IA en santé : conformité DGS, HAS et CE marking des dispositifs médicaux (guide 2026)

Le déploiement de l'intelligence artificielle dans le secteur de la santé en France représente une opportunité majeure — mais aussi un défi réglementaire sans précédent. Entre le règlement européen sur les dispositifs médicaux, les exigences de la Direction Générale de la Santé (DGS), les recommandations de la Haute Autorité de Santé (HAS), et le RGPD, les éditeurs et les établissements de santé naviguent dans un maillage complexe de normes.

En bref : Toute solution d'IA utilisée à des fins diagnostiques, thérapeutiques ou de suivi patient en France est potentiellement un dispositif médical (DM) et doit obtenir le CE marking selon le règlement (UE) 2017/745. La DGS contrôle la mise sur le marché, la HAS évalue l'intérêt de service rendu (ISR), et le RGPD encadre le traitement des données de santé. Ce guide détaille chaque étape, du classement du DM à la surveillance post-commercialisation.

1. Le cadre réglementaire : qui contrôle quoi ?

1.1 Règlement (UE) 2017/745 — Dispositifs médicaux (MDR)

Le Medical Device Regulation remplace depuis mai 2021 les directives 93/42/CEE et 90/385/CEE. Il s'applique à tout instrument utilisé à des fins médicales chez l'être humain, y compris les logiciels (Software as a Medical Device, SaMD).

Quand une solution IA est-elle un DM ? Elle l'est si elle est destinée à :

Diagnostiquer (détection de lésions sur une radiographie)
Prévenir (évaluation du risque cardiovasculaire)
Surveiller (suivi du glucose prédictif)
Traiter (planification de la radiothérapie)
Compenser un handicap (prothèse contrôlée par IA)

Le test décisif : La solution fournit-elle une information utilisée seule pour prendre une décision médicale ? Si oui, c'est probablement un DM de classe IIa, IIb ou III.

1.2 Direction Générale de la Santé (DGS)

La DGS assure :

La vigilance des DM (signalement des incidents)
Le contrôle de la publicité auprès des professionnels de santé
L'homologation des essais cliniques (via l'ANSM pour les dispositifs)

1.3 Haute Autorité de Santé (HAS)

La HAS évalue :

L'intérêt de service rendu (ISR) : la solution apporte-t-elle un bénéfice clinique démontré ?
La place dans la stratégie thérapeutique : à quel moment de la prise en charge doit-elle être utilisée ?
Le service attendu (SA) : l'amélioration par rapport à la pratique actuelle

Un avis favorable de la HAS est déterminant pour le remboursement par l'Assurance Maladie.

1.4 RGPD et données de santé

Les données de santé sont des données à caractère sensible (article 9 du RGPD). Leur traitement nécessite :

Un fondement juridique explicite (consentement, intérêt vital, mission d'intérêt public)
Une analyse d'impact (DPIA) obligatoire
Des mesures de sécurité renforcées (chiffrement, pseudonymisation)
Un délégué à la protection des données (DPD) désigné

2. Classification du dispositif médical IA

Le règlement MDR définit 4 classes

Classe	Exemple IA	Conformité requise
I	Agenda intelligent de rendez-vous	Déclaration UE + auto-certification
IIa	Assistant de diagnostic pour radiographie standard	Évaluation par organisme notifié (ex: BSI, TÜV, LNE/G-Med)
IIb	IA de détection de rétinopathie diabétique	Évaluation + essais cliniques
III	IA de planification chirurgicale ou de diagnostic du cancer	Évaluation stricte + essais cliniques + surveillance renforcée

Le règlement (UE) 2024/1689 — AI Act

Depuis août 2026, le AI Act s'applique en parallèle. Les systèmes d'IA médicaux sont classés haut risque (Article 6) et doivent :

Respecter des exigences de transparence et robustesse
Mettre en place un système de gestion des risques
Assurer la surveillance humaine (human-in-the-loop)
Enregistrer le système dans la base de données UE d'IA (Article 71)

Point critique : Le AI Act et le MDR se superposent. Un DM de classe IIb + IA haut risque doit satisfaire les deux réglementations. Les exigences du AI Act sont intégrées dans les procédures MDR par le règlement d'exécution (UE) 2024/XXXX.

