La révolution de l'IA dans le secteur de la santé ouvre une nouvelle ère d'innovation médicale. Pour autant, il est essentiel de veiller à ce que les outils d'IA respectent des normes favorisant l'éthique, la transparence et la fiabilité.
L'utilisation de l’intelligence artificielle dans le secteur de la santé est déjà en train de redéfinir la manière dont les maladies sont détectées, les traitements développés et les patients pris en charge. Des progrès considérables ont été réalisés dans le domaine de la radiologie où l'IA permet d'obtenir des diagnostics d'une précision inégalée, mais également dans le domaine de la recherche pharmaceutique où les modèles d'apprentissage automatique raccourcissent les cycles de développement.
Le cadre juridique et réglementaire évolue rapidement pour s'adapter à ces changements, avec notamment l’entrée en vigueur du règlement sur l’intelligence artificielle (RIA) et une déclinaison - par les autorités en charge de la protection des données - des principes du RGPD aux spécificités de l’IA. Parallèlement des réglementations sectorielles, telles que le règlement sur les dispositifs médicaux, viennent compléter ce cadre de gouvernance.
L’état des lieux des actions engagées en matière d'intelligence artificielle en santé pour accélérer l'innovation, publié par le ministère de la Santé en février 2025, insiste sur quatre domaines majeurs : prévention, prise en charge, accès aux soins et cadre propice pour le développement des usages de l'IA en santé. Ces axes, déjà prévus par la feuille de route du numérique en santé 2023-2027, ont tous pour base commune la confiance : celle des patients tout comme celle des professionnels de santé.
Comment le règlement sur l’IA permet-il d’instaurer une IA de confiance ?
Les systèmes d'IA à haut risque, visés par le RIA, incluent expressément les systèmes d'IA qui ont « une incidence préjudiciable substantielle sur la santé », tels que les « systèmes de tri des patients admis dans les services de santé d’urgence » ou les dispositifs médicaux (DM) et dispositifs de diagnostic in vitro (DDV) dès lors qu’ils nécessitent une évaluation de conformité par un tiers.
Pour ces systèmes d'IA à haut risque, le RIA impose des exigences supplémentaires et notamment des obligations de transparence et d'explicabilité, garantissant que les résultats générés par l'IA restent interprétables par les professionnels de santé. Les articles du RIA relatifs à la « Transparence », notamment l’article 13 pour les systèmes à haut risque, renvoient au fait que les systèmes d’IA sont développés et utilisés de manière à permettre « une traçabilité et une explicabilité appropriées » (considérant 27 du RIA). Les systèmes de gestion des risques (article 9 du RIA) et le contrôle humain (article 14 du RIA) sont nécessaires pour prévenir les erreurs dans des situations très critiques pour la vie et la santé des personnes.
Une réglementation qui favorise la recherche - Si la règlementation sur l’IA est très stricte quant aux exigences à respecter par les systèmes à haut risque, le législateur européen n’a pas pour autant entendu imposer un cadre réglementaire trop strict dans le secteur de la recherche scientifique. Ainsi, le RIA ne s’applique pas aux systèmes d’IA spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques (article 2.6 du RIA). De même, ce règlement ne s’applique pas aux activités de recherche, d’essai et de développement relatives à ces systèmes avant leur mise sur le marché, à l’exception des essais en conditions réelles (article 2.8 du RIA).
Quelle articulation entre le RIA et la réglementation spécifique aux dispositifs médicaux ?
Une classification fondée sur les risques - Si le RIA considère automatiquement comme système d’IA à haut risque les dispositifs médicaux intégrant de l'IA lorsqu’ils nécessitent une évaluation de conformité par un tiers, le règlement sur les dispositifs médicaux (RDM) (UE) 2017/745 et le règlement sur les dispositifs médicaux de diagnostic in vitro (RDMIV) (UE) 2017/746 classent les dispositifs médicaux en fonction du risque clinique. Les logiciels basés sur l'IA, s’ils sont qualifiés de dispositifs médicaux1 (Software as a Medical Device – SaMD), sont soumis à une classification fondée sur les risques, les applications à risque moyen à élevé faisant l'objet d'un contrôle réglementaire plus strict.
