Règlement UE sur l'IA pour les soins de santé : Conformité de l'IA médicale à haut risque
L'IA utilisée pour le diagnostic médical, le triage des patients et la recommandation de traitement est à haut risque selon le règlement UE sur l'IA. Ce guide explique comment le règlement interagit avec le règlement sur les dispositifs médicaux (MDR) et l'IVDR, et ce que les articles 9, 10, 12 et 14 exigent des fournisseurs d'IA clinique et des hôpitaux qui les déployer.
Règlement UE sur l'IA pour les soins de santé : Conformité de l'IA médicale à haut risque
L'IA utilisée pour le diagnostic médical, le triage des patients et la recommandation de traitement est à haut risque selon le règlement UE sur l'IA. Ce guide explique comment le règlement interagit avec le règlement sur les dispositifs médicaux (MDR) et l'IVDR, et ce que les articles 9, 10, 12 et 14 exigent des fournisseurs d'IA clinique et des hôpitaux qui les déployer.
Dernière mise à jour: 4 juillet 2026
Pourquoi l'IA clinique est-elle à haut risque
L'IA des soins de santé atteint le niveau de risque élevé par deux voies distinctes, et de nombreux systèmes touchent les deux :
- Article 6(1) — produits médicaux réglementés. L'IA qui est un dispositif médical ou un composant de sécurité d'un dispositif médical (imagerie diagnostique, logiciel de soutien à la décision, analyseurs IVD) est à haut risque lorsqu'elle nécessite déjà une évaluation de la conformité par un tiers en vertu du MDR (règlement (UE) 2017/745) ou de l'IVDR (règlement (UE) 2017/746).
- Annexe III, point 5(d) — triage d'urgence. L'IA utilisée pour trier les patients ou déployer des services de première intervention d'urgence est répertoriée directement à l'annexe III, indépendamment de son statut de dispositif.
- Annexe III, point 5(a) — accès aux soins de santé. L'IA qui évalue l'éligibilité d'une personne à des avantages et services de soins de santé publics est également à haut risque.
Les outils de recommandation de traitement et de soutien au diagnostic sont généralement qualifiés de haut risque. Les applications de bien-être général sans objectif médical ne le sont généralement pas — classez chaque système contre l'article 6 et l'annexe III plutôt que de supposer.
Interaction avec le MDR et l'IVDR
Le règlement sur l'IA ne remplace pas la législation sur les dispositifs médicaux — il se superpose à celle-ci.
Pour l'IA qui est un dispositif médical, les exigences de haut risque du règlement sur l'IA sont intégrées à la procédure d'évaluation de la conformité existante du MDR/IVDR plutôt que de s'exécuter sur une piste distincte, de sorte qu'une seule évaluation par un organisme notifié peut couvrir les deux régimes. Les fabricants doivent toujours obtenir un marquage CE en vertu du MDR/IVDR, et le règlement sur l'IA ajoute des obligations — gestion des risques, gouvernance des données, journalisation, surveillance humaine et documentation technique — en plus des devoirs d'évaluation clinique et de surveillance post-commercialisation qu'ils assument déjà.
Conséquence pratique : votre dossier technique MDR et votre documentation de l'annexe IV du règlement sur l'IA devraient être construits comme une base de preuves cohérente, et non comme deux éléments distincts.
Obligations essentielles pour l'IA clinique
Les articles porteurs pour un système de soins de santé à haut risque :
- Article 9 — gestion des risques. Un système de gestion des risques continu, couvrant tout usage clinique raisonnablement prévisible et le risque résiduel pour les patients.
- Article 10 — gouvernance des données. Les données de formation, de validation et de test doivent être pertinentes et représentatives ; les ensembles de données cliniques nécessitent un examen des préjugés et une provenance documentée, l'article 10(5) permettant un traitement limité de données de santé de catégorie spéciale uniquement pour détecter et corriger les préjugés, sous sauvegarde.
- Article 12 — journalisation. Enregistrement automatique des événements sur la durée de vie du système afin qu'une décision clinique puisse être reconstruite et tracée.
- Article 14 — surveillance humaine. Un clinicien doit être en mesure de comprendre, de surveiller, d'outrepasser ou de rejeter la sortie de l'IA — le clinicien dans la boucle reste cliniquement et légalement responsable du patient.
Comment AIAgentree aide
AIAgentree capture chaque décision d'IA clinique comme un enregistrement tamper-evident avec validation clinique, vous donnant le journal de l'article 12 et les preuves de surveillance de l'article 14 en un seul endroit.
