Patient lying on a high-tech medical bed with holographic health data and a medical professional using augmented reality interface
Accès au service numérique de santé / Accès aux données / de l'IA / données d'entrainement, Sécurité / Réglement sur l'IA

IA & Dispositifs médicaux du bloc opératoire augmenté : Une feuille de route réglementaire complexe à élaborer

Posted by

Episode 1 : Cadre réglementaire applicable aux DM du bloc opératoire augmenté : Compliance RIA/RDM/EHDS

Interaction entre le règlement sur l’IA, le règlement sur les DM et le règlement sur l’Espace Européen des données de Santé

Eléonore Scaramozzino, Avocate Constellation Avocats

L’Intelligence artificielle bouleverse la manière de soigner, de prévenir et de suivre le patient dans son parcours de soin. La capacité de l’IA à analyser les données de santé en temps réel et historiques en fait un outil puissant pour améliorer l’efficacité et la résilience des systèmes de santé En comparant les  données individuelles des patients  à des  centaines  de  cas  similaires  grâce à  l’IA,  le  système  peut  anticiper  les  complications  et  faciliter  une  prise  de  décision  proactive.

Diagramme illustrant l'application de l'IA en santé, incluant les domaines du diagnostic, de la planification des traitements, de l'administration, de l'analyse des risques et de la surveillance des patients.

L’IA en santé ne peut se développer que si une stratégie d’accès aux données est implémentée au niveau national et européen, ce qui nécessite l’harmonisation  réglementaire,  la  disponibilité  et  l’infrastructure  des  données,  la  transparence, la  validation des  données  probantes  et  leur  utilité  clinique,  ainsi  que  la  confiance dans ces dispositifs médicaux embarquant un système d’Intelligence artificielle.

Diagramme présentant quatre quadrants sur l'IA dans le secteur de la santé : 1) Harmonisation réglementaire des différents cadres réglementaires avec l'IA, 2) Disponibilité et infrastructure des données, 3) Confiance dans l'utilisation de l'IA et formation des professionnels de santé, 4) Évaluation des technologies de santé et validation des données.

En  intégrant  l’IA  prédictive  aux  opérations  hospitalières,  les  systèmes  de  santé peuvent  passer  d’une  gestion  réactive  des  crises  à  des  réponses  anticipatives  et  fondées  sur  les  données.  Cela  améliore  non  seulement  la  prise  en  charge  des  patients,  mais  permet  également  de  remédier  aux  pressions  systémiques  chroniques,  telles  que  la  pénurie  de  personnel  et  la  saturation  des  services  de  soins  intensifs,  grâce  à  une  utilisation  plus  judicieuse  des  ressources  disponibles. La  même  logique  s’applique  aux  soins  primaires,  où  l’optimisation  des  ressources  grâce  à  l’IA  pourrait  contribuer  à  gérer  l’augmentation  du  nombre  de  patients,  à  réduire  les orientations  inutiles  et  à  garantir  un  dépistage  et  une  prise  en  charge  plus  précoces des patients.  Une  telle  optimisation  des  processus  est  essentielle  pour  maintenir ses  systèmes  de  santé  publics.

Quel type d’IA en santé ?

Schéma illustrant les différentes branches de l'intelligence artificielle, incluant IA classique, machine learning, réseaux de neurones, deep learning, IA générative et IA agentique.

IA prédictive

En Santé, le machine learning, le deep learning et les réseaux de neurone sont adaptés au pronostic, diagnostic, aide à la décision.

A titre d’exemple,

  • AICCELERATE (Horizon 2020, 9,2 millions d’euros, 20212024) a développé un moteur de parcours de soins hospitaliers intelligent  qui  utilise  l’IA  pour  optimiser la  gestion  des  flux  de  patients  dans  les  services  d’urgence  et  de  chirurgie.  Ce  moteur  a  été  testé  dans  cinq  hôpitaux  européens ;
  • HosmartAI (Horizon 2020, 10  millions d’euros,  20212024)  a  créé  une  plateforme  d’intégration  ouverte  pour  le  déploiement  de  l’IA  et  de  la  robotique  dans  les  opérations  hospitalières,  avec  huit projets  pilotes  à  grande  échelle  couvrant  des  domaines  tels  que  les  maladies  cardiovasculaires,  le  diagnostic  du  cancer  et  la  réadaptation. 
  • l‘initiative  phare  EU4Health  sur  l’IA  et  les  données  de  santé  pour  la  santé  cardiovasculaire  (EU4H2026SANTEPJ04, 20 millions d’euros) soutiendra la validation et le  déploiement à grande échelle d’applications d’IA matures  pour
    •  la prédiction  des  risques,
    • le  dépistage  précoce,
    •  la  prévention  personnalisée,
    •  le  traitement  et  la  réadaptation  tout  au  long  du  continuum  de  soins  cardiovasculaires,

