Javascript is required
logo-dastralogo-dastra

AI Act et la santé : ce que le nouveau règlement européen change

AI Act et la santé : ce que le nouveau règlement européen change
Marine Boquien
Marine Boquien
20 mai 2026·11 minutes de lecture

L'AI Act constitue le premier cadre réglementaire de l'Union européenne spécifiquement dédié à l'intelligence artificielle. Ce règlement européen vise à encadrer le développement et l'utilisation des systèmes d'IA selon une approche fondée sur le niveau de risque, afin de favoriser l'innovation tout en garantissant la sécurité et la protection des citoyens au sein du marché européen.

Les quatre niveaux de risque du règlement

Ce règlement distingue quatre catégories de risque :

  • Risque inacceptable : systèmes interdits en raison de leurs effets potentiellement nuisibles, notamment lorsqu'ils manipulent les comportements.
  • Risque élevé : systèmes utilisés dans des domaines sensibles ou critiques, dont de nombreuses applications en e-santé. Ces solutions sont classifiées à haut risque et soumises aux obligations les plus strictes.
  • Risque limité : systèmes soumis principalement à des obligations de transparence.
  • Risque minimal : usages autorisés dans un environnement largement permissif.

Dans le secteur de la santé, de nombreux outils (systèmes d'aide au diagnostic, solutions d'aide à la décision clinique, dispositifs de suivi des patients) sont susceptibles d'être qualifiés de systèmes d'IA à haut risque. À ce titre, ils devront respecter des exigences strictes en matière de gestion des risques, de qualité des données, de documentation, de contrôle humain et de conformité réglementaire.

Un impact majeur pour l'e-santé et la santé publique

Le secteur de l'e-santé est l'un des plus exposés au champ d'application de l'AI Act, et ce pour des raisons qui tiennent tant à la nature des données traitées qu'à la criticité des usages concernés.

En premier lieu, les systèmes d'IA en santé reposent sur des données à caractère particulièrement sensible au sens de l'article 9 du RGPD, dont le traitement est désormais doublement encadré par les dispositions de l'European Health Data Space (EHDS), lequel instaure un régime de gouvernance spécifique à l'échelle européenne.

En second lieu, les applications visées relèvent, pour la plupart, de la catégorie des systèmes d'IA à haut risque au sens de l'Annexe III de l'AI Act, et s'inscrivent, le cas échéant, dans le périmètre réglementaire des dispositifs médicaux soumis aux règlements MDR et IVDR. Cette double qualification génère des obligations cumulatives dont les acteurs de la santé numérique devront impérativement tenir compte.

Enfin, sur le plan des droits fondamentaux, l'AI Act consacre des exigences impératives en matière de transparence algorithmique, d'explicabilité des décisions automatisées et de protection des droits des patients; exigences qui s'articulent directement avec les principes de non-discrimination et de dignité de la personne.

L'objectif affiché par le législateur européen est sans ambiguïté : faire de l'Union le premier espace réglementaire garantissant une IA en santé sûre, maîtrisée et centrée sur l'intérêt du patient.

Pour la France, dont le cadre de régulation de la santé numérique est déjà relativement mature, l'AI Act viendra parachever et harmoniser les exigences nationales, en posant un socle commun applicable à l'ensemble des opérateurs du marché européen.

Pourquoi la santé est au centre de l'AI Act ?

Le secteur de la santé est l'un des plus réglementés au monde, et pour de bonnes raisons : les systèmes d'IA peuvent influencer directement la santé, la sécurité et parfois la vie des patients.

Quelques exemples courants d'AI in healthcare :

  • Analyse automatique d'imagerie médicale
  • Aide au diagnostic
  • Priorisation des patients aux urgences
  • Prédiction du risque de rechute ou de complications
  • Robots chirurgicaux assistés par IA
  • Outils de transcription et de résumé clinique
  • Assistants conversationnels médicaux

Lorsque ces systèmes participent à une décision clinique ou sont intégrés à un dispositif médical, ils sont très souvent classifiés à haut risque au sens des réglementations AI Act.

Quelles obligations impose le règlement AI Act ?

