IA en santé en France, éclairage de la CNIL et de la HAS sur les bonnes pratiques, du développement à l’utilisation

Développement et évaluation des systèmes d'IA en santé,  un cadre de conformité CNIL

La fiche publiée par la CNIL vient compléter les recommandations générales de la CNIL concernant l’IA, pour tenir compte des spécificités sectorielle et s'adresse aux délégués à la protection des données (DPO), aux chefs de projets et, plus généralement, à l'ensemble des acteurs souhaitant utiliser des données de santé pour développer ou évaluer un système d'IA destiné au secteur de la santé.

La CNIL distingue trois étapes clés dans le cycle de vie d'un système d'IA, dont certaines facultatives :

1/ la constitution d'un entrepôt de données de santé (EDS).

Il s’agit d’une étape facultative supposant d’anticiper sur les utilisations ultérieures, lesquelles peuvent notamment comprendre celle de développement de systèmes d’IA. A cet égard, la CNIL rappelle que le développement de SIA destiné au secteur de la santé est assimilé à une recherche, étude ou évaluation dans le domaine de la santé. Cette doctrine d’appuie directement sur l’approche extensive de la notion de recherche scientifique par le RGPD, couvrant notamment le développement, la démonstration de technologies. En outre, les traitements mis en œuvre à partir des données de cet entrepôt constituent des traitements de données distincts pouvant relever de l’étape suivante

2/ la constitution d'une base de données spécifiquement dédiée au développement d'un système d'IA.

A nouveau, il s’agit d’un traitement relevant d’une recherche, étude ou évaluation dans le domaine de la santé au sens du RGPD et de la Loi informatique et libertés. A cet égard, de manière pragmatique, la CNIL « estime que les différentes actions sur les données réalisées dans ce cadre peuvent être envisagées dans le cadre d’une finalité plus générale correspondant au développement d’un système d’IA ce qui inclut sa validation notamment en termes de performances ». Ainsi, un traitement poursuivant la finalité de déploiement d’un SIA, destiné à constituer un Dispositif Médical recouvre les fins de préparations de la base de données, d’entraînement et d’optimisation du modèle, de validation des performances cliniques et techniques, et ce jusqu’à obtention des autorisations ou certificats nécessaires à la mise sur le marché.

3/ l’évaluation du déploiement du système sur le secteur, « notamment sur le parcours de soins, les pratiques professionnelles ou la surveillance épidémiologique » constitue une recherche, étude ou évaluation en propre, soumise à formalités préalables

Recommandations opérationnelles pour les déployeurs, un Guide HAS-CNIL 

Le guide conjoint HAS-CNIL cible les professionnels et établissements de santé, intervenant en qualité de les « déployeurs » au sens du règlement européen sur l'IA (RIA), c'est-à-dire les personnes physiques ou morales utilisant sous leur propre autorité un système d'IA, dans un cadre professionnel ; et poursuit une approche chronologique de l’organisation interne préalable au déploiement à la fin du cycle de vie et la désinstallation, en passant par les obligations réglementaires applicables à chaque étape.

Concernant l’étape d’acquisition des SIA et contractualisation, les points de vigilance s’articulent autour des phases et actions associées suivantes :

1/ en amont de la contractualisation, bénéficier d’une information complète et claire sur le SIA, notamment destination d’usage, conditions de développement, performances, limites et biais, populations de patients éligibles, principes de fonctionnement, contrôle humain, éléments nécessaires au bon fonctionnement, procédure en cas de dysfonctionnement, flux de données, impact environnemental,

2/ vérifier la conformité réglementaire du SIA, notamment statut de dispositif médical (DM) au regard de sa destination d’usage, conformité RGPD, certificat d'hébergement de données de santé (HDS), identification des sous-traitants,

3/ vérifier l’interopérabilité avec SI existant,

4/ lors de la contractualisation, formaliser un RACI entre le fournisseur du SIA et le déployeur, prévoir des SLA appropriées, prévoir un POC, des seuils de performance, des conditions de réversibilité, en veillant à associer le DPO et veiller notamment à l’encadrement des traitements de données, à la réutilisation des données, au stockage dans l’EEE et à la souveraineté.

Sur le volet formation, des recommandations graduées sont formulées, avec des formations généralistes de sensibilisation à l'IA pour l'ensemble des professionnels, des formations approfondies pour les profils clés tels que le DPO ou le responsable du système d'information, et une formation obligatoire spécifique préalablement à toute utilisation d'un système d'IA.

La rédaction d'une charte dédiée à l'IA permet de formaliser l'engagement des professionnels, et devrait comporter les pratiques interdites et possiblement un catalogue d'usages approuvés offrant un niveau de risque minimal.

Il est rappelé que le déployeur est tenu d’informer les personnes concernées lors de l'utilisation d'un système d'IA à haut risque, d’avertir les personnes qui interagissent directement avec un système d'IA (par exemple un chatbot), et de délivrer une information RGPD lorsque le traitement implique des données personnelles et donner suite aux demandes d'exercice de droits. 

Enfin, le guide traite des systèmes d'IA générative, dont l'utilisation doit être limitée à un usage raisonné. A ce titre, il est recommandé de maîtriser les usages de ces outils par la mise en place d'une sensibilisation du personnel aux usages à risques et la promotion de la charte d’utilisation.

Cadre européen et implémentation contrôlée par les autorités

Ces deux publications s'inscrivent dans le contexte de l'entrée en application progressive du RIA. La majorité des obligations du RIA seront applicables à compter du 2 août 2026 en particulier les règles relatives aux systèmes d'IA à haut risque figurant à l'annexe III, quand les règles relatives aux systèmes d'IA à haut risque relevant de l'annexe I, qui incluent les dispositifs médicaux, entreront en application à partir du 2 août 2027 ; sauf report en vertu d’Omnibus on AI si adopté. 

Rappelons que l'IA figure parmi les quatre axes du plan stratégique 2025-2028 de la CNIL, laquelle prévoit notamment d’«auditer et contrôler les SIA et protéger les personnes », « au titre du RGPD et du RIA », et que, de son côté, la HAS a intégré la maîtrise des risques numériques et liés à l'IA dans le sixième cycle de certification des établissements de santé depuis 2024.

Ces initiatives conjointes visent à favoriser la lisibilité du cadre de confiance pour l'IA en santé -destiné à concilier innovation technologique, sécurité des soins et protection des droits fondamentaux-, et son implémentation, dans le respect des échéances réglementaires à venir…