IA dans la santé en France : obligations réglementaires pour les établissements et éditeurs

Points clés

• Les logiciels IA d'aide au diagnostic et à la décision médicale sont des dispositifs médicaux (DM) au sens du règlement européen MDR 2017/745 — ils requièrent un marquage CE spécifique avant commercialisation.
• L'ANSM (Agence nationale de sécurité du médicament et des produits de santé) supervise les DM logiciels en France — des obligations de vigilance, de mise à jour et de matériovigilance s'appliquent.
• Le traitement de données de santé à des fins de recherche ou de IA nécessite une autorisation spécifique de la CNIL et un hébergement sur des plateformes HDS (Hébergeur de Données de Santé) certifiées.
• La Loi IA de l'UE classe les systèmes d'IA dans les dispositifs médicaux comme 'haut risque' — des obligations d'évaluation de conformité et de documentation technique s'appliquent.
• Le Health Data Hub (HDH) et les entrepôts de données de santé créent des opportunités d'accès aux données pour l'entraînement IA, dans un cadre réglementé par la CNIL et le référentiel SNDS.

La spécificité de l'IA médicale en France

L'IA dans la santé française opère dans un environnement réglementaire parmi les plus complexes d'Europe : règlement MDR européen sur les dispositifs médicaux, supervision ANSM, certification HDS pour l'hébergement, réglementation CNIL sur les données de santé, et maintenant la Loi IA de l'UE. Chaque couche réglementaire est indépendante et cumulative — la conformité MDR ne dispense pas des obligations Loi IA.

Dispositif médical logiciel (SaMD) et marquage CE

Un logiciel d'IA est qualifié de dispositif médical (Software as a Medical Device, SaMD) lorsqu'il est destiné à être utilisé à des fins médicales — diagnostic, prévision, surveillance, traitement ou atténuation d'une maladie. La qualification SaMD implique l'application du règlement MDR 2017/745, qui exige un marquage CE, des procédures de gestion du risque, une documentation technique complète, et selon la classe du dispositif, l'intervention d'un organisme notifié.

La principale difficulté pour les systèmes IA est la gestion des mises à jour algorithmiques : une modification substantielle du modèle peut nécessiter une réévaluation de conformité. Le MDCG (Medical Device Coordination Group) a publié des orientations spécifiques sur les logiciels IA qui éclairent ce point.

Données de santé et HDS

Toute solution IA nécessitant l'hébergement de données de santé à caractère personnel doit recourir à un hébergeur certifié HDS (Hébergeur de Données de Santé). La liste des hébergeurs certifiés est publiée par l'ANS (Agence du Numérique en Santé). Cette exigence s'applique aux données hébergées en France — elle peut créer des contraintes pour les solutions cloud internationales qui ne disposent pas de certification HDS.