3. Le parcours de conformité étape par étape

Étape 1 : Déterminer si vous êtes un DM (semaine 1-2)

Utilisez l'outil de qualification de la CNIL ou du MEDDEV 2.1/6
Consultez un conseil réglementaire spécialisé DM
Documentez la destination d'usage prévue (indication, population cible, contexte d'utilisation)

Étape 2 : Classer le dispositif (semaine 2-3)

Appliquez les règles de classification du MDR (Annexe VIII)
Les DM actifs qui administrent ou échangent de l'énergie sont généralement classe IIa ou IIb
Les DM utilisés pour le diagnostic ou la surveillance d'états physiologiques sont classe IIa minimum

Étape 3 : Mettre en place un système de management de la qualité (SMQ) (mois 1-3)

Obligatoire pour les classes > I. Le SMQ doit couvrir :

Le cycle de vie du logiciel (IEC 62304)
La gestion des risques (ISO 14971)
Les essais de validation et vérification
La surveillance post-commercialisation

Étape 4 : Rédiger le dossier technique (mois 2-6)

Le dossier technique (Annexe II et III du MDR) comprend :

Description du dispositif et de ses variantes
Spécifications de conception et de fabrication
Informations sur la performance clinique (études, littérature, données de marché)
Évaluation des risques et mesures de maîtrise
Étiquetage et notice d'utilisation
Déclaration de conformité

Étape 5 : Réaliser les essais cliniques (si nécessaire) (mois 3-12)

Pour les classes IIb et III, des données cliniques sont requises :

Étude clinique prospective : protocole soumis à l'ANSM + CPP (Comité de Protection des Personnes)
Équivalence : démonstration d'équivalence avec un DM déjà approuvé (permet de s'appuyer sur la littérature)
Registre de performance : collecte de données réelles d'utilisation (real-world evidence)

Étape 6 : Soumettre à l'organisme notifié (mois 6-12)

Choix d'un organisme notifié agréé en France (LNE/G-Med, BSI France, TÜV SÜD) ou dans l'UE
Audit du SMQ et du dossier technique
Essais sur site (si requis)
Délivrance du certificat CE

Étape 7 : Enregistrement et surveillance (permanent)

Enregistrement dans Eudamed (base de données européenne des DM)
Mise en place d'un système de vigilance (signalement des incidents graves dans les 10 jours)
Surveillance post-commercialisation : analyse périodique des données de terrain

4. Les bonnes pratiques de développement IA médicale

A. Qualité des données d'entraînement

Exigence	Bonne pratique
Représentativité	Les données doivent refléter la population cible (âge, sexe, ethnies, pathologies)
Qualité des annotations	Double lecture médicale avec résolution des désaccords par un tiers
Traçabilité	Versionnage des datasets, traçabilité des sources
Biais	Analyse de performance par sous-groupe démographique

B. Robustesse et validation

Validation interne : cross-validation stratifiée sur le dataset d'entraînement
Validation externe : test sur des données provenant d'autres centres, d'autres appareils, d'autres opérateurs
Test d'adversarial : évaluation de la robustesse face à des entrées perturbées
Étude clinique prospective : évaluation de l'impact sur les outcomes patients (pas seulement la performance technique)

C. Transparence et explicabilité

Le AI Act impose que les systèmes haut risque soient suffisamment transparents pour permettre aux utilisateurs d'en interpréter les résultats
Fournir une carte de chaleur (heatmap) des zones d'intérêt sur une image médicale
Documenter les limites de performance (quand le modèle ne doit PAS être utilisé)

5. Le RGPD dans la santé : points spécifiques

Consentement et données de santé

Le traitement des données de santé nécessite généralement le consentement explicite de la personne. Exceptions :

Intérêt vital de la personne (urgence médicale)
Mission d'intérêt public en matière de santé publique (épidémiologie)
Recherche scientifique (avec autorisation de la CNIL ou du CPP)

Hébergement des données

Les données de santé à caractère personnel (DSSP) doivent être hébergées sur des Hébergeurs de Données de Santé (HDS) certifiés par le Ministère de la Santé. Les principaux fournisseurs cloud (AWS, Azure, Google Cloud) proposent des offres HDS en France.

Le Dossier Médical Partagé (DMP)

L'interopérabilité avec le DMP est un enjeu majeur. Les solutions d'IA doivent respecter les référentiels d'interopérabilité (CI-SIS) pour s'intégrer dans le parcours de soins.