 tout  en  construisant  un  écosystème  européen  de  données  de  santé fiable. 

Le recours à l’IA agentique dans la santé

L’IA peut améliorer l’accès et la synthèse des connaissances médicales par les cliniciens, en les aidant à retrouver les données probantes, les recommandations et les directives personnalisées pertinentes au moment des soins. Les assistants virtuels d’IA générative destinées à soutenir les professionnels de santé, couvrant des cas d’usage allant de l’aide à la décision clinique à la recherche d’informations, sont financés notamment dans le cadre du projet européen dédié (GenAI4EU, HORIZON-HLTH-2025-01-CARE-01).

 1- Complexité du cadre réglementaire applicable aux DM à usage collectif utilisés dans les établissements de santé

Quelles réglementations doivent être respectées par les fournisseurs de SIA, les déployeurs et les établissements de santé qui peuvent être fournisseurs pour certaines technologies développées en interne et déployeurs lorsqu’ils les utilisent ?

Le  paysage  réglementaire  européen  de  l’IA  en  santé  comprend  à  la  fois  une  législation  transversale,  notamment  la  loi  sur  l’IA  et  la  directive  sur  la  responsabilité  du  fait  des  produits, réglement sur les données (DATA Act), le Réglement sur la gouvernance des données (DGA), la Directive NIS2 et  des  réglementations  spécifiques  au  secteur  de  la  santé,  telles  que  le  règlement  relatif  aux  dispositifs  médicaux  (RDM),  le  règlement  relatif  aux  dispositifs  médicaux  de  diagnostic  in  vitro  (RDMDIV),  le  règlement  relatif  à  l’évaluation  des  technologies  de  la  santé  (HTAR)  et  le  réglement sur l’espace européen des données de santé ( EEDS), le réglement sur la cyber résilience .

Diagramme illustrant les réglementations sur les dispositifs médicaux à usage collectif, avec des cercles colorés représentant différentes directives telles que la directive NIS2, le CRA, le RGPD et d'autres.

Ces  cadres  régissent  différents  aspects,  mais  interdépendants,  des  technologies  médicales  basées  sur  l’IA :

  • risques  algorithmiques  et  transparence, 
  • sécurité  des  produits ;
  •  performances  cliniques ;
  •  responsabilité  en  cas  de préjudice ;
  •  évaluation  de  la  valeur  clinique ;
  •  accès  aux  données  et  gouvernance. 

Les  développeurs  et  les  établissements  de  santé  doivent  se  conformer  à  ces  exigences. 

La  principale  difficulté  réside dans  leur  mise  en  œuvre  pratique.  Contrairement  à  la  FDA,  qui  propose  un  dialogue  structuré  et  précoce  entre  les  développeurs  et  les  autorités  de  réglementation,  le  système  européen  s’est  appuyé  sur  les  organismes  notifiés  pour  la  mise  en  œuvre  des  exigences  réglementaires,  sans  mécanisme  comparable  de  concertation  préalable  au  dépôt  des  dossiers.  L’interprétation  incohérente  des  exigences  du  règlement  relatif  aux  dispositifs  médicaux  (RDM)  par  les  organismes  notifiés  accentue  encore  cette  incertitude. 

Apport de la Révision du Règlement sur les dispositifs médicaux

Dans sa  proposition  de  décembre 2025  visant  à  réviser  le  Règlement sur les DM (Réglement UE 2017/745)  (COM(2025) 1023  final), la Commission européenne recommande l’instauration d’un  cadre  juridique  formel  pour  un  dialogue  structuré,  avant  et  après  soumission,  entre  les  fabricants  et  les  organismes  notifiés,  ainsi  qu’une  nouvelle  désignation  de  dispositif innovant  permettant  un  examen  prioritaire  et  une  prise  en  charge  réglementaire  précoce  des  technologies  innovantes .

