IA en santé : La HAS et la CNIL publient un projet de guide pour accompagner concrètement les professionnels

Guide CNIL/HAS « Accompagner le bon usage des systèmes d’intelligence artificielle en contexte de soins »

En raison de leur sensibilité particulière, les traitements de données de santé sont soumis à un encadrement renforcé, à l’intersection du RGPD, du droit de la santé et désormais du règlement européen sur l’intelligence artificielle (RIA). La mise en œuvre des premières obligations relatives aux systèmes à haut risque prévues par le RIA pourrait, d’ailleurs, être repoussée du 2 août 2026 au 2 décembre 2027 suite à un accord politique provisoire intervenu en mai dernier entre le Conseil et le Parlement.

L’essor des systèmes d’intelligence artificielle (SIA) dans les pratiques de soins accentue encore cette exigence. Aujourd’hui, sur 110 établissements de santé interrogés, près de 65 % d’entre eux utilisent déjà des outils d’IA, pour la production telle que l’aide au diagnostic, l’imagerie médicale, l’organisation des parcours de soins ou l’assistance à la rédaction médicale.

C’est dans ce contexte que la Haute Autorité de santé (HAS) et la CNIL ont publié, en mars dernier, un projet de guide conjoint consacré au « bon usage des systèmes d’intelligence artificielle en contexte de soins ». Ce guide a ensuite été soumis à consultation publique jusqu’au 16 avril dernier, de sorte qu’il pourrait être amené à évoluer ou à être complété à l’avenir.

Une approche intégrée entre qualité des soins et protection des données

L’apport principal du guide réside dans l’articulation de deux approches jusqu’alors souvent traitées séparément. D’un côté, la HAS raisonne traditionnellement en termes de qualité, de sécurité et d’organisation des soins. De l’autre, la CNIL encadre les traitements de données personnelles à travers les principes du RGPD, notamment : licéité, transparence, minimisation des données, sécurité et accountability.

Le guide croise explicitement ces deux logiques et pose une idée structurante : un système d’IA utilisé dans le cadre des soins ne peut être considéré comme acceptable que s’il est à la fois médicalement pertinent et juridiquement maîtrisé.

Cette approche incite les acteurs de la santé à appréhender dès le départ leurs projets d’IA de manière globale, en construisant la dimension technique tout en intégrant pleinement les exigences réglementaires.

Une responsabilité qui demeure pleinement humaine

Par défaut, le RGPD interdit toute décision médicale entièrement automatisée, dont les effets sur une personne seraient significatifs (impact sur la mise en œuvre d’un traitement ou sur la priorisation d’une prise en charge, par exemple). Une intervention humaine significative dans la prise de décision est donc requise.

Toutefois, le guide rappelle qu’aucun régime autonome de responsabilité applicable à l’IA médicale n’existe à ce jour. La responsabilité continue donc de s’apprécier selon les règles classiques du droit médical et du droit commun. En pratique, le professionnel de santé demeure responsable de ses décisions, y compris lorsqu’il s’appuie sur un système d’IA.

Le document insiste ainsi sur la nécessité de maintenir une supervision humaine effective. L’IA peut assister, orienter ou automatiser en partie certaines tâches, mais elle ne saurait se substituer à l’appréciation clinique du professionnel.

Le guide recommande notamment que les résultats produits par un SIA et intégrés au dossier médical soient systématiquement revus par le professionnel de santé lui-même. Il précise également qu’un compte-rendu généré par IA ne devrait pas être validé par une personne n’ayant pas participé à la consultation ou à l’acte médical concerné.

Vers une gouvernance opérationnelle des systèmes d’IA

Le guide retient une approche opérationnelle de la conformité des SIA en santé. Celle-ci n’est pas envisagée comme une simple démarche documentaire ou déclarative, mais comme un processus continu de gouvernance et de maîtrise des risques.

Le document couvre ainsi l’ensemble du cycle de vie des systèmes d’IA : acquisition, contractualisation, déploiement, utilisation, suivi des performances, maintenance et retrait. Dans cette logique, les deux autorités recommandent la mise en place d’une gouvernance structurée associant notamment référent IA, DPO, DSI et fonctions qualité et gestion des risques.

L’un des apports les plus concrets du guide réside dans la création d’une cartographie des SIA déployés au sein des structures de soins. Celle-ci doit permettre, entre autres, d’identifier les outils utilisés, leur niveau de risque en vertu de la classification du Règlement européen sur l’IA, leur niveau de criticité pour l’organisation des soins et la prise en charge des patients, les catégories de données traitées et les modalités de suivi (indicateurs, incidents, traçabilité, retour d’expérience, etc.).

Le guide traduit ainsi une véritable logique de gouvernance technologique en santé, inspirée des mécanismes déjà connus en matière de cybersécurité et de gouvernance des données.

Transparence et information des patients : articulation entre RGPD et droit médical

Le guide renforce également les exigences de transparence à l’égard des patients.

L’exigence de transparence dépasse les seules obligations d’information prévues par le RGPD : la HAS et la CNIL articulent explicitement la protection des données personnelles avec les exigences du droit médical et du consentement éclairé.

Le patient doit ainsi être informé :

  • de l’utilisation d’un SIA dans sa prise en charge ;
  • du traitement de ses données personnelles ;
  • des éventuelles réutilisations secondaires des données ;
  • et, le cas échéant, du fait qu’il interagit directement avec un système d’IA.

Le guide apporte également une précision importante : en contexte de soins, l’utilisation d’une SIA ne repose généralement pas sur le consentement du patient au sens du RGPD. Le traitement des données de santé trouve le plus souvent son fondement dans la prise en charge médicale elle-même et dans les exceptions prévues à l’article 9 du RGPD pour les finalités de soins.

Cette clarification permet d’éviter une confusion fréquente entre le consentement médical du patient à sa prise en charge et le consentement comme fondement juridique du traitement de données personnelles.

Un standard de référence pour les acteurs de santé

Bien que ce guide ne présente pas de valeur juridiquement contraignante, il a vocation à devenir un standard de référence pour les établissements et professionnels de santé qui souhaitent déployer un système d’IA.

Au-delà du rappel des obligations existantes, le document met surtout en évidence que l’IA en santé implique une véritable démarche de gouvernance, de supervision et de maîtrise continue des risques.