IA générative en santé : ce que le cadre réglementaire impose vraiment

Le cadre réglementaire applicable à l'IA en santé est souvent confondu avec celui des dispositifs médicaux. Cette confusion bloque de nombreux projets administratifs qui pourraient avancer rapidement, et freine l'innovation là où elle apporte le plus de valeur immédiate.

Or un agent IA administratif (tiers-payant, facturation, recouvrement, planning, documentation) n'est pas un dispositif médical et ne tombe pas sous le règlement MDR. Le critère est l'intention : un agent qui ne contribue pas à un diagnostic, à une décision thérapeutique ou à un traitement n'est pas un DM, même s'il manipule des données de santé.

Les textes qui s'appliquent réellement sont au nombre de quatre. Le RGPD encadre tout traitement de données personnelles, et impose des règles renforcées pour les données de santé (article 9). L'hébergement HDS s'applique dès qu'on stocke ou traite ces données. L'AI Act, en cours d'application, qualifie certains systèmes IA comme à haut risque, mais l'administratif y échappe largement. Et la doctrine CNIL précise les modalités opérationnelles.

Le RGPD impose pour les agents IA : une base légale claire (souvent l'intérêt légitime ou l'exécution d'un contrat), une minimisation des données traitées, une information transparente des personnes, et une analyse d'impact (AIPD) pour les traitements à risque élevé.

L'AIPD doit être conduite avant la mise en production et documenter les risques pour les personnes : risque de divulgation, risque de décision automatisée à effets significatifs, risque de réidentification. Pour la plupart des agents administratifs, ces risques sont faibles et l'AIPD reste légère.

L'hébergement HDS est non négociable. Tout fournisseur qui stocke ou traite des données de santé pour le compte d'un établissement doit être certifié HDS, ou s'appuyer sur un sous-traitant certifié. Cette exigence couvre aussi les modèles d'IA et les bases vectorielles.

L'AI Act qualifie comme à haut risque certains systèmes IA en santé, mais cible principalement les usages cliniques (triage, aide au diagnostic, gestion de l'urgence). Les systèmes administratifs ne sont généralement pas dans le périmètre haut risque, ce qui simplifie considérablement leur déploiement.

Comprendre cette frontière évite la sur-réglementation et débloque les déploiements. Beaucoup de projets administratifs sont aujourd'hui freinés par une lecture excessive du cadre, qui leur applique des contraintes pensées pour des dispositifs médicaux.

À l'inverse, certaines pratiques restent risquées même en administratif : entraîner un modèle sur des données patient sans base légale claire, transférer des données vers des modèles hors UE, ou prendre des décisions automatisées à fort impact sans supervision humaine.

Granit publie une grille de lecture pour qualifier en quelques minutes le niveau de risque réglementaire d'un agent administratif, avec les questions à poser au DPO et au RSSI avant de lancer un projet.