2- RIA : DM du bloc opératoire augmenté qualifié de SIA à haut risque

RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n300/2008, (UE) n°167/2013, (UE) n°168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (RIA)

2.1- Définition d’un SIA selon l’article 3.1 du RIA

«système d’IA», un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Selon les lignes directrices de la Commission européenne :

Liste des 7 éléments principaux du SIA, comprenant un système automatisé, des niveaux d'autonomie, une capacité d'adaptation, des objectifs explicites ou implicites, des déductions à partir de données d'entrée, des prédictions de contenu et une influence sur les environnements.

« Modèle d’IA » : absence de définition dans le RIA. Il s’agit d’un programme entraîné sur un ensemble de données pour identifier certains schémas ou prendre des décisions sans interventions humaines.

2.2-Réglementation de l’IA agentique ?

Le RIA ne contient aucune définition juridique d’« agent d’IA ». Pourtant, les propriétés fonctionnelles qui définissent les agents, telles que l’invocation autonome d’outils, la planification en plusieurs étapes, l’interaction avec des systèmes externes et l’adaptation basée sur le retour d’information, sont déjà pleinement couvertes par la définition d’un système d’IA figurant à l’article 3, paragraphe 1 (Réglement IA )

En règle générale, un agent d’IA contiendra au moins un modèle d’IA à usage général (GPAI, article 3, paragraphe 63) et constituera un système d’IA, car il aura généralement une certaine forme d’interface, qui est considérée comme une composante du système (considérant 97 de la législation sur l’IA).

À partir du 2 août 2026, si l’agent d’IA est classé comme un système d’IA à haut risque, il est également soumis à des exigences supplémentaires qui garantissent sa sécurité et sa fiabilité pour l’utilisation prévue (chapitre III RIA).

En outre, si l’agent d’IA est destiné à interagir avec des personnes physiques ou à générer du contenu, des règles de transparence s’appliqueront (article 50 de la législation sur l’IA) – un code de bonnes pratiques visant à rendre ces règles opérationnelles est en cours d’élaboration. 

En ce qui concerne les modèles GPIA qui sous-tendent généralement les agents d’IA, des facteurs tels que le niveau d’autonomie ou l’utilisation des outils du modèle peuvent être déterminants pour la désignation du modèle en tant que modèle présentant un risque systémique [article 51, paragraphe 1, point b), annexe XIII, point e), de la législation sur l’IA]. En outre, les fournisseurs de modèles GPAI présentant un risque systémique sont soumis à des obligations de gestion des risques, qui comprennent des considérations relatives aux capacités autonomes du modèle et à son utilisation agentique [opérationnalisées, par exemple, dans la mesure 5.1, point 7, appendice 1.3.1, points 5) et 7), appendice 1.3.3, points 1), 4) et 12), ou appendice 3.2, deuxième alinéa, chapitre sur la sûreté et la sécurité du code de bonnes pratiques GPAI].

 Par exemple, le récent appel d’offres du Bureau de l’IA sur l’assistance technique pour la sécurité de l’IA comprend un lot consacré à l’évaluation de la sûreté et de la sécurité des agents de l’IA

2.3-Des obligations spécifiques pour chaque rôle

Classification des DM par les risques

Pour les Dispositifs médicaux avec IA relèvent  de  la  catégorie  à  haut  risque,  où  « les  enjeux  vitaux  sont  particulièrement  importants »  et  où  « les  systèmes  de  diagnostic  et  d’aide  à  la  décision,  de  plus  en  plus  sophistiqués,  doivent  être  fiables  et  précis ». 

Schéma en forme de pyramide illustrant les catégories de systèmes d'intelligence artificielle : systèmes interdits, systèmes à haut risque, systèmes à risque limité et systèmes à risque minimal.