6. Les défis pratiques et comment les surmonter

Défi 1 : Le délai et le coût

Problème : Le parcours complet de classe IIb prend 12-24 mois et coûte €200K–€1M. Solution : Commencez par un DM de classe I ou IIa avec une indication limitée. Validez le modèle sur un périmètre réduit, puis étendez.

Défi 2 : L'accès aux données

Problème : Les données de santé sont fragmentées et difficiles d'accès. Solution : Partenariats avec les Assistance Publique – Hôpitaux de Paris (AP-HP), les CHU (via les CIC-IT), ou les bases publiques (The Cancer Imaging Archive, MIMIC-IV).

Défi 3 : La responsabilité en cas d'erreur

Problème : Si une IA de diagnostic se trompe, qui est responsable ? L'éditeur, l'établissement, le médecin ? Solution : Le MDR impose une surveillance humaine obligatoire. L'IA est un aide au diagnostic, jamais un substitut au jugement clinique. La responsabilité reste au prescripteur, mais l'éditeur est tenu par la responsabilité du fait des produits défectueux.

7. Tendances 2026 et au-delà

L'homologation accélérée (Fast Track)

L'ANSM a mis en place un dispositif de soutien aux innovations (SNI) permettant un accompagnement renforcé des DM innovants. Les solutions d'IA avec un fort bénéfice patient peuvent bénéficier d'un parcours accéléré.

L'évaluation de l'IA par la HAS

La HAS a publié en 2025 un référentiel d'évaluation des solutions d'IA en santé, qui complète le MDR par une analyse de l'intérêt clinique, de l'impact organisationnel et de la maîtrise des risques.

L'IA générative en santé

Les LLM (ChatGPT, Claude, Gemini) sont de plus en plus utilisés pour :

La rédaction de comptes-rendus médicaux
Le résumé de dossiers patients
L'assistance à la prescription

Risque : Les LLM sont sujets aux hallucinations. Aucun LLM généraliste n'est actuellement classé DM. Les éditeurs développent des LLM médicaux spécialisés (Med-PaLM, GatorTron) avec des garde-fous réglementaires.

Conclusion

La conformité de l'IA en santé est un parcours complexe mais structuré. Le MDR, le AI Act, la HAS et le RGPD forment un cadre cohérent qui protège les patients tout en encourageant l'innovation. Les éditeurs qui investissent tôt dans la conformité réglementaire construisent un avantage compétitif durable : un DM certifié est une barrière à l'entrée pour les concurrents.

Vous développez une solution d'IA en santé ? Ikasia accompagne les éditeurs et les établissements de santé dans la conformité réglementaire, la validation clinique et l'intégration technique. De la classification du DM à la préparation du dossier HAS, nous sécurisons votre mise sur le marché. Contactez-nous pour un diagnostic réglementaire.

FAQ

Un chatbot de tri médical est-il un dispositif médical ?

Probablement oui, s'il oriente le patient vers un niveau de soins (urgences, médecin généraliste, auto-médication). La plupart des chatbots de tri sont classés DM de classe IIa et doivent obtenir le CE marking.

Peut-on utiliser des données patients pour entraîner une IA sans consentement ?

Non, sauf si vous vous appuyez sur :

Le consentement explicite
La recherche encadrée par un protocole CPP
Les données anonymisées (au sens strict du RGPD, irréversibles)
Le secondaire use dans certaines conditions (loi de modernisation du système de santé)

Combien coûte le CE marking d'une IA médicale ?

Élément	Coût estimé
Conseil réglementaire	€30K–€80K
Essais cliniques	€50K–€300K
Audit organisme notifié	€20K–€50K
SMQ et documentation	€40K–€100K
Total classe IIa	€150K–€350K
Total classe IIb	€300K–€800K

Quel est le délai moyen pour obtenir le CE marking ?

Classe I : 1–3 mois
Classe IIa : 6–12 mois
Classe IIb : 12–18 mois
Classe III : 18–36 mois

Guillaume Hochard est fondateur d'Ikasia et accompagne les acteurs de la santé dans la conformité et le déploiement de l'IA. Il intervient régulièrement sur les questions de réglementation des dispositifs médicaux et de protection des données de santé.