Quels systèmes d’intelligence artificielle sont réellement concernés à l’hôpital
À moins d’un mois de l’échéance du 2 août 2026 pour l’application complète du règlement (UE) 2024/1689 sur l’intelligence artificielle, la question n’est plus théorique pour les directions d’hôpital. Ce cadre européen vise d’abord les systèmes d’intelligence artificielle utilisés pour l’aide au diagnostic en imagerie médicale, la priorisation aux urgences et l’aide à la prescription médicamenteuse, classés comme systèmes d’IA à haut risque à l’annexe III du règlement (UE) 2024/1689. Chaque système d’IA clinique doit être cartographié comme système à haut risque ou comme système à risque limité, avec une analyse de gestion des risques documentée, opposable et mise à jour pendant tout le cycle de vie du dispositif.
Concrètement, les dispositifs médicaux logiciels d’aide à l’interprétation d’imagerie médicale, les outils de triage aux urgences et les moteurs de prescription sont des dispositifs médicaux à haut niveau de risque au sens du règlement IA, tels que décrits à l’annexe III, point 5. Ces dispositifs médicaux s’ajoutent aux systèmes de support à la décision en réanimation, aux algorithmes de prédiction de décompensation et aux outils de priorisation des examens d’imagerie, qui relèvent aussi de la catégorie de système à haut risque ou de système à risque limité selon leur impact sur les droits fondamentaux des patients et sur la sécurité des soins. Pour chaque dispositif médical ou pour chaque famille de dispositifs médicaux, l’établissement doit qualifier le niveau de risque, vérifier la conformité aux exigences essentielles (gouvernance des données, robustesse, transparence) et organiser une supervision humaine continue, avec des responsabilités clairement attribuées.
Les directions des systèmes d’information doivent donc établir un inventaire exhaustif des systèmes d’intelligence artificielle déjà en production et de ceux en cours de mise sur le marché par les fournisseurs. Cet inventaire doit distinguer les usages purement administratifs de la santé, comme l’optimisation de planning ou la gestion des lits, des usages médicaux qui influencent directement une décision clinique ou un parcours de soins, car seuls ces derniers relèvent des obligations de supervision humaine prévues par le règlement IA pour les systèmes à haut risque. Pour chaque usage médical, la DSI doit exiger une documentation technique complète, incluant l’évaluation de conformité, la gestion des risques, les modalités de surveillance humaine, les engagements de transparence du fournisseur et, le cas échéant, les références aux articles pertinents du règlement (par exemple articles 9, 10, 14 et 29).
À titre opérationnel, le champ « inventaire IA » peut comporter au minimum : l’identification du système (nom, version, éditeur), la finalité clinique, la qualification de risque (haut risque ou risque limité au sens de l’annexe III), le service utilisateur, le référent médical, le référent DSI, le statut de conformité (évaluation réalisée, en cours ou non démarrée), la date de dernière revue de risques et les modalités de supervision humaine prévues. Un modèle simple de traçabilité peut consigner, pour chaque système, les incidents déclarés, les décisions de suspension ou de désactivation, les mises à jour logicielles, les comptes rendus de RCP intégrant l’IA et les échanges avec le fournisseur, afin de démontrer la conformité continue au règlement (UE) 2024/1689.
Supervision humaine opérante : exigences de l’article 14 et modèles organisationnels
L’article 14 du règlement sur l’intelligence artificielle ne se contente pas d’exiger une supervision humaine formelle, il impose une supervision humaine réellement opérante, documentée et traçable. La supervision humaine signifie que le professionnel de santé garde la main sur la décision médicale, peut désactiver le système en cas de doute, comprend les limites du système à haut risque et peut contester la recommandation algorithmique, ce qui engage directement la responsabilité médicale et la sécurité des patients. La surveillance humaine doit être organisée, outillée et intégrée aux procédures de soins (protocoles, RCP, check-lists), faute de quoi la conformité affichée reste théorique et expose l’établissement à un risque juridique majeur en cas d’incident grave.
Pour répondre à l’article 14, les établissements doivent notamment :
- définir clairement les situations cliniques où l’IA peut être utilisée et celles où elle doit être écartée ;
- prévoir des mécanismes simples de désactivation ou de contournement du système en cas de doute ;
- former les professionnels à l’interprétation critique des résultats et aux limites du modèle ;
- documenter les décisions médicales prises avec ou sans recours à l’IA dans le dossier patient ;
- mettre en place un registre des incidents et des quasi-événements liés à l’IA, avec analyse systématique.
Trois modèles se dessinent pour répondre aux exigences de supervision humaine dans les établissements de santé français. Le premier repose sur un référent IA par service médical, chargé de coordonner la supervision humaine, de suivre les incidents, de piloter la gestion des risques et de dialoguer avec le fournisseur sur les mises à jour, les changements de version et la mise en conformité continue. Le deuxième modèle crée un coordinateur IA clinique transversal, souvent rattaché à la CME, qui harmonise les pratiques entre services, structure la documentation technique, supervise l’évaluation de conformité et veille à la cohérence avec le RGPD, la protection des données de santé et les recommandations nationales (HAS, ANSM) sur les dispositifs médicaux logiciels.
