Obligations au titre du règlement sur l'IA pour les systèmes d'IA intégrés aux dispositifs médicaux, les systèmes de diagnostic et les outils d'aide à la décision clinique. Couvre l'interaction avec le MDR/IVDR et la double conformité au titre de l'Annex I.
Pourquoi le règlement sur l'IA revêt une importance particulière dans le secteur de la santé
Le règlement sur l'IA (Règlement (UE) 2024/1689) impose ses obligations de conformité les plus exigeantes précisément dans les domaines où les erreurs des systèmes d'IA peuvent avoir des conséquences vitales. La santé et les sciences du vivant se situent à l'intersection de deux de ces exigences : la classification structurelle des systèmes d'IA pour dispositifs médicaux comme systèmes à haut risque au titre de l'Art. 6(1), et la densité réglementaire préexistante du secteur au titre du MDR (UE) 2017/745, de l'IVDR (UE) 2017/746, du GDPR Art. 9 et du Règlement sur les essais cliniques (UE) 536/2014.
Pour les fournisseurs et déployeurs de systèmes d'IA en santé, cette intersection n'est pas simplement additive. Elle crée des ensembles d'obligations stratifiés qui doivent être conçus, documentés et surveillés conjointement. Un système d'IA intégré dans un dispositif d'imagerie diagnostique doit satisfaire à une évaluation de conformité par un organisme notifié au titre du MDR et à une évaluation de conformité distincte au titre du règlement sur l'IA. Un hôpital déployant un outil de triage piloté par l'IA devient un déployeur au titre de l'Art. 26 avec des obligations autonomes auxquelles il ne peut pas se soustraire en se fondant uniquement sur le marquage CE du fournisseur.
Les enjeux liés au non-respect sont proportionnellement élevés. Les autorités nationales de surveillance peuvent imposer des amendes pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial pour la mise sur le marché de systèmes d'IA à haut risque non conformes. Au-delà des sanctions financières, des ordres de retrait du marché, des suspensions d'usage clinique et des actions correctives obligatoires peuvent interrompre la prise en charge des patients à grande échelle.
La double procédure réglementaire
La caractéristique structurelle déterminante de la conformité de l'IA en santé est l'application simultanée du droit relatif à la sécurité des produits et du droit spécifique à l'IA. Lorsqu'un système d'IA constitue un composant de sécurité d'un dispositif médical au sens de l'Annex I du règlement sur l'IA (renvoyant au Nouveau cadre législatif), il est automatiquement classifié comme à haut risque au titre de l'Art. 6(1) sans qu'il soit nécessaire de procéder à une évaluation supplémentaire de la probabilité ou de la gravité du préjudice. La classification est catégorique.
Cela signifie que les organisations doivent maintenir deux procédures d'évaluation de conformité parallèles — l'une au titre du MDR ou de l'IVDR, l'autre au titre du règlement sur l'IA — et doivent démontrer leur conformité aux deux dans la base de données UE pour les systèmes d'IA à haut risque (EUAI DB) préalablement à la mise sur le marché.
Cas d'usage d'IA à haut risque — Dispositifs médicaux et dispensation des soins
IA en imagerie diagnostique
Les systèmes d'IA déployés en radiologie, anatomopathologie et ophtalmologie qui analysent des images pour détecter, classifier ou caractériser des lésions, des anomalies ou des états pathologiques sont, dans pratiquement toutes les configurations cliniquement pertinentes, des composants de sécurité de dispositifs médicaux de classe IIa ou supérieure au titre du MDR. Ils sont donc à haut risque au titre de l'Art. 6(1) et doivent satisfaire au Chapitre III Section 2 du règlement sur l'IA, couvrant la gouvernance des données (Art. 10), la documentation technique (Art. 11, Annex IV), la journalisation automatique (Art. 12), la transparence (Art. 13), la surveillance humaine (Art. 14), ainsi que l'exactitude, la robustesse et la cybersécurité (Art. 15).
Systèmes d'aide à la décision clinique
Les outils d'aide à la décision clinique (ADC) couvrent un large spectre de risques selon leur rôle fonctionnel. La distinction réglementaire déterminante est de savoir si le système remplace ou assiste le jugement clinique :
- Sortie autonome ou quasi-autonome : un système ADC qui génère une recommandation de prescription, détermine la posologie d'un médicament pour un patient, ou classe un patient comme nécessitant une intervention d'urgence sans requérir de validation par un clinicien avant que la sortie soit prise en compte est susceptible d'être à haut risque au titre de l'Annex III et constitue potentiellement un dispositif médical au titre du MDR.
