Skip to main content
Données personnelles

IA et santé : le cadre applicable au développement et à l’évaluation des systèmes d’IA précisé par la CNIL

Imprimer

Publication de la CNIL du 5 mars 2026

L’intelligence artificielle connaît un développement important dans le secteur de la santé, notamment pour l’aide au diagnostic, la prédiction de pathologies ou l’optimisation du parcours de soins. Le développement de ces systèmes implique toutefois, dans la plupart des cas, le traitement de données de santé, soumises à un cadre juridique strict en vertu de l’article 9 du Règlement général sur la protection des données.

Dans ce contexte, la Commission nationale de l’informatique et des libertés a publié, le 5 mars 2026, une fiche pratique intitulée « IA et santé : développer et évaluer des systèmes d’IA en conformité avec la réglementation », destinée à accompagner les acteurs du secteur. Cette publication s’inscrit dans la continuité de ses travaux sur l’IA et doit être lue en complément de ses fiches pratiques dédiées.

L’un des principaux intérêts de cette nouvelle fiche réside dans les renvois à plusieurs décisions d’autorisation rendues par la CNIL concernant des projets existants de développement de systèmes d’IA en santé, qui constituent une ressource utile pour des initiatives similaires.

Une approche structurée autour du cycle de vie des systèmes d’IA

La CNIL propose une analyse structurée autour de trois étapes du cycle de vie d’un système d’intelligence artificielle dans le domaine de la santé :

  • La constitution – facultative – d’un entrepôt de données de santé destinées à être réutilisées ultérieurement pour différents projets.
  • Le développement des systèmes d’IA.
  • L’évaluation de l’impact du déploiement des systèmes d’IA dans le secteur de la santé.

La constitution d’entrepôts de données de santé

Dans certains projets, les organismes peuvent souhaiter centraliser différentes bases de données et permettre leur réutilisation ultérieure, notamment pour des projets de recherche ou le développement de systèmes d’IA.

Cela correspond à la création d’un « entrepôt » de données de santé, qui implique le respect de formalités spécifiques :

  • Soit le responsable de traitement recueille le consentement explicite des personnes concernées ;
  • Soit, à défaut, il procède à une déclaration de conformité au référentiel de la CNIL sur les entrepôts de données de santé. S’il ne peut se conformer entièrement à ce référentiel, il doit solliciter une autorisation spécifique auprès de l’autorité.

La CNIL rappelle également que les traitements ultérieurs réalisés à partir de cet entrepôt – par exemple pour entraîner un système d’IA – constituent des traitements distincts qui doivent eux-mêmes être analysés au regard de la réglementation applicable.

Les points rappelés par la Commission dans cette nouvelle fiche étaient déjà abordés en détail dans son référentiel relatif aux entrepôts de données de santé.

Le développement d’un système d’IA à partir de données de santé

Le cas le plus fréquent concerne la constitution d’un traitement de données destiné spécifiquement au développement d’un système d’IA dans le domaine de la santé.

La CNIL indique que le développement d’un tel projet est en principe qualifié de recherche, d’étude ou d’évaluation dans le domaine de la santé. Dans ce cas, le responsable de traitement doit soit se conformer intégralement à l’une des « méthodologies de référence » publiées par la CNIL, soit déposer une demande d’autorisation spécifique auprès de l’autorité.

La Commission souligne également que le développement d’un système d’IA est un processus itératif, comprenant plusieurs étapes – pouvant chacune impliquer des traitements de données personnelles – telles que :

  • La préparation et l’appariement des bases de données.
  • L’annotation ou l’extraction des caractéristiques des données.
  • L’entraînement et l’optimisation du modèle.
  • La validation de ses performances techniques et cliniques.

La CNIL admet néanmoins que ces différentes étapes puissent être rattachées à une finalité générale unique, correspondant au développement du système d’IA, à condition que cette finalité soit définie de manière suffisamment précise et qu’elle repose sur des critères objectifs permettant de déterminer à quel moment l’objectif est atteint.

L’évaluation de l’impact des systèmes d’IA déployés

L’autorité s’intéresse également à la phase d’évaluation des systèmes d’IA une fois déployés dans le système de santé. Cette évaluation peut notamment porter sur :

  • L’impact du système sur le parcours de soins des patients.
  • Les effets sur les pratiques professionnelles.
  • Les conséquences en matière de surveillance épidémiologique.

Ces évaluations constituent elles aussi des recherches ou études dans le domaine de la santé et doivent donc respecter les formalités applicables à ce type de traitement (voir section précédente).

Checklist pour assurer la conformité des traitements

La fiche pratique comporte enfin un tableau synthétique, sous la forme d’une liste de questions à se poser, recensant les principales actions à mener pour encadrer les projets d’IA dans le domaine de la santé. Parmi les points essentiels figurent notamment :

  • L’identification du régime juridique applicable (RGPD, loi Informatique et Libertés, réglementation sectorielle).
  • La définition d’une finalité déterminée et poursuivant un intérêt public.
  • La clarification des rôles et responsabilités des différents acteurs.
  • La détermination d’une base légale au sens de l’article 6 du RGPD et d’une exception applicable au traitement de données sensibles au titre de l’article 9.
  • Le respect des principes de minimisation des données et de limitation des durées de conservation.
  • L’information des personnes concernées et l’organisation de l’exercice de leurs droits ;
  • La mise en place de mesures de sécurité adaptées.
  • L’encadrement des transferts de données en dehors de l’Union européenne.
  • Le cas échéant, la réalisation d’une analyse d’impact relative à la protection des données (AIPD).

Une ressource pratique pour les projets d’IA en santé

Avec cette nouvelle fiche, la CNIL poursuit son travail d’accompagnement des acteurs développant ou utilisant des systèmes d’intelligence artificielle. Le document constitue toutefois davantage un rappel du cadre applicable aux traitements de données dans la recherche en santé et aux exigences liées au développement de systèmes d’IA qu’un guide pratique approfondi. Sa lecture doit donc être complétée par celle des autres ressources publiées par la CNIL, auxquelles la fiche renvoie afin d’approfondir les aspects juridiques et opérationnels de ces projets.

Imprimer

Articles sur le même sujet

Données personnelles Réutilisation de bases de données accessibles en ligne ou fournies par un tiers : quelles vérifications pour être conforme au RGPD ?

Réutilisation de bases de données accessibles en ligne ou fournies par un tiers : quelles vérifications pour être conforme au RGPD ?


et
Données personnelles Rejeu de session de navigation : le projet de recommandation de la CNIL

Rejeu de session de navigation : le projet de recommandation de la CNIL


Données personnellesMédias / IP / Tech Publicité sur les réseaux sociaux : la CNIL sanctionne la transmission et la combinaison de données à des fins de ciblage sans information et consentement valables

Publicité sur les réseaux sociaux : la CNIL sanctionne la transmission et la combinaison de données à des fins de ciblage sans information et consentement valables


Close Menu