- Enregistrements de décision tamper-evidents pour chaque sortie de diagnostic, de triage ou de recommandation de traitement — le raisonnement, les entrées et le clinicien qui l'a examiné
- Flux de travail de surveillance et d'approbation humaine qui nécessitent la validation clinique avant ou après une recommandation d'IA, avec qui/quand/pourquoi capturé pour l'article 14
- Rétention d'audit adaptée à l'article 19 de conservation des enregistrements, avec résidence de données de l'UE (Allemagne) pour l'alignement du RGPD sur les données des patients, ainsi que la recherche de précédents sur les décisions passées et le suivi des résultats
- Intégrer via les SDK Python et TypeScript sur REST, MCP, A2A et OpenTelemetry — commencez sur le niveau gratuit de 25 traces avec une latence d'enregistrement asynchrone inférieure à 10 ms
Foires aux questions
L'IA de diagnostic médical est-elle à haut risque selon le règlement UE sur l'IA?
Oui. L'IA qui est un dispositif médical ou un composant de sécurité d'un dispositif médical est à haut risque selon l'article 6(1) chaque fois qu'elle nécessite déjà une évaluation de la conformité par un tiers en vertu du RDM ou du RDI. L'IA de triage des patients en cas d'urgence est séparément répertoriée comme à haut risque à l'annexe III, point 5(d).
Le règlement sur l'IA remplace-t-il le RDM et le RDI pour l'IA médicale?
Non. Il les complète. Les exigences de haut risque du règlement sur l'IA sont intégrées dans la procédure d'évaluation de la conformité existante du RDM/RDI, de sorte qu'une seule évaluation peut couvrir les deux, mais vous devez toujours avoir un marquage CE en vertu de la loi sur les dispositifs médicaux, ainsi que les obligations de gestion des risques, de gouvernance des données, d'enregistrement et de surveillance du règlement sur l'IA.
Que signifie la surveillance humaine de l'article 14 dans un hôpital?
Un clinicien qualifié doit être en mesure de comprendre la sortie de l'IA, de surveiller son utilisation et de la contourner ou de l'ignorer. L'IA est un outil de soutien à la décision ; le clinicien conserve la responsabilité clinique et juridique du patient. Les actions de validation et de contournement doivent être enregistrées.
Pouvons-nous utiliser des données réelles de patients pour former et tester l'IA clinique en vertu de l'article 10?
Les données doivent être pertinentes, représentatives et examinées pour les préjugés. L'article 10(5) permet le traitement de données de santé de catégorie spéciale strictement pour détecter et corriger les préjugés dans les systèmes à haut risque, sous réserve de garanties. Le RGPD s'applique toujours en plus des devoirs de gouvernance des données du règlement sur l'IA.
Quand les obligations de haut risque pour les soins de santé s'appliquent-elles?
Les obligations de haut risque du règlement (UE) 2024/1689 s'appliquent à partir du 2 août 2026. Les fournisseurs d'IA médicale devraient aligner leurs preuves du RDM/RDI et leur documentation sur le règlement sur l'IA dès maintenant, plutôt que de les traiter comme des programmes distincts.
Continuer à explorer le guide de la loi européenne sur l'IA
Guide de conformité à la loi européenne sur l'IA
Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.
Article 12 — Conservation des enregistrements et journalisation
Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.
Article 14 — Surveillance humaine
Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.
Annexe III — Systèmes d'IA à haut risque
Quels cas d'utilisation d'IA la loi classe comme à haut risque.
Liste de contrôle de conformité à la loi européenne sur l'IA
Une liste de contrôle étape par étape pour atteindre et documenter la conformité.
Calculateur de coût de conformité
Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.
Délais et calendrier
Dates clés d'application, y compris le délai du 2 août 2026.
Amendes et pénalités
Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
Obligations de transparence (art. 13 et 50)
Devoirs de divulgation pour les systèmes d'IA et leurs sorties.
Gestion des risques et évaluation de la conformité
Construire un système de gestion des risques et évaluer la conformité.
Obligations GPAI
Règles pour les fournisseurs de modèles d'IA à usage général.
Loi européenne sur l'IA pour les entreprises américaines
Portée extraterritoriale et ce que les fournisseurs américains doivent faire.
Mise à jour omnibus
Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.
Calculatrice de pénalité
Estimez votre amende maximale en vertu des niveaux de l'article 99.
Article 11 + Annexe IV
Quelle documentation technique l'Acte IA de l'UE exige.
Article 26 : Obligations des déploieurs
Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.
Article 17 : Gestion de la qualité
Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.
Article 10 : Gouvernance des données
Qualité des données, mitigation des biais et devoirs de gouvernance.
Article 4 : Littératie en IA
L'obligation de littératie en IA du personnel en vigueur depuis février 2025.
Déploieur vs Fournisseur
Qui assume quelle obligation — et quand un déploieur devient un fournisseur.
FRIA (Article 27)
Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.
À qui s'applique-t-il ?
Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.
Surveillance post-marché
Articles 72–73 : surveillance continue et déclaration d'incidents.
ISO 42001 vs Acte IA de l'UE
Comment la norme volontaire et la loi contraignante s'harmonisent.
NIST AI RMF vs Acte IA de l'UE
Un guide pratique entre le cadre et la loi.
Acte IA de l'UE pour les services financiers
Notation de crédit, tarification des assurances et réglementation financière existante.
Acte IA de l'UE pour les RH et l'emploi
Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.