Cette  classification  à  haut  risque  entraîne  un  ensemble  complet  d’obligations  avant  et  après  la  mise  sur  le  marché,  applicables  tout  au  long  du  cycle  de  vie  du  produit,  de  la  gouvernance  des  données  et  de  la  documentation  technique  à  la  transparence,  au  contrôle  humain,  à  la  robustesse  et  à  la  surveillance  post commercialisation.  Les  systèmes  à  haut  risque  sont  soumis  à  des  exigences strictes  tout  au  long  de  la  chaîne  de  valeur  de  l’IA,  avec  des  obligations  spécifiques.

Le RIA définit 5 rôles principaux avec pour chacun d’eux des responsabilités spécifiques et cumulatives. La qualification est fondée sur un rôle effectif.

«fournisseur»une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit
«déployeur»une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel;
«distributeur»une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union;
«importateur» une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers
« mandataire »une personne physique ou morale établie dans l’UE et représentant le fournisseur établi hors UE

Un établissement de santé peut être qualifié de fournisseur s’il développe des SIA et être un déployeur lorsqu’il utilise sous sa propre autorité un SIA, ses obligations seront différentes en fonction de la qualification retenue.

Obligations du  fournisseur : obligations ex ante (articles 16-29)

  • gestion  des  risques,
  •  robustesse, 
  • évaluation  de  la  conformité

Obligations du déployeur : conformité de l’usage (article 29)

  • supervision  humaine,
  •  surveillance,
  •  signalement  des  incidents,

 évaluation  de  l’impact  sur  les  droits  fondamentaux.

Diagramme décrivant les différents types d'établissements de santé et leurs responsabilités, incluant les fournisseurs, déployeurs, et les obligations de conformité.

Le rôle d’importateur distributeur et mandataire portent des responsabilités plus ciblées

  • L’importateur doit vérifier la conformité des systèmes importés ;
  • Le distributeur s’assure de la disponibilité de la documentation appropriée ;
  •  le mandataire sert d’interlocuteur UE pour les fournisseurs établis hors Union européenne

2.4-Exigences avec des obligations renforcées pour les DM (SIA à haut risque)

Fournisseur : Check list des exigences

Liste des articles sur les exigences des fournisseurs de dispositifs médicaux avec SIA, incluant la gestion des risques, la gouvernance des données, la documentation technique et d'autres exigences de conformité.

2.5-L’Autorité compétente en France des DM du bloc opératoire avec IA

Le contrôle de la bonne mise en œuvre du RIA sera assuré en France par plusieurs autorités, en accord avec les orientations proposées par le règlement IA lui-même. Ainsi, le contrôle des systèmes d’IA couverts par le règlement postérieurement à cette mise sur le marché ou mise en service sera assuré par les administrations, agences et autorités sectoriellement compétentes ou pertinentes.

Le schéma retenu par le Gouvernement sera mis en œuvre, sous réserve qu’il soit accepté par le Parlement par le biais d’un projet de loi.

Organigramme des structures et obligations liées aux pratiques interdites et aux systèmes à haut risque en relation avec la DGCCRF, DG, et autres instances de contrôle et régulation.

Pour les DM avec un système d’IA à haut risque relevant de l’Annexe I, les autorités compétentes sont :

  • DGCCRF (autorité coordinatrice opérationnelle) point de contact unique (représentation des ASM au sous-groupe de coordination du Comité IA)

La DGCCRF est chargée de la coordination des autorités de surveillance du marché et jouera à ce titre le rôle de point de contact unique en application de l’article 70.2 du règlement.

  • DGE (coordination stratégique : bureau de liaison unique (SQUALPI, R2019/1020 art 10, représentation de la France au Comité IA).

La DGE continue d’apporter son soutien à la mise en œuvre de ce texte en tant qu’autorité réglementaire en charge du règlement IA et de son rôle au sein du Comité européen de l’IA, où elle représente la France

  • ANSM
  • CNIL : traitement de données à caractère personnel (phase de développement et phase de déploiement)
  • Pour l’évaluation des DM en vue de leur remboursement HAS-ANS

En appui des autorités dans leurs missions de contrôle de la conformité des SIA : socles de compétences techniques mutualisées

  • ANSSI
  • PEReN

Une mutualisation avancée des compétences et outils techniques en IA et cybersécurité est mise en place par le Pôle d’expertise de la régulation numérique (PEReN) et l’Agence nationale pour la sécurité des systèmes d’information (Anssi) pour appuyer les autorités dans leurs missions de contrôle de la conformité des systèmes d’IA.