- Sortie filtrée à l'attention du clinicien : un outil ADC qui présente des diagnostics différentiels classés par pertinence ou qui signale des résultats d'analyses comme anormaux, où un clinicien qualifié examine et approuve chaque recommandation avant qu'elle influe sur la prise en charge du patient, peut ne pas être qualifié de haut risque, à condition qu'il ne satisfasse pas indépendamment aux critères de l'Annex III à d'autres titres.
Cette distinction doit être documentée dans la déclaration de destination prévue du système d'IA, qui fait partie intégrante de la documentation technique au titre du règlement sur l'IA et du dossier technique MDR.
Priorisation du triage des patients en urgence
Les systèmes d'IA qui priorisent l'ordre dans lequel les patients des urgences reçoivent des soins — notamment les modèles de prédiction du sepsis et les systèmes de surveillance en réanimation qui déclenchent des protocoles d'escalade — opèrent dans des conditions de pression temporelle et de complexité clinique qui rendent la surveillance humaine au titre de l'Art. 14 particulièrement exigeante. Les organisations déployantes doivent s'assurer que le mécanisme de surveillance est réellement efficace : le clinicien responsable de la surveillance doit disposer de la compréhension technique, de l'accès au raisonnement du système et du temps dans le flux de travail pour intervenir avant que les résultats du système n'affectent les résultats pour les patients.
IA de dépistage en santé mentale
Les outils d'IA utilisés pour dépister des populations ou des patients individuels pour des troubles de santé mentale — scores de risque de dépression, stratification du risque suicidaire, dépistage du burn-out — engagent à la fois les dispositions à haut risque du règlement sur l'IA (lorsqu'ils influencent l'accès aux soins ou l'allocation des ressources) et le GDPR Art. 9 dans une dimension particulièrement sensible. Les données de santé mentale constituent des données de santé aux fins du GDPR ; leur traitement pour l'entraînement ou l'inférence de modèles d'IA exige une base juridique au titre de l'Art. 9(2) et des garanties appropriées au titre de l'Art. 22 (prise de décision individuelle automatisée).
Robotique chirurgicale et procédures guidées par l'IA
Les composants d'IA intégrés dans des systèmes de robotique chirurgicale qui adaptent en temps réel les paramètres procéduraux — positionnement des instruments, modulation du retour haptique, classification des tissus — sont des composants de sécurité de dispositifs implantables actifs ou de dispositifs médicaux de classe III au titre du MDR. La charge d'évaluation de conformité est en conséquence la plus élevée disponible : évaluation par un organisme notifié au titre des Annex IX ou X du MDR, combinée à l'évaluation de conformité au titre du règlement sur l'IA prévue à l'Art. 43. Les obligations de surveillance après commercialisation au titre des deux cadres doivent être intégrées dans un système unique de suivi clinique et de surveillance des performances.
Annex III point 5(a) — Accès aux services de soins essentiels
Au-delà de la voie des dispositifs médicaux, l'Annex III, point 5(a) du règlement sur l'IA classe séparément comme à haut risque les systèmes d'IA utilisés pour déterminer l'accès à des services publics essentiels, dont les soins de santé. Un système d'IA qui détermine si un patient remplit les conditions pour bénéficier d'un traitement remboursé, est inscrit sur une liste d'attente pour une transplantation, ou est éligible à un essai clinique est à haut risque au titre de cette disposition, même s'il n'est pas intégré dans un dispositif médical.
Obligations des fournisseurs et des déployeurs dans le secteur de la santé
Obligations des fournisseurs
Les organisations qui développent, mettent sur le marché ou mettent en service un système d'IA en santé à haut risque en qualité de fournisseurs au titre de l'Art. 16 doivent :
- Établir et mettre en œuvre un système de management de la qualité (SMQ) au titre de l'Art. 17, couvrant les contrôles de conception, la gestion des risques alignée sur la norme ISO 14971 (harmonisée pour le MDR) et les procédures de surveillance après commercialisation.
