Nous plaçons des cookies pour garantir les fonctionnalités essentielles, mesurer l’audience et vous proposer du contenu personnalisé. En savoir plus

Blog

Explorez nos articles

Retrouvez toutes les dernières actualités de Certeafiles et notre veille régulière sur l’univers des dispositifs médicaux.

Retour
AI Act et RGPD dans les Dispositifs Médicaux

AI Act, RGPD et dispositifs médicaux : la collision des réglementations

Intelligence ArtificielleRGPDFocus RDM
Décryptage du chevauchement entre AI Act, RGPD et MDR, et des stratégies pour anticiper les exigences réglementaires en santé numérique.

Introduction

Il y a dix ans, le RGPD s’est abattu sur le monde des affaires, plongeant les entreprises dans une frénésie de politiques de confidentialité, de bannières cookies et de formations à la conformité.
Quelques années plus tard, le Règlement européen sur les dispositifs médicaux (MDR) a déclenché une tempête similaire dans l’industrie MedTech, exigeant des préparations massives, de nouvelles données cliniques et des milliers de pages de documentation.

Dans les deux cas, beaucoup ont eu l’impression de revivre le « bug de l’an 2000 » : tout le monde courant dans tous les sens, se préparant au pire, pour finalement découvrir que l’impact réel était moins dramatique que la panique initiale.

Nous voilà en 2025, et l’AI Act s’apprête à entrer en scène. Les professionnels de la santé numérique, déjà aguerris par le RGPD et le MDR, affichent un certain scepticisme.
Mais négliger l’AI Act serait une erreur : contrairement aux vagues réglementaires précédentes, ce texte s’entrecroise directement avec le RGPD et le MDR, créant des obligations qui se chevauchent, voire se contredisent parfois.

Toute entreprise qui développe ou utilise l’IA en Europe sera concernée.
Que vous soyez une startup entraînant des algorithmes de diagnostic ou un hôpital déployant des systèmes de triage basés sur l’IA, vous relèverez forcément d’un de ces deux rôles : fournisseur ou opérateur.
Et avec les dispositifs médicaux considérés comme systèmes à haut risque, les enjeux n’ont jamais été aussi élevés.

Alors, comment ces réglementations se télescopent-elles et que doivent faire les innovateurs en santé dès aujourd’hui ?
Décryptage.

1. L’AI Act en bref

L’AI Act européen est le premier cadre juridique complet au monde visant à réguler l’intelligence artificielle.
Ses objectifs sont clairs : garantir une IA sûre, transparente et éthique.

1.1 Principes essentiels

Deux rôles définis (parfois cumulés) :

  • Fournisseurs : développent ou mettent des systèmes d’IA sur le marché.
  • Opérateurs : utilisent professionnellement ces systèmes dans l’UE.

Classification par niveau de risque :
Les applications en santé sont presque toujours considérées comme à haut risque, impliquant des exigences renforcées en matière de tests, de documentation et de supervision humaine.

Calendrier :
Les premières dispositions entreront en vigueur dès 2025, avec une application complète prévue pour 2027.

💡 Pour la MedTech, cela signifie qu’un dispositif médical intégrant de l’IA devra non seulement respecter le MDR, mais aussi démontrer sa conformité aux obligations de l’AI Act.

2. RGPD et données de santé

Le Règlement général sur la protection des données (RGPD), en vigueur depuis 2018, reste l’un des cadres de protection de la vie privée les plus stricts au monde.
En santé numérique, il est incontournable : la quasi-totalité des systèmes d’IA manipulent des données personnelles sensibles (biométriques, physiologiques, génétiques…).

2.1 Principes clés du RGPD

  • Base légale : le traitement des données personnelles n’est autorisé que dans des conditions précises (consentement du patient, intérêt vital, santé publique, etc.).
  • Minimisation : ne collecter que les données strictement nécessaires.
  • Responsabilité : être en mesure de démontrer la conformité à tout moment.

2.2 Là où RGPD et AI Act se rejoignent

  • Tous deux insistent sur l’explicabilité : les individus doivent comprendre comment leurs données sont utilisées et comment les décisions sont prises.
  • Le RGPD impose une analyse d’impact (DPIA) pour les traitements à haut risque ; l’AI Act exige une classification des risques et une documentation équivalente.
  • Les deux imposent une présence humaine dans les décisions automatisées à fort impact.

3. Le règlement sur les dispositifs médicaux (MDR + normes ISO)

En plus du RGPD et de l’AI Act, les innovateurs en santé doivent composer avec le MDR, qui impose déjà des exigences strictes en matière de sécurité, de performance, de gestion des risques et d’évaluation clinique.

