospitalières, comment adopter l’efficacité de l’IA, notamment dans les tâches administratives et les actes cliniques à faible acuité, sans tomber dans les charges de conformité prohibitives associées à la qualification « à haut risque ».
Par ailleurs, le contexte géopolitique et économique de cette réglementation ne peut pas être sous estimé. Alors que les systèmes de santé gèrent la sortie de crise post pandémie et les « morts de désespoir » associées à la précarité économique, l’AI Act cherche à équilibrer innovation et protection de la société.[8] Il répond aux craintes de déqualification professionnelle et de déplacement d’emplois en imposant une supervision humaine, afin que l’IA reste un outil d’augmentation plutôt que de remplacement. Cette approche anthropocentrée est inscrite dans l’exigence d’« agency humaine », obligeant les prestataires à mettre en place des interfaces permettant au personnel médical de passer outre, de surveiller et de comprendre les résultats de l’IA.[9] En conséquence, l’achat d’agents d’IA n’est plus uniquement une décision informatique, c’est devenu un sujet de gouvernance clinique, nécessitant une synthèse pluridisciplinaire d’expertises juridiques, médicales et techniques pour naviguer entre les exigences convergentes du Règlement sur les dispositifs médicaux, MDR, et du nouveau cadre législatif sur l’IA.
L’architecture fondée sur le risque, naviguer dans la classification en santé
Le mécanisme central de l’EU AI Act est son système de classification fondé sur le risque, qui répartit les applications d’IA en quatre niveaux distincts de préjudice potentiel, inacceptable, élevé, limité et minimal. Pour les prestataires de soins, identifier correctement la place d’un outil sur ce spectre est l’étape la plus critique du processus d’achat, car elle détermine la sévérité des obligations juridiques qui s’ensuivent.[11]
Systèmes d’IA à haut risque, la charge clinique
La grande majorité des applications d’IA cliniques, celles destinées au diagnostic, à la planification thérapeutique ou à la surveillance physiologique, sont classées comme systèmes d’IA à haut risque. Cette classification est souvent automatique pour les logiciels qui sont déjà qualifiés de dispositif médical au titre du MDR, Règlement (UE) 2017/745, et nécessite une évaluation de conformité par un tiers, réalisée par un organisme notifié.[13] La logique réglementaire est qu’une erreur dans un algorithme de diagnostic ou une aide robotisée à la chirurgie pourrait entraîner un décès ou une atteinte irréversible à la santé, ce qui justifie le niveau de contrôle le plus élevé.
Les fournisseurs de systèmes à haut risque doivent respecter une liste exhaustive d’exigences. Celles ci incluent la mise en place d’un système complet de gestion des risques, opérant sur l’ensemble du cycle de vie de l’IA, et pas uniquement au moment du déploiement.[15] Les obligations de gouvernance des données sont particulièrement strictes, les jeux de données d’entraînement, de validation et de test doivent être pertinents, représentatifs et, dans la mesure du possible, exempts d’erreurs. Il s’agit d’une réponse législative directe au problème historique des biais algorithmiques, lorsque des modèles entraînés sur des populations homogènes échouent à être performants sur des profils de patients divers.[17] Pour un hôpital déployant une IA de radiologie à haut risque, cela signifie que l’établissement doit vérifier que l’éditeur a testé le modèle de manière rigoureuse sur des données représentatives de sa population locale, une exigence qui rehausse fortement le niveau de diligence lors de l’achat.[19]
De plus, la nature « boîte noire » des modèles d’apprentissage profond est directement mise à l’épreuve par les exigences de transparence du règlement. Les systèmes à haut risque doivent être conçus pour être suffisamment transparents, afin de permettre aux déployeurs, professionnels de santé, d’interpréter les résultats du système et d’en comprendre le fonctionnement.[2] Cette « explicabilité » n’est pas seulement une fonctionnalité technique, c’est un prérequis juridique à une décision clinique éclairée. Si un clinicien ne peut pas comprendre pourquoi un outil d’IA recommande un traitement donné, le système peut ne pas satisfaire aux exigences de conformité du règlement, rendant son déploiement illégal.