2.6-Sanctions adaptées

Diagramme montrant les mesures administratives et les sanctions administratives selon l'article 99, incluant la mise en conformité, les restrictions, et les obligations.

2.7-Bac à sable réglementaire : 2 Aout 2026

Un  soutien  supplémentaire  provient  des  bacs  à  sable  réglementaires  pour  l’IA,  des  environnements  contrôlés  où  les  développeurs  peuvent  tester  des  systèmes  d’IA  innovants  sous  supervision  réglementaire  avant  leur  commercialisation. 

Conformément  à  l’article  57  du règlement sur l’IA,  tous  les  États  membres  doivent  mettre  en  place  au  moins  un  bac  à  sable  opérationnel  d’ici  le  2  août  2026.  Pour  l’IA  dans  le  domaine  de  la  santé,  les  bacs  à  sable  offrent  la  possibilité  de  bénéficier  d’un  accompagnement  réglementaire  direct  pendant  le  développement,  de  tester  des  algorithmes  avec  des  données  cliniques  réelles  et  d’obtenir  une  documentation  sur  leur  engagement,  essentielle  pour  la  conformité  future. 

Les  PME  et  les  startups  bénéficient  d’un  accès  prioritaire  et  d’une  participation  gratuite.  En  décembre  2025,  la  Commission  a  publié  un  projet  de  règlement  d’exécution détaillant  le  fonctionnement  des  bacs  à  sable,  notamment  les  plans,  la  documentation  et  les  rapports  de  sortie.  La  Commission  a  également  proposé  un  bac  à  sable  au  niveau  de  l’UE,  placé  sous  la  compétence  du  Bureau  de  l’IA,  avec  une  coopération  transfrontalière  renforcée  entre  les  bacs  à  sable  nationaux

3- L’Accès aux données : le réglement sur l’espace européen de données de santé (EHDS)

Le  développement  et  la  validation  de  l’IA  pour  la santé dépendent  fondamentalement  de  l’accès  à  des  ensembles  de  données  de  santé  vastes,  diversifiés  et  de  haute  qualité.  L’entraînement  des  algorithmes  pour  détecter  les  maladies  précoces,  stratifier  les  risques  ou  prédire  la  réponse  au  traitement  exige  des  données  couvrant  les  populations,  les  institutions  et  les  contextes  cliniques.  Or,  en  Europe,  les  données  de  santé  demeurent  très  fragmentées,  cloisonnées  au  sein  des  hôpitaux,  des  régions  et  des  États  membres,  souvent  stockées  dans  des  formats  incompatibles  et  soumises  à  des  interprétations  divergentes  des  règles  de  protection  des  données.  Cette  fragmentation  constitue  un  obstacle  structurel  au  développement  de  l’IA :  sans  accès  à  des  données  représentatives,  les  algorithmes  risquent  une  faible  généralisation,  des  biais  inhérents  et  une  utilité  clinique  limitée.

3.1 Fragmentation des données de santé dans l’UE

Les  systèmes  de  dossiers  médicaux  électroniques  (DME)  des  États  membres  utilisent  des  terminologies,  des  systèmes  de  codage  et  des  structures  de  données  différents,  ce  qui  rend  l’agrégation  transfrontalière  des  données  pour  le  développement  de  l’IA  extrêmement complexe.  Même  au  sein  d’un  même  établissement,  l’hétérogénéité  des  pratiques  de  gestion  et  d’annotation  des  données,  ainsi  que  le suivi  longitudinal  incomplet,  limitent  l’utilité  des  dossiers  existants  pour  l’entraînement  et  la  validation  des  modèles  d’IA.  Les  différences  de  pratiques  de  gouvernance,  de  capacités  institutionnelles  et  d’interprétation  des  exigences  en  matière  de  protection  des  données  peuvent  engendrer  une  incertitude  quant  au  partage  des  données  de  santé  entre  les  établissements  et  les  États  membres  et  conduisent  souvent  à  des  approches  excessivement  prudentes  qui  entravent  l’utilisation  légitime  des  données,  même  lorsque  les  établissements  souhaitent  collaborer.