3.1 Normes ISO particulièrement pertinentes

Référentiel Objet principal Application clé
ISO 13485 Système de management de la qualité des dispositifs médicaux Base de tout SMQ médical
ISO 14971 Gestion des risques Identification, évaluation et maîtrise des risques cliniques
ISO 62304 Cycle de vie logiciel des dispositifs médicaux Encadre conception, test, maintenance et documentation

Le problème ? Le MDR n’a pas été pensé pour l’IA.
Les dispositifs traditionnels sont statiques : une fois certifiés, ils évoluent peu.
Les systèmes d’IA, eux, apprennent en continu, évoluent avec les données et peuvent adopter des comportements imprévisibles.
Résultat : une friction considérable lorsqu’il s’agit de les faire entrer dans le moule du MDR.

4. Quand les réglementations se télescopent

La vraie difficulté ne vient pas de chaque réglementation prise isolément, mais de leur interaction.
Voici quelques points de collision majeurs :

4.1 Transparence vs confidentialité

  • L’AI Act impose la transparence et l’explicabilité des algorithmes.
  • Le RGPD impose la minimisation des données et la protection des secrets industriels.
    ➡️ Trouver le juste équilibre sera un casse-tête.

4.2 Responsabilité et imputabilité

  • Le MDR rend les fabricants responsables de la sécurité et des performances.
  • Le RGPD rend les responsables de traitement responsables de l’usage des données.
  • L’AI Act ajoute des obligations aux fournisseurs et opérateurs.
    👉 Résultat : un empilement de responsabilités lorsqu’un système d’IA dysfonctionne.

4.3 Algorithmes apprenants en continu

  • Le MDR suppose un dispositif figé.
  • L’ISO 62304 encadre des versions stables et définies.
  • L’AI Act exige suivi et gestion des risques pour les systèmes évolutifs.
    👉 Comment certifier quelque chose qui ne cesse jamais d’apprendre ?

4.4 Transferts de données transfrontaliers

  • Le RGPD encadre strictement l’export de données hors UE.
  • Or, nombre de pipelines d’entraînement IA reposent sur des infrastructures hébergées aux États-Unis.
    👉 Un casse-tête supplémentaire pour les startups MedTech.

5. Conseils pratiques pour les développeurs en santé

Alors, comment se préparer à ce télescopage réglementaire ?
Voici 5 actions concrètes :

1.Cartographiez votre (vos) rôle(s)
Êtes-vous fournisseur, opérateur… ou les deux ? Vos obligations diffèrent.

2.Classifiez votre système d’IA le plus tôt possible
En santé, il sera presque toujours à haut risque → marquage CE obligatoire.

3.Intégrez le RGPD dès la conception

  • Privilégiez l’anonymisation réelle plutôt que la simple pseudonymisation.
  • Réalisez vos analyses d’impact (DPIA).
  • Obtenez un consentement explicite si nécessaire.

4.Renforcez la documentation et la traçabilité

  • Étendez vos matrices de traçabilité aux pipelines de données et à l’entraînement des algorithmes.
  • Soyez prêt à montrer non seulement ce que fait votre dispositif, mais aussi comment l’IA a été entraînée, testée et validée.

5.Préparez vos audits

  • Démontrez l’explicabilité, la gestion des risques et la supervision humaine.
  • Intégrez AI Act et RGPD dans votre SMQ existant pour éviter la surcharge réglementaire.

6. Conclusion – Transformer le télescopage en opportunité

À première vue, le chevauchement entre AI Act, RGPD et MDR ressemble à un cauchemar réglementaire.
Mais bien abordé, il peut devenir un facteur de différenciation stratégique.

Les entreprises qui anticiperont l’alignement de ces cadres bénéficieront :

  • d’un accès plus rapide au marché,
  • d’une confiance accrue des patients et des autorités,
  • et d’une stratégie de conformité plus robuste.

N’attendez pas 2027, quand l’AI Act s’appliquera pleinement.
Il sera trop tard pour construire votre conformité à partir de zéro.

Agissez dès maintenant :

  • Intégrez les exigences du RGPD et de l’AI Act dans votre SMQ.
  • Considérez la documentation comme un actif stratégique.
  • Concevez vos dispositifs d’IA sous le signe de la transparence et de la responsabilité.

Contact

Commencez dès aujourd’hui en cartographiant vos systèmes d’IA et en documentant vos flux de données.
Chez Certeafiles, nous vous accompagnons à chaque étape :

  • Accompagnement personnalisé par nos experts.
  • Formations pratiques et adaptées.
  • Audits internes.

👉 Contactez-nous pour une première consultation gratuite et découvrez comment Certeafiles peut accélérer et sécuriser vos efforts de conformité AI Act, RGPD et MDR.