Systèmes d’IA à risque limité, l’opportunité administrative
À l’opposé des charges lourdes imposées aux outils cliniques, l’AI Act identifie une catégorie de systèmes d’IA à risque limité, qui inclut des technologies dont le risque principal concerne la transparence et la manipulation plutôt que la sécurité physique. Cette catégorie couvre de nombreux outils administratifs et d’engagement patient qui transforment actuellement les opérations hospitalières, comme les chatbots, les assistants vocaux et les agents de planification automatisée.[12]
La classification de ces systèmes en risque limité est déterminante pour la stratégie des établissements. Elle suggère que l’IA administrative, les outils qui gèrent l’accueil des patients, le report de rendez vous et les demandes générales, peut être déployée avec une empreinte réglementaire nettement plus légère que les systèmes d’aide à la décision clinique. L’obligation principale pour les systèmes à risque limité est la transparence au titre de l’article 50, le fournisseur doit s’assurer que l’utilisateur, le patient, est explicitement informé qu’il interagit avec une machine. Cette distinction permet aux organisations de santé d’adopter rapidement l’IA pour gagner en efficacité opérationnelle, sans les cycles d’évaluation de conformité de plusieurs années requis pour les dispositifs médicaux à haut risque.
Cependant, la frontière entre « administratif » et « clinique » est poreuse et exige une navigation prudente. Un agent vocal qui se limite à planifier des rendez vous est à risque limité. Si ce même agent utilise le traitement du langage naturel, NLP, pour évaluer la gravité des symptômes d’un patient et prioriser son rendez vous, en réalisant de facto un triage, il franchit le seuil du logiciel dispositif médical et devient un système d’IA à haut risque. Cette dérive fonctionnelle est un piège majeur de conformité, les établissements doivent définir strictement la « finalité prévue » de leurs agents d’IA dans les accords de traitement des données, DPA, afin de rester dans la catégorisation à risque limité.23
Pratiques interdites et à risque minimal
Le règlement fixe également des « lignes rouges » claires pour l’usage de l’IA. Les systèmes qui déploient des techniques subliminales pour altérer le comportement, ou qui exploitent les vulnérabilités de groupes spécifiques, comme les enfants ou les personnes âgées, sont classés en risque inacceptable et sont interdits. Même si les hôpitaux ont peu de chances de les acheter intentionnellement, ils doivent rester vigilants face à des éditeurs dont les algorithmes d’engagement pourraient, par inadvertance, basculer dans un registre manipulateur. À l’inverse, les systèmes à risque minimal, comme les filtres anti spam ou les jeux vidéo intégrant de l’IA utilisés en pédiatrie, restent largement non réglementés, même si l’adhésion volontaire à des codes de conduite est encouragée afin de promouvoir une culture d’IA digne de confiance.
Convergence avec le Règlement sur les dispositifs médicaux, MDR
L’application simultanée de l’AI Act et du Règlement sur les dispositifs médicaux, MDR, crée un environnement complexe de double réglementation pour les prestataires de soins. Alors que le MDR se concentre sur la sécurité clinique et la performance, l’AI Act ajoute des exigences supplémentaires relatives aux droits fondamentaux et à la gouvernance des données. Cette convergence est particulièrement difficile car les définitions et les règles de classification des deux textes ne s’alignent pas parfaitement, ce qui peut générer une incertitude juridique.
La double charge de conformité
Les logiciels qualifiés de dispositif médical au titre du MDR sont soumis à une évaluation clinique rigoureuse et à une surveillance après mise sur le marché. L’AI Act respecte ce cadre existant en intégrant ses évaluations de conformité dans le processus MDR pour les systèmes à haut risque. Cela signifie qu’un même organisme notifié devrait idéalement évaluer la conformité aux deux règlements.[10] Toutefois, l’AI Act introduit des exigences spécifiques qui vont au delà du MDR, notamment sur la qualité des données d’entraînement et la robustesse du système face aux attaques adversariales.
