L'IA dans les soins de santé : ce que le règlement IA change concrètement pour les établissements de soins
Quelle IA dans les soins relève du règlement IA, ce qui est déjà obligatoire et ce que le Digital Omnibus reporte dans le temps.
Mise à jour du 28 mai 2026. Cet article a été révisé suite à l'accord politique sur le Digital Omnibus on AI du 7 mai 2026. Les dates d'application pour l'IA à haut risque sont reportées au 2 décembre 2027 (systèmes autonomes) et au 2 août 2028 (IA intégrée à des produits, comme les dispositifs médicaux). L'obligation de littératie en IA prévue à l'article 4 reste inchangée et s'applique depuis le 2 février 2025.
Des algorithmes de triage aux urgences à l'analyse d'images assistée par IA en radiologie : l'IA a atteint les soins plus vite que la gouvernance. La littératie en IA est obligatoire depuis le 2 février 2025. Pour les obligations plus lourdes liées au haut risque, le Digital Omnibus prévoit davantage de temps, mais les établissements de soins ont tout intérêt à mettre dès maintenant en ordre leur usage de l'IA, leur gouvernance et leurs accords avec les fournisseurs.
Pourquoi les soins de santé sont une catégorie à part
Dans presque tous les secteurs, le constat est le même : l'IA est nouvelle, la réglementation rattrape, les organisations doivent suivre. Dans les soins de santé, c'est différent. Ici, l'IA touche directement à des domaines déjà profondément réglementés : sécurité des patients, prise de décision médicale, vie privée concernant le type de données personnelles le plus sensible qui existe. Le règlement européen sur l'IA n'arrive pas dans un champ vide. Il vient s'ajouter au RGPD, au règlement relatif aux dispositifs médicaux (MDR/IVDR), à la législation nationale en matière de santé et au droit disciplinaire des professionnels de la santé.
Cela fait des établissements de soins à la fois les organisations ayant le plus d'expérience en conformité et celles où la gouvernance de l'IA est la plus complexe à mettre en place. Différentes autorités regardent le même système sous différents angles, et personne ne veut être le premier à commettre une erreur dont un patient subira les conséquences.
Quelles applications d'IA peuvent relever du haut risque
Le règlement européen sur l'IA fonctionne avec l'Annexe III : des catégories d'applications d'IA considérées en principe comme étant à haut risque, sauf si une exception spécifique s'applique. Pour les soins de santé, sont pertinents :
Mais le règlement ne fonctionne pas qu'avec l'Annexe III. De nombreuses applications d'IA dans les soins relèvent de la catégorie « risque limité », avec des obligations plus légères, surtout en matière de transparence envers les patients. Et même pour les applications à « risque minimal », l'obligation de l'article 4 s'applique : tous les collaborateurs qui travaillent avec l'IA doivent être démontrablement compétents en matière d'IA. Ce que recouvre précisément l'obligation de résultat sous l'article 4, nous l'avons développé ailleurs.
Les applications que les établissements de soins ne perçoivent souvent pas comme de l'« IA »
Dans les échanges avec les responsables de soins et les fonctionnaires qualité, il apparaît systématiquement que la notion d'« IA » est interprétée de manière étroite. On pense à des applications spectaculaires comme les logiciels d'analyse d'images d'un fournisseur de radiologie. Mais en pratique, presque tous les établissements de soins modernes utilisent déjà :
Pour autant que ces applications soient qualifiées de système d'IA au sens du règlement européen sur l'IA, elles relèvent du cadre du règlement IA. Pas toutes comme étant à haut risque, mais toutes des obligations de base telles que la littératie en IA.
Les quatre domaines que les établissements de soins ne doivent pas laisser traîner jusqu'en 2027
L'application formelle de nombreuses obligations à haut risque est reportée, mais la littératie en IA s'applique déjà. De plus, l'inventaire, le contrôle des contrats, la gouvernance et la formation prennent du temps dans le secteur des soins. Quatre domaines appellent donc dès maintenant de l'attention.
Premier domaine : la littératie en IA du personnel. Les soignants qui utilisent les résultats de l'IA dans des décisions concernant les patients doivent savoir ce que fait l'outil, où sont les limites, comment reconnaître les signaux d'alerte, et quand ignorer le résultat. Une infirmière qui suit aveuglément le score d'un système d'alerte précoce sans comprendre ce qu'il y a derrière constitue un risque de responsabilité, pour elle-même, pour l'établissement, et finalement pour le patient.
Deuxième domaine : supervision humaine et responsabilité finale. Pour l'IA à haut risque, il doit toujours y avoir un professionnel de la santé qui prend la décision finale et qui dispose aussi de la possibilité et du pouvoir d'écarter l'IA. « Le système l'a déterminé ainsi » n'est pas une justification valable dans une procédure disciplinaire. Le médecin ou l'infirmière reste responsable, et doit pouvoir assumer cette responsabilité concrètement.