Les  travaux  visant  à  surmonter  ces  difficultés  ont  débuté  avant  l’introduction  du  système  EHDS.  Un  format  d’échange  européen  de  dossiers  médicaux  électroniques  (xEHR)  a  été  mis  en  œuvre  dans  le  cadre  de  plusieurs  initiatives  soutenues  par  l’UE,  établissant  des  normes  communes  pour  l’échange  transfrontalier  de  catégories  de  données  prioritaires.  Le  règlement  EHDS  fournit  désormais  le  cadre  juridique nécessaire  à  l’intensification  de  ces  travaux.  En  vertu  de  son  article  15,  la  Commission  est  tenue  d’adopter  des  actes  d’exécution  précisant l’architecture  technique  du  xEHR  d’ici  mars  2027. Le  défi  s’étend  à  la  pratique  clinique  courante.  Dans  de  nombreux  hôpitaux,  les  cliniciens  manquent  d’outils  simples,  sécurisés  et  efficaces  pour  échanger  des  informations  cliniques  avec  leurs  collègues  d’autres  services  ou  établissements. 

3.2-Qualité des données de santé nécessaire à l’entraînement de l’IA

Au-delà  de  l’accès,  la  qualité  des  données  représente  un  défi  majeur.  Le  développement  d’une  IA  de  haute  qualité  repose  sur  des  données  codées  de  manière  cohérente  selon  des  terminologies  internationales  telles  que  SNOMEDCT  pour  les  termes  cliniques  et  la  CIM10  pour  les  diagnostics,  avec  des  champs  structurés  pour  les  procédures,  les  médicaments,  les  valeurs  de  laboratoire  et  les  résultats. En  pratique,  une  grande  partie  des  données  cliniques  demeure  non  structurée :  notes  cliniques  en  texte  libre,  documents  numérisés,  comptes  rendus  dictés  et  entrées  codées  de  manière  incohérente,  nécessitant  un  traitement  important  avant  leur  utilisation  pour  l’entraînement  ou  la  validation  de  l’IA.  De  plus,  les  données  d’entraînement  sous-représentant  certaines  populations,  que  ce  soit  par  âge,  sexe,  origine  ethnique,  statut  socioéconomique,  région  géographique  ou  profil  de  comorbidité,  risquent  de  produire  des  modèles  peu  performants  ou  inéquitables  lorsqu’ils  sont  déployés  dans  divers  contextes  cliniques.

3.3-Les défis de l’Espace Européen des Données de Santé

L’espace européen des données de santé (EHDS – European Health Data Space) est un pilier de l’union européenne de la santé et le premier espace de données commun de l’UE consacré à un domaine spécifique dans le cadre de la stratégie européenne pour les données.

Le règlement relatif à l’espace européen des données de santé («règlement EHDS») vise à établir un cadre commun pour l’utilisation et l’échange de données de santé électroniques dans l’ensemble de l’UE. Il établit  un  cadre  juridique,  de  gouvernance  et  d’interopérabilité  pour  l’échange  de  données  de  santé  entre  les  États  membres,  avec  des  dispositions  relatives  à  l’utilisation  primaire  (facilitant  l’accès  des  individus  à  leurs  données  de  santé  personnelles  et  leur  contrôle  grâce  à  un  partage  transfrontalier  fluide)  et  à  l’utilisation  secondaire  (permettant  aux  chercheurs  autorisés,  aux  autorités  de  santé  publique  et  aux  développeurs  d’IA  de  demander  l’accès  aux  données  de  santé  à  des  fins  de  recherche,  d’innovation,  de  réglementation  et  de  politique,  dans  le  respect  de  normes  strictes  de  confidentialité  et  de  sécurité).

Les principales étapes vers une mise en œuvre intégrale

  • Mars 2025: le règlement EHDS entre en vigueur, marquant le début de la période de transition.
  • Mars 2027: la Commission doit avoir adopté plusieurs actes d’exécution clés fixant des règles détaillées pour la mise en œuvre opérationnelle du règlement.
  • Mars 2029: des parties importantes du règlement EHDS entrent en application, y compris, pour une utilisation primaire, l’échange du premier groupe de catégories prioritaires de données de santé (dossiers de patients, ordonnances électroniques et dispensations électroniques) dans tous les États membres de l’UE. Les règles relatives à l’utilisation secondaire commenceront également à s’appliquer à la plupart des catégories de données (celles issues des dossiers médicaux électroniques, par exemple).
  • Mars 2031: pour une utilisation primaire, l’échange du deuxième groupe de catégories prioritaires de données de santé (images médicales, résultats de laboratoire et rapports de sortie d’hôpital) devrait être opérationnel dans tous les États membres de l’UE. Les règles relatives à l’utilisation secondaire commenceront également à s’appliquer aux autres catégories de données (données génomiques, par exemple).
  • Mars 2035: les pays tiers et les organisations internationales pourront demander à participer à HealthData@EU pour une utilisation secondaire.