Pour les établissements, cela implique qu’un marquage CE au titre du MDR n’est plus le seul indicateur de conformité. Les équipes achats doivent désormais vérifier que l’évaluation de conformité couvre explicitement les exigences de l’AI Act. Cela inclut la vérification d’une documentation technique démontrant la résilience du système aux erreurs, ses protections de cybersécurité et l’absence de biais dans les jeux de données utilisés pour le développement. La « présomption de conformité » associée aux normes harmonisées sera déterminante, et les établissements devraient privilégier des éditeurs alignés sur des normes émergentes comme l’ISO 42001, systèmes de management de l’intelligence artificielle, en complément des normes classiques des dispositifs médicaux.[26]
Surveillance après mise sur le marché et responsabilité
Le MDR et l’AI Act imposent tous deux des obligations de suivi après mise sur le marché, mais leur périmètre diffère. Le MDR se concentre sur les incidents cliniques et la déclaration de sécurité. L’AI Act élargit cela à la surveillance des impacts sur les « droits fondamentaux » et à la détection des « incidents graves » liés au fonctionnement du système d’IA.[18]
Point crucial, l’AI Act clarifie le paysage de la responsabilité en distinguant le « fournisseur », fabricant, et le « déployeur », organisation de santé. Si le fabricant est responsable de la conception du système, l’établissement de santé est responsable de son usage. Si un hôpital déploie un système d’IA à haut risque sans garantir une supervision humaine adéquate, ou s’il utilise le système pour une finalité non prévue dans les instructions d’utilisation, par exemple utiliser un outil de diagnostic adulte sur des patients pédiatriques, la responsabilité se déplace vers l’hôpital. Cela impose une gouvernance interne robuste, où les équipes informatiques, cliniques et juridiques collaborent pour surveiller la performance de l’IA et assurer le respect strict des protocoles opérationnels.
La révolution de l’IA administrative, tirer parti du risque limité pour gagner en efficacité
Au milieu de la complexité réglementaire de l’IA clinique, une transformation parallèle se produit dans l’administration de la santé. Le déploiement d’agents d’IA pour des tâches comme l’accueil des patients, la planification et la facturation représente une voie de transformation numérique à fort impact et à risque plus faible. En automatisant ces interactions routinières, les systèmes de santé peuvent répondre aux pénuries chroniques de personnel et à l’épuisement administratif qui affectent le secteur, à condition de respecter les obligations de transparence et de sécurité de l’AI Act.
Le ROI des agents vocaux et des chatbots
L’argument économique en faveur de l’IA administrative est solide. Les professionnels de santé en Europe déclarent consacrer une part importante de leur temps, souvent plus de 40 pour cent, à la documentation et aux tâches administratives plutôt qu’aux soins directs.[30] Cette charge administrative est un moteur majeur de l’épuisement professionnel et contribue à des inefficacités qui augmentent les coûts de santé.[32]
Les agents vocaux et chatbots alimentés par l’IA offrent une solution scalable. Ces systèmes peuvent fonctionner 24 heures sur 24, 7 jours sur 7, en traitant des milliers de demandes simultanées concernant les horaires de rendez vous, les renouvellements d’ordonnance et les informations générales de l’hôpital. En transférant ces tâches à des entités d’IA « à risque limité », les hôpitaux peuvent réallouer des ressources humaines rares vers des activités cliniques à forte valeur.[34] Des études de cas et rapports sectoriels indiquent que des systèmes automatisés peuvent gérer jusqu’à 30 à 40 pour cent des questions fréquentes de routine, réduisant significativement les temps d’attente et améliorant les indicateurs de satisfaction patient. De plus, le coût par interaction d’un agent d’IA est une fraction de celui d’un centre d’appels humain, offrant un retour sur investissement, ROI, clair qui soutient la soutenabilité financière des organisations de santé.