L'AI Act prévoit un ensemble d'exigences strictes pour les acteurs qui développent, intègrent ou déploient des solutions d'intelligence artificielle. Sont notamment concernés les startups de la healthtech, les éditeurs de logiciels, les fournisseurs de modèles, les intégrateurs de systèmes ainsi que les établissements de santé utilisant des outils d'IA.

Les systèmes d'IA classifiés à haut risque doivent répondre à des obligations structurées :

  1. Système de gestion des risques  : identifier les dangers potentiels, évaluer leur gravité et mettre en place des mesures de réduction tout au long du cycle de vie du système.
  2. Gouvernance des données : garantir la qualité, la représentativité et la pertinence des données d'entraînement, de validation et de test, afin d'éviter tout biais excessif.
  3. Documentation technique : décrire l'architecture, les performances, les limitations, les tests et les contrôles pour démontrer la conformité aux exigences réglementaires.
  4. Journalisation : conserver des logs permettant d'analyser les décisions du système et de signaler les incidents éventuels dans le cadre du suivi post-commercialisation.
  5. Transparence : informer clairement les utilisateurs sur les capacités et les limites du système.
  6. Contrôle humain : prévoir une intervention humaine significative à chaque étape critique, obligatoire pour certains usages à haut risque.
  7. Robustesse, précision et cybersécurité : tester la fiabilité du système et sa résistance aux incidents.

Ces exigences s'appliquent également aux modèles d'IA à usage général (GPAI), dont les applications se multiplient dans l'e-santé.

Pourquoi les solutions de santé sont souvent classifiées à haut risque

La qualification de système d'IA à haut risque au sens de l'AI Act repose sur une appréciation combinée de la finalité du système et de son contexte de déploiement. En matière de santé, quatre critères conduisent, dans la grande majorité des cas, à cette classification :

  • Le système constitue un composant de sécurité d'un produit réglementé soumis à la législation d'harmonisation de l'Union, au sens de l'Annexe I de l'AI Act.
  • Il est intégré à un dispositif médical relevant du règlement MDR (UE) 2017/745 ou IVDR (UE) 2017/746, auquel cas la double conformité s'impose, les deux corps de règles se superposant sans se substituer l'un à l'autre.
  • Il conditionne ou influence directement un acte de diagnostic, un protocole thérapeutique ou une décision clinique, y compris lorsqu'il n'agit qu'en amont de la décision du praticien.
  • Il est de nature à affecter significativement la sécurité des patients, quand bien même son action serait indirecte ou probabiliste.

La grille de lecture qui en résulte peut être synthétisée comme suit :

Solution Classification probable
IA d'aide à l'interprétation de l'imagerie radiologique Haut risque : dispositif médical de classe IIa ou IIb + Annexe III AI Act
Algorithme de triage hospitalier aux urgences Haut risque : impact direct sur la sécurité des patients
Assistant de résumé clinique sans portée décisionnelle Variable : dépend du degré d'autonomie et de l'intégration au dossier patient
Chatbot administratif de prise de rendez-vous Risque limité : aucune incidence clinique directe

L'articulation entre l'AI Act et le RGPD : une complémentarité structurelle

L'entrée en vigueur de l'AI Act ne saurait occulter le rôle fondamental que continue d'exercer le Règlement Général sur la Protection des Données (UE) 2016/679 dans l'encadrement des systèmes d'IA en santé. Ces deux corpus normatifs ne se substituent pas l'un à l'autre : ils opèrent sur des objets distincts mais convergents, et leur application est nécessairement cumulée.

