IA générative en santé : le guide de la HAS comme cadre d’usage

S’il a vocation à être complété par d’autres travaux – la HAS ayant annoncé notamment (i) un document similaire à destination des personnes, usagers et patients, mais aussi (ii) des recommandations sur l’utilisation de l’IA, de façon plus générale, en contexte de soins – le guide traduit d’ores et déjà concrètement plusieurs dispositions réglementaires applicables, issues principalement de l’IA Act, du RGPD et du Code de la santé publique.

L’IA générative est en effet largement entrée dans les usages des professionnels de santé, tant en milieu hospitalier qu’en ville, qu’il s’agisse d’outils d’IA générative « généralistes » ou de solutions spécifiquement dédiées au secteur de la santé.

La question n’est donc plus de savoir s’il faut s’y intéresser, mais bien comment encadrer ces usages avant qu’ils ne deviennent une source de risques, tant sur le plan réglementaire que réputationnel.

Dans ce contexte, le guide publié par la HAS constitue un point d’appui important pour les établissements de santé et, plus largement, pour l’ensemble des acteurs concernés par le déploiement et l’usage de l’IA générative : professionnels de santé, directions, fonctions support et équipes impliquées dans le numérique et la conformité.

Dans la droite ligne de la réglementation, une vigilance particulière doit être portée aux conditions d’utilisation des outils d’IA, à la nature des données saisies, ainsi qu’à l’existence d’un contrôle humain effectif et d’un cadre organisationnel clair, ces éléments constituant les principaux facteurs de risque dans le recours à l’IA générative.

Le guide recommande ainsi un usage de l’IA générative « AVEC » le professionnel de santé. Cette approche implique la mise en place d’une gouvernance adaptée au sein des établissements, afin que les professionnels demeurent maîtres des outils qu’ils utilisent, en apprenant, vérifiant, estimant et communiquant.

Cette gouvernance repose notamment sur plusieurs leviers concrets :

• la formation des professionnels de santé à l’usage de l’IA (en écho à l’obligation de formation prévue par l’IA Act) ;

• la transparence vis-à-vis des patients en cas de recours à une IA générative pour assister les professionnels dans certaines productions (en cohérence avec les obligations de transparence issues de l’IA Act) ;

• une identification et un contrôle renforcés des outils d’IA générative librement accessibles sur internet, ou ne présentant pas de garanties suffisantes en matière de confidentialité, auxquels pourraient avoir recours les professionnels de santé. À cet égard, toute requête comportant des données permettant d’identifier directement ou indirectement une personne physique, ou relevant du secret médical, doit être proscrite, conformément aux principes de minimisation, de licéité et de sécurité des données prévus par le RGPD, ainsi qu’aux exigences relatives au secret médical, protégé par le Code de la santé publique et pénalement sanctionné.

Cette recommandation, simple en apparence, revêt une importance stratégique particulière en matière de sécurisation des établissements, face au risque accru de violations de données.

Dans ce cadre, les directions des systèmes d’information, aux côtés des directions médicales, juridiques et des fonctions de conformité et de sécurité, ont un rôle clé à jouer dans la structuration des usages, le choix et le contrôle des outils déployés, ainsi que dans l’accompagnement des professionnels.

Le guide constitue ainsi une source supplémentaire de bonnes pratiques pour les établissements de santé en matière d’utilisation de l’IA générative.

Plus largement, le nombre de guides, recommandations et lignes directrices en la matière ne cesse de croître, au-delà de la réglementation elle-même. Bien qu’ils ne soient pas juridiquement contraignants, ces documents constituent des références importantes dans l’évaluation de la conformité des pratiques.

Il apparaît dès lors essentiel que les établissements de santé prennent en compte ce nouveau guide et, plus généralement, l’ensemble des cadres applicables en matière d’IA en santé, afin d’assurer une utilisation maîtrisée et conforme de ces technologies.

Si cette démarche suppose du temps et une veille continue, face à l’essor et à l’évolution constante des sources juridiques et documentaires, elle est aujourd’hui indispensable pour sécuriser les patients, les professionnels et l’activité des établissements, au regard des enjeux financiers et réputationnels majeurs qui y sont attachés.

[1] https://www.has-sante.fr/upload/docs/application/pdf/2025-10/dir2/premieres_clefs_dusage_de_lia_generative_en_sante_-_guide.pdf