Transparence, la pierre angulaire de la confiance, article 50
La classification « risque limité » de l’IA administrative est conditionnée au respect strict des obligations de transparence prévues à l’article 50 de l’AI Act. Cet article impose que les personnes physiques soient informées qu’elles interagissent avec un système d’IA, sauf si cela est évident au regard du contexte. Dans le contexte sensible de la santé, où les patients peuvent être vulnérables ou en détresse, s’appuyer sur l’« évidence » est risqué sur le plan juridique et éthique.
La bonne pratique consiste à divulguer explicitement et immédiatement. Lorsqu’un patient appelle une ligne hospitalière et qu’un agent vocal d’IA répond, le système doit s’identifier comme entité artificielle dès le début de l’échange. Si le système génère de l’audio synthétique, une voix « deepfake », ou de la vidéo, il doit être techniquement marqué et détectable comme contenu généré artificiellement.[21] Cette exigence vise à prévenir la tromperie et à préserver le principe d’« agency humaine », permettant aux patients de décider en connaissance de cause s’ils souhaitent poursuivre l’interaction ou demander un agent humain.
Le non respect de ces règles de transparence peut entraîner des amendes administratives substantielles, jusqu’à 15 millions d’euros ou 3 pour cent du chiffre d’affaires annuel mondial total.[38] Les établissements doivent donc s’assurer que leurs contrats d’achat avec les éditeurs d’IA incluent des garanties spécifiques sur la conformité à l’article 50, afin que les mentions de transparence soient intégrées par défaut dans l’interface utilisateur.
Cadres de gouvernance pour les outils administratifs
Bien que l’IA administrative présente un risque réglementaire inférieur à l’IA clinique, elle traite néanmoins des données sensibles de patients, ce qui nécessite un cadre de gouvernance reflétant la rigueur des systèmes à haut risque. Les éditeurs leaders sur ce segment, comme Inquira Health, montrent que l’adhésion volontaire à des standards de sécurité de haut niveau est un différenciateur clé dans les appels d’offres.
Les établissements devraient exiger que les éditeurs d’IA administrative disposent de certifications telles que ISO 27001, management de la sécurité de l’information, et, point crucial pour le marché européen, NEN 7510. NEN 7510 est une norme néerlandaise qui adapte les contrôles de sécurité de l’information au secteur de la santé, en mettant l’accent sur la disponibilité et l’intégrité des données patients, en plus de la confidentialité. Son inclusion dans le portefeuille de conformité d’un éditeur signale une compréhension avancée des risques spécifiques à la santé, et constitue un indicateur robuste de conformité RGPD à l’échelle des juridictions de l’UE.[40]
En outre, les systèmes d’IA administrative doivent mettre en place des accords de traitement des données, DPA stricts, qui cartographient chaque cas d’usage de manière 1:1. Cette approche granulaire évite l’extension non maîtrisée du périmètre, en garantissant qu’un outil acheté pour la planification ne commence pas, par inadvertance, à traiter des données de triage clinique sans les garde fous juridiques et techniques nécessaires.
Souveraineté technique, gouvernance, chiffrement et pistes d’audit
L’application de l’AI Act élève les standards techniques, des bonnes pratiques informatiques au rang de nécessités juridiques. Pour les prestataires de soins européens, garantir la « souveraineté technique », le contrôle des flux de données, du stockage et des accès, est primordial. Cela impose d’examiner en profondeur des protocoles techniques précis concernant le chiffrement, la journalisation et la résidence des données.