Le RGPD, socle incontournable du traitement des données de santé

Les données de santé constituent, au sens de l'article 9 du RGPD, une catégorie particulière de données à caractère personnel dont le traitement est, par principe, interdit, sauf à satisfaire l'une des exceptions limitativement énumérées. Dans le contexte de l'IA en santé, plusieurs conditions de licéité s'imposent simultanément :

  • l'identification d'une base légale appropriée parmi celles prévues à l'article 6, combinée à une dérogation spécifique au titre de l'article 9 : le consentement explicite, la nécessité aux fins de médecine préventive ou de médecine du travail, ou encore l'intérêt public dans le domaine de la santé publique ;
  • une information transparente des personnes concernées, conformément aux articles 13 et 14, incluant les finalités du traitement algorithmique et l'existence éventuelle d'une prise de décision automatisée ;
  • la réalisation d'une analyse d'impact relative à la protection des données (DPIA) au titre de l'article 35, systématiquement requise dès lors que le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (ce qui est présumé pour tout traitement à grande échelle de données de santé, a fortiori lorsqu'il recourt à des technologies d'IA) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées garantissant un niveau de sécurité adapté au risque ;
  • un encadrement rigoureux de la relation de sous-traitance par voie contractuelle, conformément à l'article 28, incluant des clauses spécifiques relatives aux conditions de traitement des données par les prestataires technologiques.

Une complémentarité fonctionnelle, non une redondance

L'AI Act et le RGPD poursuivent des objectifs distincts, mais s'inscrivent dans une logique commune de protection des droits fondamentaux. Schématiquement : l'AI Act gouverne la sécurité, la robustesse et la gouvernance des systèmes d'IA tout au long de leur cycle de vie ; le RGPD régit la licéité, la proportionnalité et la sécurité des traitements de données personnelles qui alimentent ou résultent de ces systèmes.

Comment les entreprises peuvent-elles se préparer à l'AI Act ?

Pour anticiper l’application progressive du règlement sur l’IA, les acteurs de l’e-santé doivent agir dès maintenant.

Ils doivent lancer un processus structuré de conformité. Les principales priorités sont les suivantes :

  1. Cartographier l'ensemble des systèmes d'IA et déterminer leur niveau de risque.
  2. Évaluer l'impact du règlement IA sur chaque cas d'usage.
  3. Intégrer les exigences de gouvernance, de traçabilité et de conformité dès la phase de conception.
  4. Encadrer les relations avec les prestataires, partenaires et sous-traitants.
  5. Vérifier la qualité des données et mettre en place des mécanismes de détection et de réduction des biais.
  6. Préparer la documentation technique requise par la réglementation.
  7. Organiser un dispositif de surveillance post-commercialisation.
  8. Coordonner avec les organismes notifiés lorsqu'une certification est requise.

L'objectif est de construire une stratégie d'intelligence artificielle durable, responsable et pleinement alignée avec les exigences de l'Union européenne.

Quelles sont les sanctions prévues par l’AI Act ?

Les sanctions prévues par l'AI Act vont de 1 % à 7 % du chiffre d'affaires annuel mondial de l'organisation, ou sont déterminées à partir de montants seuils allant de 7,5 à 35 millions d'euros d'amende.

Au-delà des sanctions financières, les dangers incluent :

  • suspension ou retrait du marché ;
  • perte de confiance des patients et des professionnels ;
  • blocage de projets innovants ;
  • responsabilité juridique accrue.

Découvrez la plateforme Privacy, AI & Compliance Dastra !

FAQ : AI Act Healthcare

L'AI Act concerne-t-il les solutions d'IA en santé ? Oui. La plupart des outils d'aide au diagnostic, à la décision clinique ou au suivi des patients sont susceptibles d'être classifiés à haut risque.

Quelles obligations pour les entreprises de l'e-santé ? Les entreprises doivent mettre en place un système de gestion des risques, garantir la qualité des données, assurer la transparence, prévoir un contrôle humain et constituer une documentation technique complète.

L'AI Act s'applique-t-il aux startups healthtech ? Oui. Les startups, éditeurs de logiciels, fournisseurs de modèles d'IA et établissements de santé sont concernés dès lors qu'ils développent ou utilisent des systèmes d'IA, notamment des AI-enabled medical devices. Des dispositions spécifiques de soutien aux PME sont prévues par le règlement, notamment l'accès aux regulatory sandboxes, mais elles ne sauraient dispenser de la mise en conformité.

Marine Boquien

Voyez Dastra en action

En quelques minutes, planifiez une démo personnalisée et découvrez comment Dastra peut s’adapter à votre organisation.

Demander une démo
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.