Troisième domaine : transparence envers les patients. Lorsque l'IA joue un rôle dans des décisions qui affectent les patients de manière substantielle, les établissements de soins doivent évaluer avec soin quelles obligations d'information et d'explication s'appliquent. Celles-ci peuvent découler du règlement IA, du RGPD, des droits des patients, du consentement éclairé, du MDR/IVDR et des procédures qualité internes. Dans la plupart des brochures d'information et des procédures d'admission, ce point n'est aujourd'hui que peu ou pas réglé.
Quatrième domaine : contrats fournisseurs et chevauchement avec le MDR/IVDR. De nombreux outils d'IA dans les soins sont déjà réglementés sous le MDR/IVDR. Le règlement européen sur l'IA y ajoute une couche supplémentaire. La question devient alors : quelle est la responsabilité du fournisseur (provider) et quelle est celle de l'établissement (déployeur) ? Cette délimitation doit être contractuellement claire, et dans de nombreux contrats existants, elle ne l'est pas.
Les trois groupes qui ont chacun besoin d'une formation propre
Ce qui est déjà obligatoire aujourd'hui, ce qui reste à venir
Déjà en vigueur. L'article 4 sur la littératie en IA s'applique depuis le 2 février 2025. Les fournisseurs et les déployeurs de systèmes d'IA doivent prendre les mesures nécessaires pour garantir, dans la mesure du possible, que leurs collaborateurs et les personnes qui agissent en leur nom disposent d'une littératie en IA suffisante, adaptée au rôle, à l'expérience et au contexte d'usage. Pour les établissements de soins, c'est aujourd'hui l'obligation la plus concrète.
Le 2 décembre 2026. L'accord politique sur le Digital Omnibus ajoute une interdiction des systèmes d'IA de nudification et de l'IA capable de générer du matériel d'abus sur enfants. Pour les soins, surtout pertinent pour la politique d'achat d'IA et pour ce qui figurera dans l'inventaire des outils d'IA.
Le 2 décembre 2027. Selon l'accord politique du 7 mai 2026, les obligations à haut risque pour les systèmes d'IA autonomes relevant de l'Annexe III ne deviendront opposables qu'à cette date. Pensez à l'IA pour le triage d'urgence ou pour l'accès aux services de soins. À l'origine, le règlement 2024/1689 prévoyait le 2 août 2026 ; cette date reste formellement valable jusqu'à la publication du Digital Omnibus au Journal officiel de l'UE, attendue durant l'été 2026.
Le 2 août 2028. À cette date, les obligations à haut risque deviendront applicables pour les systèmes d'IA intégrés à des produits réglementés. Pour les soins, c'est la grande catégorie : l'IA comme composant de sécurité dans un dispositif médical, ou en tant que dispositif médical lui-même, sous MDR/IVDR.
Le délai supplémentaire n'est pas un blanc-seing. Pour les systèmes qui seront classés à haut risque, l'obligation d'évaluation de conformité revient en premier lieu au fournisseur en tant que provider. Pour l'établissement de soins en tant que déployeur, l'enjeu est différent : utiliser le système conformément aux instructions, organiser une surveillance humaine assurée par des personnes formées, garder la maîtrise des données d'entrée, monitorer l'usage, signaler les incidents graves, conserver les journaux, informer les personnes concernées lorsque la loi l'exige, et coopérer avec les autorités de contrôle.
Ce que vous pouvez faire de manière réaliste
Le report des dates à haut risque vers 2027 et 2028 change quelque chose à la pression temporelle, pas à la mission. L'obligation de l'article 4 s'applique déjà, et le délai jusqu'au 2 décembre 2027 est précisément ce qu'il faut à un établissement pour franchir les étapes du haut risque avec soin plutôt que dans la précipitation.
À démarrer dès maintenant :
Seconde moitié de 2026 :
À l'horizon 2027 et 2028 :
Pour conclure
Les soins de santé ont longtemps été à l'avant-garde en matière de conformité : RGPD, MDR/IVDR, normes de sécurité de l'information, cadres qualité. La conformité au règlement IA n'est, dans ce contexte, pas une charge supplémentaire, mais une extension logique de ce qui est déjà fait. La différence est que l'IA est plus récente, change plus vite et touche plus directement à des décisions que les patients ressentent dans leur chair. C'est précisément pour cela qu'il y a peu de place pour laisser ce sujet au hasard.
Chez AIAdopt, nous avons développé l'extension sectorielle Soins (M3-ZO) spécifiquement pour les soignants, l'encadrement des soins et le personnel support des établissements de soins. La formation aborde la supervision humaine en contexte clinique, l'articulation entre le règlement IA et le MDR/IVDR, la transparence envers les patients, et les implications disciplinaires, clôturée par un certificat évalué qui mentionne les articles concernés du règlement IA.
👉 Découvrez notre approche pour les soins de santé ou composez votre pack sur mesure pour votre établissement.
Vous voulez savoir où en est votre organisation ?
Téléchargez notre checklist de conformité gratuite à l'EU AI Act ou découvrez nos formations en littératie en IA.