- Préparer la documentation technique au titre de l'Annex IV, comprenant la destination prévue, le dossier de gestion des risques, les descriptions des données d'entraînement, les résultats de validation et de test, ainsi que le plan de surveillance après commercialisation.
- Enregistrer le système dans la base de données UE préalablement à la mise sur le marché (Art. 49).
- S'assurer que le système porte le marquage CE et fournir une déclaration UE de conformité.
- Désigner un représentant autorisé dans l'UE si le fournisseur est établi hors de l'UE.
- Conserver la documentation technique et les journaux pendant 10 ans après la mise sur le marché (Art. 18).
Obligations des déployeurs
Les hôpitaux, cliniques, réseaux de pharmacies et autres établissements de santé agissant en qualité de déployeurs de systèmes d'IA à haut risque de tiers sont soumis à des obligations au titre de l'Art. 26 qui sont indépendantes de la conformité du fournisseur :
- Mettre en œuvre le système dans le périmètre des instructions d'utilisation du fournisseur — toute utilisation hors de ce périmètre est susceptible de requalifier l'établissement en fournisseur.
- Confier les responsabilités de surveillance humaine à des membres du personnel disposant des compétences, de l'autorité et des outils nécessaires pour surveiller le fonctionnement du système et intervenir.
- Conserver les journaux opérationnels pendant au moins six mois, ou plus longtemps lorsque la législation sectorielle applicable (vigilance MDR, lois sur la conservation des dossiers hospitaliers) l'exige.
- Signaler promptement les incidents graves ou les dysfonctionnements au fournisseur et, lorsque la sécurité des patients est en cause, aux autorités sanitaires compétentes conformément aux procédures de vigilance de l'Art. 87 du MDR.
- Réaliser des évaluations de l'impact sur les droits fondamentaux (EIDF) au titre de l'Art. 27 lorsque le système d'IA est utilisé pour prendre ou assister des décisions affectant des patients individuels à grande échelle.
Interaction avec le MDR, l'IVDR et le GDPR
MDR et IVDR : le régime de double évaluation de conformité
L'Art. 6(1) du règlement sur l'IA, lu conjointement avec l'Annex I, établit la voie du composant de sécurité. Lorsqu'un système d'IA est un composant de sécurité d'un produit réglementé au titre du MDR ou de l'IVDR, l'évaluation de conformité au titre du règlement sur l'IA doit être intégrée dans la procédure MDR/IVDR existante. L'Art. 8(1) du règlement sur l'IA donne la primauté aux règles sectorielles du MDR/IVDR lorsqu'elles imposent des obligations équivalentes ou plus strictes, mais il n'élimine pas les obligations au titre du règlement sur l'IA — il ajuste la procédure, non l'exigence.
Pour les dispositifs médicaux de classe IIb et de classe III intégrant de l'IA, une évaluation par un organisme notifié au titre de l'Annex IX du MDR (management de la qualité) ou de l'Annex X (examen de type) est obligatoire. Le même organisme notifié, s'il est désigné au titre du règlement sur l'IA, peut conduire l'évaluation de conformité au titre du règlement sur l'IA dans le cadre d'une procédure intégrée. Pour les logiciels en tant que dispositifs médicaux (SaMD) de classe I, les fabricants doivent évaluer de manière indépendante si le système d'IA remplit les conditions pour être qualifié de haut risque au titre du règlement sur l'IA pour des raisons autres que l'Art. 6(1).
GDPR Art. 9 et données d'entraînement
Les données de santé utilisées pour entraîner, valider ou tester des modèles d'IA constituent des données de catégorie particulière au titre du GDPR Art. 9(1). Leur traitement est interdit en l'absence de l'une des dérogations prévues à l'Art. 9(2), notamment :
- Art. 9(2)(a) : consentement explicite de la personne concernée
- Art. 9(2)(h) : traitement nécessaire aux fins d'un diagnostic médical ou de la prestation de soins de santé, sous réserve du secret professionnel
- Art. 9(2)(j) : recherche scientifique, sous réserve des garanties prévues à l'Art. 89
Les obligations de gouvernance des données de l'Art. 10 du règlement sur l'IA — qui exigent la documentation de l'origine, des méthodes de collecte, de la représentativité et des limites connues des jeux de données — doivent être satisfaites d'une manière compatible avec la base juridique applicable au titre du GDPR. L'utilisation rétrospective de jeux de données cliniques sans consentement explicite nécessite une dérogation à des fins de recherche et, en règle générale, une approbation d'un comité d'éthique au titre du Règlement sur les essais cliniques ou du droit national de la recherche applicable.
