Le constat de fond
Les EHPAD et les établissements médico-sociaux ne ressemblent à aucun autre terrain pour la gouvernance de l'IA. Trois éléments les distinguent. Les personnes accompagnées sont parmi les plus vulnérables qu'un système de soin reçoit : capacité de discernement souvent altérée, dépendance fonctionnelle, situations de fin de vie. Les données traitées comptent parmi les plus sensibles : évaluation AGGIR ou BESA, dossier de soins, données comportementales issues de capteurs, directives anticipées, suivi de l'agitation ou des troubles cognitifs. La responsabilité du directeur, enfin, est personnelle, civile et pénale au sens du Code de l'action sociale et des familles, et la loi Bien Vieillir du 8 avril 2024 a renforcé l'exigence d'accord écrit explicite du résident ou de son représentant pour la collecte et le traitement de ses données.
Dans ce paysage, le baromètre FHF publié en septembre 2025 et le baromètre UniHA mené en parallèle convergent sur un constat : 65 % des établissements publics utilisent désormais l'IA en production, un soignant sur trois utilise un outil IA personnel à des fins professionnelles, mais 6 % seulement ont reçu une formation structurée et 62 % déclarent une connaissance limitée des technologies qu'ils manipulent. L'usage devance la gouvernance, et chez les grands groupes - Clariane, Emeis, DomusVi, Colisée, Domidep, Fondation Partage et Vie - aucune politique IA, aucun comité IA, aucun registre AI Act n'est publié à ce jour.
Ce que l'AI Act change pour les établissements médico-sociaux en 2026
Le Règlement européen sur l'IA, applicable progressivement depuis février 2025, qualifie comme systèmes à haut risque, au point 5(a) de son Annexe III, les outils d'évaluation de l'éligibilité aux prestations et services publics essentiels - ce qui inclut potentiellement l'évaluation automatisée de la dépendance, l'aide à la décision sur l'orientation des résidents et les modules de planification de soins qui en découlent. La surveillance biométrique et comportementale relève du point 1. L'horizon est court : l'Annexe III devient applicable le 2 août 2026, sauf si le Digital Omnibus en discussion au niveau européen reporte cette date à décembre 2027 - décision non actée à ce jour.
Les obligations de déployeur posées par l'article 26 du RIA s'appliquent à tout établissement qui utilise un tel système, y compris lorsqu'il est fourni par un éditeur métier. Supervision humaine effective, journalisation des logs sur six mois minimum, information des personnes affectées, notification des incidents graves. À cela s'ajoute en France l'information-consultation du CSE prévue par les articles L.2312-8 et L.2315-94 du Code du travail, dont deux décisions de référé rendues en 2025 par les tribunaux judiciaires de Nanterre et de Créteil ont déjà sanctionné l'absence dans des établissements de santé. La Suisse n'est pas hors de portée : l'effet extraterritorial de l'AI Act peut s'appliquer à un EMS dès lors que les sorties d'un système concernent un résident frontalier européen.
« La gouvernance ne consiste pas à empêcher l'IA d'entrer. Elle consiste à décider quelles décisions de soin restent humaines, quelles données ne sortent jamais de l'établissement, et quels arbitrages le directeur garde la main sur. Tout le reste se négocie après. Doctrine VEIA · Mai 2026 »
Le shadow IA dans les équipes soignantes et administratives
Le risque le plus immédiat dans les établissements médico-sociaux ne se situe pas dans les grands projets pilotes. Il se situe dans les pratiques quotidiennes des équipes qui ouvrent ChatGPT, Claude ou Gemini pour rédiger une transmission, synthétiser une réunion pluridisciplinaire, préparer un courrier à une famille ou reformuler une partie d'un projet personnalisé d'accompagnement. La HAS et la CNIL ont officiellement reconnu cet usage en 2025-2026 dans leurs lignes directrices A.V.E.C. et leur guide conjoint, et le secteur médico-social y est explicitement cité comme retardataire dans sa structuration.
Chaque prompt envoyé avec un nom de résident, une date de naissance, une pathologie ou une évaluation AGGIR vers un LLM grand public constitue un transfert non autorisé de données de santé hors de l'hébergement HDS et, en pratique, hors de l'Espace économique européen. Le rapport IBM Cost of a Data Breach 2025 documente que les violations liées à la shadow IA coûtent en moyenne 670 000 dollars supplémentaires, et que le secteur santé reste le secteur le plus coûteux à incident pour la quatorzième année consécutive. Aucun groupe français ou suisse n'a publié de doctrine interne d'autorisation, de liste d'outils approuvés ou de cadre de retraitement des données avant envoi.
Ce que la gouvernance doit couvrir
Quatre périmètres se dégagent comme structurants. D'abord, l'inventaire des outils IA réellement en usage dans l'établissement - module métier, capteur, robot, LLM grand public utilisé par les équipes. Ce que les directions découvrent dans cet inventaire dépasse presque toujours ce qu'elles imaginaient avant de l'engager.
Ensuite, la définition des données dont la transmission externe est interdite par principe - données identifiantes des résidents, données comportementales issues de capteurs, données de fin de vie, contenu des directives anticipées, données des personnes sous tutelle ou curatelle. La hiérarchie des bases légales prévue par l'article 9 du RGPD et l'article 5 de la nLPD suisse ne dispense pas de cette doctrine interne ; elle l'exige.
Puis, l'examen des conditions contractuelles avec les éditeurs métier et les fournisseurs de capteurs et de robots. La directive européenne 2024/2853 sur la responsabilité du fait des produits, applicable aux dispositifs mis sur le marché à partir de décembre 2026, intègre les logiciels et les systèmes d'IA. L'établissement qui n'a pas négocié l'engagement de son éditeur sur la conformité AI Act, la localisation des données et la réversibilité s'expose à porter seul la responsabilité.
Enfin, la formalisation d'une doctrine interne opposable - aux soignants, aux familles, aux autorités de tutelle, aux organismes qualité. Cette doctrine n'est pas un règlement supplémentaire. C'est un cadre qui dit comment l'établissement décide, qui décide, et ce que personne ne décide à la place du directeur. C'est précisément ce que la fenêtre 2026-2027 rend décisif. L'AI Act devient applicable. Le référentiel HDS v2.0 entre en pleine application le 16 mai 2026. La feuille de route stratégique IA 2025-2026 de la CNSA structure le terrain français. La consultation fédérale suisse sur l'IA s'ouvre fin 2026. Les directions qui posent maintenant le cadre devancent les décisions que d'autres prendront à leur place.