ISO 27001 et normes santé, la base de sécurité
La conformité à l’ISO 27001, associée à des normes locales santé, par exemple NEN 7510, crée une stratégie de défense en profondeur pour les données de santé. Alors que l’ISO 27001 fournit un cadre générique de sécurité de l’information, NEN 7510 traduit ces exigences dans le langage du soin. Elle impose que les mesures de sécurité ne doivent pas entraver la délivrance des soins en temps utile, en équilibrant des contrôles d’accès stricts avec la nécessité de disponibilité des données en situation d’urgence.[41]
Pour des agents d’IA, cela signifie que l’architecture doit être résiliente. Les éditeurs doivent démontrer le statut « risque limité » via des déclarations d’applicabilité, SoA, claires, qui détaillent précisément quels contrôles de sécurité protègent les données patients. Cela inclut des processus de gestion des fournisseurs qui évaluent les sous traitants, afin que l’ensemble de la chaîne d’approvisionnement respecte les standards de sécurité européens.
Standards de chiffrement, protéger les données en transit et au repos
L’intégrité des interactions patients gérées par des agents d’IA repose sur un chiffrement robuste. Les établissements doivent vérifier que les éditeurs utilisent le Secure Real time Transport Protocol, SRTP, pour tous les flux médias chiffrés, voix et vidéo. SRTP assure la confidentialité, l’authentification des messages et la protection contre la relecture pour les données audio, empêchant l’écoute clandestine ou l’altération pendant l’appel.
En plus du chiffrement des médias, la signalisation de contrôle et les données en transit doivent être sécurisées via Transport Layer Security, TLS, idéalement en version 1.2 ou 1.3. Le chiffrement au repos est une base non négociable, toutes les transcriptions, journaux et métadonnées patients stockés sur des serveurs doivent être chiffrés afin d’être inutilisables en cas de compromission physique ou numérique. Le principe du moindre privilège doit gouverner l’accès aux clés de chiffrement et aux données qu’elles protègent, afin que seuls les personnels et processus autorisés puissent déchiffrer des informations sensibles.
Pistes d’audit et ISO 27789, la mécanique de la redevabilité
La transparence dans l’AI Act est définie opérationnellement par la traçabilité. Les établissements doivent exiger que les systèmes d’IA génèrent des pistes d’audit immuables, alignées sur l’ISO 27789 et NEN 7513.[42] Ces normes précisent le contenu et la structure des journaux d’audit pour les dossiers de santé électroniques, en imposant que chaque accès à des informations de santé personnelles, PHI, qu’il soit effectué par un utilisateur humain ou un agent d’IA, soit enregistré.
Une entrée de journal conforme doit capturer :
- Identification : Qui, quel agent d’IA spécifique ou quel compte utilisateur, a accédé aux données.
- Horodatage : La date et l’heure précises de l’accès.
- Cible : Quel dossier patient ou quel élément de données a été consulté.
- Action : La nature de l’interaction, par exemple lecture, écriture, mise à jour, suppression.
- Justification : La raison de l’accès, par exemple « planification de rendez vous ».
Ces journaux doivent être stockés de manière à empêcher toute modification, immutabilité, et doivent pouvoir être exportés pour examen par les délégués à la protection des données, DPO, ou des auditeurs. Dans le contexte de l’AI Act, ces journaux constituent la preuve principale de la supervision humaine et de la performance du système, permettant de reconstituer les événements en cas d’« incident grave » ou d’erreur algorithmique.
Résidence des données et souveraineté
Pour respecter le RGPD et les exigences strictes de gouvernance des données de l’AI Act, les établissements devraient exiger une isolation régionale des données. Les données patients traitées par des agents d’IA ne devraient idéalement jamais quitter l’Espace économique européen, EEE. Des éditeurs comme Inquira Health répondent à cet enjeu en proposant des régions de données UE isolées, garantissant que le traitement et le stockage se déroulent dans des juridictions alignées sur les lois européennes de protection de la vie privée. Cela réduit les risques liés aux transferts transfrontaliers et aux conflits avec des lois de surveillance étrangères, par exemple le US CLOUD Act.
Mettre la conformité en œuvre, le manuel du déployeur
Passer de la théorie à la pratique exige des établissements d’adopter un état d’esprit proactif de « déployeur ». L’AI Act fait peser sur l’hôpital la responsabilité d’un usage sûr, en imposant des protocoles opérationnels spécifiques avant que le premier patient n’interagisse avec un système d’IA.