Pour  le  développement  de  l’IA,  les  dispositions  relatives  à  l’utilisation  secondaire  sont  particulièrement  importantes.  Il établit  un  cadre  juridique  permettant  aux  acteurs  autorisés  de  demander  l’accès  aux  données  de  santé  électroniques  à  des  fins  telles  que  la  formation,  les  tests  et  la  validation  des  systèmes  d’IA.  Au  cœur  de  ce  dispositif  se  trouve  HealthData@EU,  une  infrastructure  décentralisée  à  l’échelle  de  l’UE  qui  connecte  les  organismes  d’accès  aux  données  de  santé  (HDAB)  établis  dans  chaque  État  membre.  Chaque  HDAB  est  responsable  du  traitement  et  de  l’évaluation  des  demandes  d’utilisation  secondaire  au  regard  de  critères  définis,  de  la  délivrance  des  autorisations  d’accès  aux  données,  de  la  garantie  que  les  données  sont  fournies  sous  forme  anonymisée  ou  pseudonymisée  lorsque  cela  est  approprié,  et  du  maintien  d’environnements  de  traitement  sécurisés.  Les  HDAB  doivent  également  établir  et  tenir  à  jour  des  catalogues  nationaux  de  jeux  de  données  et  informer  le  public  sur  les  utilisations  des  données.

Le  règlement  impose  des  normes  d’interopérabilité,  notamment  le  format  d’échange  européen  des  dossiers  médicaux  électroniques  (DME),  afin  de  réduire  les  obstacles  techniques  à  l’accès  transfrontalier  aux  données.  L’action  conjointe  TEHDAS2  élabore  des  spécifications  techniques  et  des  lignes  directrices  pour  garantir  un  accès  sécurisé  aux  données  de  santé  au-delà  des  frontières.

Le  projet  SHAIPED,  financé  par  le  programme  Europe  numérique  et  lancé  en  mars  2025,  pilote  le  développement,  la  validation  et  le déploiement  de  modèles  d’intelligence  artificielle  (IA)  à  l’aide  de  l’infrastructure  HealthData@EU,  en  particulier  pour  aider  les  comités  consultatifs  sur  les  données  de  santé  (HDAB)  à  établir  des  parcours  d’IA  pour  le  développement  de  dispositifs  médicaux.

Ce  cadre  ouvre  des  perspectives  considérables  pour  les registres  à  grande  échelle,  les  archives  d’imagerie  et  les  dossiers  médicaux  électroniques  longitudinaux  pourraient  devenir  accessibles  pour  l’entraînement  des  algorithmes  et  leur  validation  externe  via  des  voies  d’accès  autorisées,  permettant  ainsi  de  tester  les  modèles  auprès  de  populations  diverses  et  dans  différents  contextes  de  soins. 

Le règlement EHDS vise à améliorer  les  conditions  et  la  représentativité  des  ensembles  de  données  d’entraînement. Le règlement ne rend pas les données disponibles. La  disponibilité  effective  des  données  dépend  de  sa  mise  en  œuvre  par  les  États  membres  et  les  détenteurs  de  données.

Dans  les  deux  premières  années,  les  États  membres  doivent  mettre  en  place  leurs  comités  consultatifs  sur  les  données  de  santé  numériques  (HDAB)  et  leurs  autorités  de  santé  numérique.  Ces  échéances  définissent  le  cadre  juridique  et  de  gouvernance ;  des  initiatives  nationales  et  institutionnelles  peuvent  permettre  un  accès  plus  rapide  sur  la  base  des  fondements  juridiques  existants.