Intégration de la surveillance après commercialisation
Le MDR (Art. 83, Suivi clinique après commercialisation) et le règlement sur l'IA (Art. 72, surveillance après commercialisation) exigent tous deux la collecte et l'analyse continues de données de performance en conditions réelles. Lorsque les deux cadres s'appliquent, un système unique de surveillance après commercialisation intégré peut satisfaire aux deux, à condition qu'il capture les points de données requis par chacun — notamment les exigences du MDR en matière de preuves cliniques et les exigences du règlement sur l'IA en matière de journalisation automatique du fonctionnement des systèmes d'IA.
Autorités de contrôle
Agence européenne des médicaments et agences nationales des médicaments
L'Agence européenne des médicaments (EMA) n'a pas de rôle de contrôle direct au titre du règlement sur l'IA pour les systèmes d'IA ne relevant pas des médicaments, mais ses orientations sur l'IA dans le développement des médicaments et la pharmacovigilance font autorité pour les entreprises des sciences du vivant. Les agences nationales des médicaments — notamment l'ANSM (France), le BfArM (Allemagne) et leurs homologues — exercent les attributions de surveillance du marché au titre du MDR et de l'IVDR et peuvent examiner les systèmes d'IA intégrés dans des dispositifs médicaux dans le cadre de leur mandat de surveillance après commercialisation.
Organismes notifiés
Pour les systèmes d'IA à haut risque qui sont des composants de sécurité de dispositifs médicaux, les organismes notifiés désignés au titre du MDR/IVDR et, séparément ou conjointement, au titre du règlement sur l'IA conduisent les évaluations de conformité. Leurs certificats constituent un prérequis pour l'obtention du marquage CE. Les organismes notifiés peuvent suspendre ou retirer des certificats lorsque la surveillance après commercialisation révèle des non-conformités.
Autorités nationales de surveillance de l'IA
Chaque État membre de l'UE a désigné ou est en train de désigner une autorité nationale de surveillance de l'IA (autorité compétente au titre de l'Art. 70 du règlement sur l'IA). Dans le secteur de la santé, une coordination entre l'autorité de surveillance de l'IA et l'agence nationale des médicaments est requise lorsque les compétences se chevauchent. L'autorité de surveillance de l'IA dispose de pouvoirs pour demander des documents, conduire des audits, imposer des mesures correctives et transmettre des dossiers en vue de sanctions financières.
Feuille de route de conformité — Priorités pour l'IA en santé
Étape 1 : Classification et évaluation du périmètre
Cartographier tous les systèmes d'IA en développement ou en déploiement au regard de l'Art. 6(1) (composant de sécurité d'un dispositif médical) et de l'Annex III, point 5(a) (accès à des services essentiels). Documenter la destination prévue de chaque système avec une précision suffisante pour étayer les décisions de classification au titre du règlement sur l'IA et du MDR/IVDR. Solliciter un conseil juridique spécialisé en réglementation pour évaluer les outils ADC en zone grise.
Étape 2 : Planification de la double évaluation de conformité
Pour chaque système d'IA à haut risque qui est également un dispositif médical, identifier la voie d'évaluation de conformité MDR/IVDR applicable et déterminer si l'organisme notifié désigné est également accrédité au titre du règlement sur l'IA. Planifier l'évaluation de conformité comme une procédure intégrée dans la mesure du possible afin de réduire les doublons.
Étape 3 : Gouvernance des données et alignement avec le GDPR
Auditer les jeux de données d'entraînement et de validation des systèmes d'IA en santé. Documenter les bases juridiques au titre de l'Art. 9(2) du GDPR pour toutes les données de santé utilisées dans le développement des modèles. Établir des procédures de gouvernance des données au titre de l'Art. 10 du règlement sur l'IA et s'assurer que celles-ci se reflètent dans la documentation technique requise par l'Annex IV.