Supervision humaine et « Human in the Loop »
L’article 14 de l’AI Act impose que les systèmes d’IA à haut risque soient conçus pour permettre une supervision humaine effective. Pour les établissements, cela signifie mettre en place un flux de travail « Human in the Loop », HITL. Les déployeurs doivent désigner des personnes compétentes et formées pour superviser le fonctionnement de l’IA. Ces personnels doivent comprendre les capacités du système et, point crucial, ses limites.
La mise en œuvre opérationnelle implique :
- Formation : Les équipes doivent être formées à reconnaître le « biais d’automatisation », la tendance à faire davantage confiance aux résultats de l’IA qu’à leur propre jugement professionnel, et être habilitées à écarter des recommandations de l’IA qui contredisent les preuves cliniques.
- Protocoles d’intervention : Des procédures claires doivent exister pour définir quand un humain doit intervenir ou arrêter le système d’IA, par exemple un « kill switch » pour un chatbot défaillant.
- Boucles de retour : Les cliniciens doivent pouvoir signaler directement au fournisseur des erreurs ou anomalies, contribuant au suivi après mise sur le marché.
Évaluations d’impact sur les droits fondamentaux, FRIA
Pour les hôpitaux publics et les entités privées fournissant des services publics, le déploiement d’un système d’IA à haut risque déclenche l’obligation de réaliser une évaluation d’impact sur les droits fondamentaux, FRIA. Il s’agit d’un exercice distinct de l’analyse d’impact relative à la protection des données, DPIA, du RGPD, même si des similitudes existent.
Une FRIA doit évaluer :
- Non discrimination : Le système d’IA pourrait il désavantager involontairement certains groupes de patients en raison des données sur lesquelles il a été entraîné ?
- Accès aux soins : Le déploiement du système affecte t il la capacité des patients à accéder aux services de santé, par exemple un outil de triage numérique qui crée des barrières pour des personnes âgées peu à l’aise avec le numérique ?
- Protection des consommateurs : Les patients sont ils suffisamment informés et protégés contre la manipulation ?
Les résultats de la FRIA doivent être notifiés à l’autorité de surveillance du marché compétente, et le déployeur doit disposer d’un plan pour atténuer les risques identifiés.
Checklist d’achat pour les prestataires de soins
Pour garantir la conformité et réduire la responsabilité, les établissements devraient utiliser une checklist rigoureuse lors de l’achat de tout système d’IA.
| Catégorie | Élément de checklist | Référentiel réglementaire |
|---|---|---|
| Classification | Le système est il à haut risque, clinique, ou à risque limité, administratif ? Existe t il un certificat CE valide pour le haut risque ? | AI Act art. 6 / MDR |
| Transparence | Le système s’identifie t il comme IA, art. 50 ? Les deepfakes sont ils marqués ? | AI Act art. 50 |
| Gouvernance | L’éditeur dispose t il des certifications ISO 27001 et NEN 7510 ? | RGPD art. 32 / Bonnes pratiques sectorielles |
| Sécurité des données | Les données sont elles traitées et stockées dans l’UE ? Le chiffrement SRTP et TLS est il utilisé ? | RGPD / Gouvernance des données AI Act |
| Supervision | Existe t il des outils de supervision humaine, HITL ? Le personnel est il formé à leur utilisation ? | AI Act art. 14 et 26 |
| Traçabilité | Des journaux immuables sont ils générés conformément à NEN 7513 et ISO 27789 ? | AI Act art. 12 |
| Contrats | Le DPA correspond il en 1:1 au cas d’usage spécifique ? | RGPD / Responsabilité AI Act |
Implications économiques et perspectives
Le coût de la conformité à l’EU AI Act est significatif, mais il doit être mis en balance avec les coûts de la non conformité et les économies opérationnelles potentielles.