Tant  que  le  cadre  de  gouvernance  EHDS  ne  sera  pas  pleinement  opérationnel,  l’accès  aux  données  pour  le  développement  de  l’IA  continuera  de  dépendre  des  capacités  institutionnelles,  des  accords  bilatéraux  et  des  approches  fédérées  qui  permettent  d’entraîner  les  algorithmes  sur  différents  sites  sans  centraliser  les  données  sensibles.

Pour aller plus loin sur EHDS

Comprendre le Règlement EHDS (UE) 2025/327 : Guide Complet

4-Compliance : Interactions entre les exigences du RIA/RDM/REHDS

Le  règlement sur les dispositifs médicaux régit  la  sécurité  et  la fiabilité du DM (performances cliniques différentes du SMA/ ASMA qui relève de la réglementation nationale en vue du remboursement,  alors que le règlement sur l’IA  traite  des  risques  spécifiques  à  l’IA,  notamment  la  transparence,  la  supervision  humaine  et  la  robustesse  algorithmique. 

Pour aller plus loin sur la Réforme du RDM : Réforme des Règlements UE sur Dispositifs Médicaux: Simplification

Pour aller plus loin sur l’Espace Européen de Santé : Comprendre le Règlement EHDS (UE) 2025/327 : Guide Complet

Graphique circulaire avec des flèches colorées indiquant un processus en boucle.
 Exigences RIAInteraction RDM et REHDS
Gouvernance des donnéesLes  ensembles  de  données  d’entraînement,  de  validation  et  de  test  doivent  être  pertinents,  représentatifs  et correctement documentés.L’EHDS  établit  le  cadre  juridique  et  d’interopérabilité  pour  un  accès  légal  aux  données ;  sa  disponibilité  effective  dépend  de  la  mise  en  œuvre  par  les  États  membres
TransparenceTenue  de  registres,  traçabilité  et  instructions  d’utilisation  claires,  y  compris  les  capacités,  les  limitations  et  l’objectif  viséLe  document  MDCG  20256  permet  d’intégrer  les  obligations  de  transparence  de  l’AI  Act  dans  les  processus  de  documentation  DM  existants
Supervision humaineLes systèmes doivent permettre aux utilisateurs de comprendre les résultats, de passer outre les recommandations et d’intervenir lorsque cela s’avère nécessaireComplète  l’accent  mis  par  les  règlements  DM sur  la  responsabilité  de  l’utilisateur  clinique ;  renforce  le  rôle  de  l’IA  en tant qu’outil d’aide à la décision plutôt qu’en tant que décideur autonome
Gestion des risquesGestion des risques tout au long du cycle de vie, prenant en compte la santé, la sécurité et les droits fondamentaux, y compris les risques spécifiques de l’IAExtension de la gestion des risques DM existante (ISO 14971) pour couvrir les biais algorithmiques, la dérive des données et la cybersécurité
Surveillance post marchéSuivi continue des performances, signalement des incidents graves aux autorités compétentesExtension des obligations de vigilance DM/DIV pour inclure la surveillance spécifique à l’IA (détection de dérive, émergence de biais)  
Conformité Evaluation Les IA à haut risque nécessitent une évaluation de conformitéUn processus d’évaluation unique pour la conformité au RIA et aux DM

Pour  les  dispositifs  médicaux  basés  sur  l’IA,  l’évaluation  de  la  conformité  doit  prendre  en  compte  à  la  fois  les  exigences  traditionnelles  relatives  aux  dispositifs  et  les  spécificités  de  l’IA.  Le  document  MDCG  20256,  adopté  conjointement  par  le  Groupe  de  coordination  des  dispositifs  médicaux  et  le  Conseil  de  l’IA,  fournit  des  orientations  sur  l’intégration  des  obligations  RIA  dans  les  systèmes  de  gestion  de  la  qualité  RDM/RDIV  existants.  Ceci  favorise  une  approche  d’évaluation  de  la  conformité  plus  intégrée  entre  les  deux  cadres  réglementaires  et  vise  à  réduire  les  doublons  et  la  charge  administrative.

A suivre : Compliance Episode 2 : Interaction RIA/RDM pour les DM du bloc opératoire augmenté

Logo de constellation avec une étoile bleue, un code QR, et une photo en noir et blanc d'une femme en costume, représentant un cabinet juridique.

Laisser un commentaire