Des exigences renforcées pour les dispositifs médicaux intégrant de l'IA - L'obtention du marquage CE, qui atteste de la conformité aux normes européennes des dispositifs médicaux, devient plus complexe à obtenir pour les dispositifs intégrant de l'IA. Les fabricants doivent désormais répondre à des exigences doubles, en se conformant à la fois au règlement sur l’IA et aux réglementations sectorielles applicables aux dispositifs médicaux. Par ailleurs, les obligations de surveillance après la mise sur le marché, prévues par le RIA et le RDM, exigent un suivi continu des performances de l'IA après son déploiement.
Un processus d'évaluation unique - Dans un souci de cohérence, et afin d’éviter des procédures administratives et des coûts inutiles, le règlement sur l'IA facilite la double évaluation de la conformité des dispositifs médicaux intégrant de l’IA, en permettant aux fabricants de se soumettre à un processus d'évaluation unique, à condition que l'organisme d'évaluation notifié soit agréé par les deux règlements (article 43.3 du RIA).
Comment adapter le RGPD aux spécificités de l’IA dans le secteur de la santé ?
Les systèmes d’IA en santé s'appuient parfois sur des collectes et traitements de données à grande échelle pour entraîner l’IA et améliorer la précision et la fiabilité des résultats pour les patients. Cependant, l'utilisation de données de santé soulève de nombreuses questions tant juridiques qu’éthiques.
En effet, les données de santé étant classées comme des données sensibles au sens de l'article 9 du RGPD, leur traitement est en principe interdit, sauf exception. Le développement de l'IA dans le secteur de la santé doit se fonder sur une base juridique valable pour le traitement de ces données (art. 6 RGPD) et une dérogation valable à l’interdiction de traitement (art. 9 RGPD).
En ce sens également, le Comité européen de la protection des données (CEPD) a considéré que l’intérêt légitime peut constituer une base légale valable pour l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA au sens de l’article 6. Si la base légale pour entraîner un modèle d’IA peut être l’intérêt légitime, encore faut-il être en mesure de démontrer et de documenter ce choix. Par ailleurs, le CEPD ne s’est pas encore positionné sur les modèles d’IA dans le secteur de la santé. Sera-t-il nécessaire de passer par l’obtention du consentement explicite des personnes au sens de l’article 9 ? Est-ce que l’intérêt de santé publique constituera dans ce cas une exception valable ?
De nombreuses questions restent en suspens, pour lesquelles il faudra attendre des précisions de la CNIL ; celle-ci a déjà publié ses premières recommandations sur l’application du RGPD au développement des systèmes d’IA et a commencé à préciser sa doctrine sur le sujet à travers de récentes décisions (ex : CNIL décision Hydro 2, n° DR-2024-293, 2 déc. 2024).
De façon générale, des garanties telles que la minimisation des données et la pseudonymisation devraient guider les développeurs de systèmes d’IA en santé dans leur mise en conformité. Par ailleurs, des innovations telles que l'apprentissage fédéré et des techniques comme l'anonymisation avancée, le chiffrement et la génération de données synthétiques tendent à améliorer la précision des modèles tout en limitant le traitement des données à caractère personnel.
Un cadre juridique simplifié favorable au développement de l'IA dans le domaine de la santé
L’abandon récent de la directive européenne sur la responsabilité en matière d'IA a rassuré les acteurs du marché , inquiets qu’on leur impose des contraintes juridiques excessives freinant l’innovation.
La responsabilité liée à l'IA est désormais traitée dans la directive sur la responsabilité du fait des produits et dans le RIA, qui créent un cadre juridique responsabilisant les acteurs. Cette approche simplifiée encadre les questions de responsabilité tout en évitant les chevauchements réglementaires qui auraient pu résulter d'une directive européenne additionnelle.
La réglementation de l’IA dans le secteur de la santé doit trouver un juste équilibre. Une réglementation excessive est contre-productive et risquerait de ralentir les investissements et par conséquent l'innovation à un moment où l'Europe entend devenir leader dans le domaine des soins de santé basés sur l'IA.
Article paru dans Option finance le 7 mai 2025