Le coût de la conformité versus la non conformité
Pour les systèmes à haut risque, le coût des évaluations de conformité, de la documentation technique et du management de la qualité peut aller de plusieurs dizaines à plusieurs centaines de milliers d’euros.[46] Ces coûts sont principalement supportés par le fournisseur, fabricant, mais seront probablement répercutés sur les organisations de santé via les prix. En revanche, pour les outils administratifs « à risque limité », la charge de conformité est bien plus faible, centrée principalement sur la transparence et la sécurité informatique standard.
À l’inverse, le coût de la non conformité peut être catastrophique. Les amendes pour pratiques interdites peuvent atteindre 35 millions d’euros ou 7 pour cent du chiffre d’affaires mondial, tandis que le non respect des obligations de gouvernance des données ou de transparence peut entraîner des amendes allant jusqu’à 15 millions d’euros. Au delà des amendes, l’atteinte à la réputation liée à une violation de confidentialité ou à un déploiement d’IA non éthique pourrait éroder la confiance des patients, qui est la monnaie de la santé.
L’avenir, 2026 et au delà
À mesure que l’AI Act se dirige vers sa pleine application à la mi 2026, le secteur de la santé verra une standardisation de la gouvernance de l’IA. On peut s’attendre à l’émergence de « bacs à sable réglementaires », environnements contrôlés où les fournisseurs peuvent tester des systèmes d’IA innovants sous supervision des autorités. Les hôpitaux devraient chercher activement à participer à ces bacs à sable afin d’accéder plus tôt à une innovation conforme.
Par ailleurs, des normes comme l’ISO 42001 devraient devenir la nouvelle base du management de l’IA, à l’image de l’ISO 27001 pour la sécurité. Les établissements qui alignent dès maintenant leur gouvernance interne sur ces standards seront les mieux placés pour naviguer dans un paysage réglementaire en évolution.
Conclusion
L’EU AI Act représente une maturation du marché de la santé numérique. Il fait évoluer le secteur d’un esprit « aller vite et casser des choses » vers un modèle « avancer de manière responsable et sécuriser la confiance ». Pour les prestataires de soins, le règlement clarifie les règles du jeu, en distinguant le domaine à enjeux élevés de l’aide à la décision clinique et le monde, orienté efficacité, de l’automatisation administrative.
En tirant parti d’agents d’IA « à risque limité » pour les tâches administratives, les établissements européens peuvent répondre immédiatement à des défis critiques de ressources humaines et réduire l’épuisement, à condition de respecter des standards de gouvernance stricts. Respecter NEN 7510 et ISO 27001, exiger des pistes d’audit robustes, ISO 27789, et appliquer strictement les obligations de transparence ne sont pas seulement des cases réglementaires, ce sont des impératifs éthiques de la santé moderne.
En tant que « déployeur », l’établissement de santé agit comme dernier gardien de la sécurité des patients. En assumant cette responsabilité via des achats éclairés et une gouvernance proactive, le secteur peut exploiter la puissance transformatrice de l’IA pour délivrer des soins plus sûrs, plus efficaces et, au final, plus humains.
Points clés pour les établissements
- Distinguer le risque : conformité stricte pour les outils cliniques, haut risque, versus transparence pour les bots administratifs, risque limité.
- Exiger des standards : ISO 27001 et NEN 7510 sont non négociables pour la sécurité des données dans la santé en Europe.
- Appliquer la transparence : l’article 50 impose aux agents d’IA de s’identifier, les deepfakes doivent être détectables.
- Sécuriser les données : garantir un hébergement régional dans l’UE et un chiffrement SRTP et TLS pour l’ensemble du trafic voix et données.
- Tout journaliser : mettre en place des pistes d’audit immuables, ISO 27789, pour assurer traçabilité et redevabilité.
- Humain dans la boucle : ne jamais déployer une IA à haut risque sans superviseur humain désigné et formé.
Ce rapport se réfère aux textes législatifs de l’EU AI Act, du Règlement sur les dispositifs médicaux et aux normes techniques de référence en vigueur au début de 2026.