Étape 4 : Protocoles de surveillance humaine
Concevoir et mettre en œuvre des mécanismes de surveillance humaine au titre de l'Art. 14 pour chaque déploiement d'IA à haut risque. La surveillance doit être opérationnellement réaliste : elle exige du personnel formé, des mécanismes d'intervention accessibles et une intégration dans le flux de travail — et non une simple case à cocher. Pour les contextes d'urgence soumis à une pression temporelle, la conception du dispositif de surveillance requiert une attention particulière.
Étape 5 : Intégration de la surveillance après commercialisation
Concevoir un système de surveillance après commercialisation qui satisfait à la fois aux exigences de l'Annex III du MDR (SUCC) et de l'Art. 72 du règlement sur l'IA. Établir des procédures de signalement des incidents conformes aux délais de vigilance MDR (Art. 87 : incidents graves signalés dans les 15 jours) et au signalement des incidents graves au titre de l'Art. 73 du règlement sur l'IA.
Étape 6 : Diligence raisonnable du déployeur
Les établissements de santé qui acquièrent des outils d'IA diagnostique ou ADC auprès de tiers devraient exiger des fournisseurs qu'ils produisent la déclaration UE de conformité, les instructions d'utilisation et un résumé de la documentation technique. Les contrats d'achat devraient préciser les obligations de conservation des journaux, les responsabilités en matière de signalement des incidents et les limites du périmètre d'utilisation autorisé afin d'éviter une requalification involontaire en fournisseur.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Non. Les évaluations de conformité au titre du MDR et de l'IVDR, d'une part, et l'évaluation de conformité au titre du règlement sur l'IA, d'autre part, constituent des obligations juridiques distinctes qui s'appliquent en parallèle. Un système d'IA intégré dans un dispositif médical de classe IIb doit satisfaire aux deux cadres réglementaires de manière indépendante. Lorsqu'un organisme notifié est déjà impliqué au titre du MDR ou de l'IVDR, cet organisme peut également être désigné comme organisme notifié au titre du règlement sur l'IA, permettant ainsi une évaluation coordonnée, mais le respect intégral des deux cadres demeure obligatoire.
Pas automatiquement. La classification dépend de la fonction et du niveau d'autonomie de l'outil. Si le système d'IA remplace ou se substitue substantiellement au jugement clinique — par exemple, en déterminant de manière autonome un diagnostic ou en prescrivant un traitement — il est plus susceptible d'être qualifié de haut risque au titre de l'Annex III ou de composant de sécurité d'un dispositif médical au titre de l'Art. 6(1). Si le système se contente de signaler ou de filtrer des informations à l'intention d'un clinicien qui conserve l'entière autorité décisionnelle, il peut ne pas relever de la définition du haut risque, à condition qu'il ne satisfasse pas à d'autres critères de l'Annex III.
L'Art. 10 du règlement sur l'IA exige que les jeux de données d'entraînement, de validation et de test soient soumis à des pratiques de gouvernance des données couvrant leur origine, les méthodes de collecte, les biais connus et la représentativité. Pour les systèmes d'IA en santé, cette obligation se croise avec le GDPR Art. 9, qui classe les données de santé comme données de catégorie particulière et impose une base juridique explicite — généralement le consentement explicite ou une dérogation au titre de l'Art. 9(2)(h) ou (j) — pour leur traitement. Les fournisseurs doivent documenter la composition des jeux de données dans la documentation technique requise par l'Annex IV et démontrer que les données d'entraînement n'introduisent pas de biais systématique susceptible de compromettre la précision diagnostique à travers les sous-populations de patients.
Les hôpitaux agissant en qualité de déployeurs de systèmes d'IA à haut risque au titre de l'Art. 26 doivent : vérifier que le système d'IA porte le marquage CE et dispose d'une déclaration UE de conformité ; mettre en œuvre les instructions d'utilisation du fournisseur ; confier les responsabilités de surveillance humaine à du personnel clinique qualifié ; conserver les journaux de fonctionnement du système pendant au moins six mois ; et signaler les incidents graves ou les dysfonctionnements au fournisseur et, lorsque la sécurité des patients est en cause, aux autorités sanitaires compétentes conformément aux règles de vigilance MDR applicables. Les déployeurs ne peuvent pas modifier les systèmes d'IA à haut risque d'une manière qui altère leur destination prévue sans déclencher des obligations de réévaluation.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.