Le troisième scénario, particulièrement pertinent dans les GHT, consiste à mutualiser la gouvernance de l’intelligence artificielle à l’échelle du groupement, avec une cellule dédiée à la supervision humaine et à la surveillance des systèmes à haut risque. Cette cellule peut centraliser la gestion des risques, la revue des incidents, la relation avec chaque fournisseur et la préparation des audits de conformité, tout en respectant les spécificités de chaque établissement et de chaque pôle médical. Dans tous les cas, le DPO et la CME doivent être intégrés au dispositif, notamment pour articuler les exigences du règlement IA avec le RGPD, la protection des données patients et les obligations déontologiques liées aux droits fondamentaux en santé, en s’appuyant sur un calendrier de mise en conformité jalonné jusqu’au 2 août 2026.
Pour les directions des soins et les DRH, ces modèles ont des implications budgétaires et en compétences qu’il faut anticiper dès maintenant. La mise en conformité ne se limite pas à un acte juridique ponctuel, elle suppose des temps médicaux dédiés, une formation structurée des équipes et parfois la création de postes nouveaux pour piloter la supervision humaine et la surveillance des systèmes à haut risque. Les plans de formation doivent intégrer les enjeux de transparence, de documentation technique, de gestion des risques et de responsabilité médicale, au même titre que les référentiels de formation continue sur l’imagerie médicale ou sur la revalorisation de spécialités, comme le montre l’analyse de la revalorisation de six spécialités médicales dans la politique de santé.
Actions prioritaires avant le 2 août 2026 :
- finaliser l’inventaire des systèmes d’IA cliniques et leur classification au regard de l’annexe III ;
- désigner les référents IA (par service, CME ou GHT) et formaliser leurs missions ;
- mettre à jour les protocoles de soins pour intégrer la supervision humaine exigée par l’article 14 ;
- déployer un registre de traçabilité des usages, incidents et décisions liées aux systèmes à haut risque ;
- planifier les formations ciblées pour les équipes médicales, soignantes et DSI.
Obligations des déployeurs, rôle de la DSI et risques en cas de non-conformité
L’article 26 du règlement IA cible directement les déployeurs, c’est-à-dire les hôpitaux qui acquièrent et mettent en service des systèmes d’intelligence artificielle fournis par des éditeurs tiers. Le déployeur ne peut plus se retrancher derrière le marquage CE ou la certification du fournisseur, il doit vérifier la conformité effective du système, documenter la mise en conformité locale et organiser la supervision humaine dans ses propres processus de soins. Cette responsabilité s’ajoute aux obligations classiques de sécurité des systèmes d’information, de conformité au RGPD et de protection des données de santé hébergées chez un prestataire disposant d’une certification HDS, avec une traçabilité des accès et des traitements.
En pratique, la DSI doit exiger de chaque fournisseur une documentation technique complète, incluant la description du système à haut risque, le niveau de risque identifié, les mesures de gestion des risques et les mécanismes de transparence prévus pour les professionnels de santé. Cette documentation doit être croisée avec les politiques internes de sécurité, les procédures de gestion des incidents et les exigences de la CME en matière de qualité des soins, afin de garantir une mise en œuvre réellement opérationnelle des obligations de supervision humaine. Les données patients utilisées pour l’apprentissage ou le réentraînement local doivent faire l’objet d’une analyse d’impact RGPD, en lien étroit avec le DPO et avec les équipes cliniques concernées, en particulier lorsque des données sensibles sont transférées vers un hébergeur de données de santé.
Pour se conformer à l’article 26, un checklist opérationnel peut être utilisé par les déployeurs :
- vérifier que le système est correctement qualifié (haut risque ou risque limité) et référencé à l’annexe III ;
- obtenir et archiver l’évaluation de conformité fournie par l’éditeur, ainsi que les rapports d’essais cliniques ;
- documenter l’intégration locale (paramétrages, interfaces, jeux de données utilisés, profils d’utilisateurs) ;
- formaliser les procédures de supervision humaine (qui valide, qui peut désactiver, comment tracer la décision) ;
- réaliser une analyse d’impact relative à la protection des données (AIPD) lorsque le traitement l’exige ;
- prévoir un calendrier de revues périodiques (au moins annuelle) de la performance, des biais et des incidents.
Les sanctions en cas de non-respect du règlement peuvent atteindre plusieurs millions d’euros, mais le risque le plus critique reste l’atteinte aux droits fondamentaux des patients et la perte de confiance dans l’usage médical de l’intelligence artificielle. Un incident grave lié à un système à haut risque mal supervisé peut conduire à une suspension de la mise sur le marché du dispositif médical, à une remise en cause de la responsabilité médicale et à une crise de confiance durable dans l’établissement, comme l’ont montré d’autres crises organisationnelles récentes documentées dans l’analyse sur la Loi Rist et la fermeture de lits en milieu rural. Pour les hôpitaux qui structurent déjà leurs filières d’imagerie et de données de santé, les retours d’expérience sur la diffusion de l’imagerie médicale dans un territoire comme le Loire Forez offrent des repères concrets pour articuler gouvernance des données, sécurité HDS, supervision humaine et usage responsable des systèmes d’intelligence artificielle.
Un calendrier de mise en conformité réaliste jusqu’au 2 août 2026 peut s’articuler en trois étapes : d’abord, d’ici quelques mois, finaliser l’inventaire, la classification des systèmes et l’identification des référents. Ensuite, avant la fin de l’année, sécuriser la documentation de conformité, les analyses d’impact et les procédures de supervision humaine pour chaque système à haut risque. Enfin, dans les derniers mois, tester les dispositifs en conditions réelles, ajuster les protocoles, former les équipes et préparer les audits internes ou externes, afin d’aborder l’échéance réglementaire avec une gouvernance de l’IA hospitalière robuste et crédible.