Un directeur R&D utilise une plateforme de drug discovery IA pour identifier une molécule candidate. Les données de dix mille composés propriétaires ont alimenté le modèle hébergé sur infrastructure américaine. La molécule découverte est prometteuse. Les équipes sont mobilisées. Et personne au COMEX n'a posé la question : à qui appartient cette découverte si demain le groupe cherche à la breveter - ou si un concurrent l'a fait avant ?
L'IA et la drug discovery : une gouvernance structurellement absente
En 2026, aucun groupe pharmaceutique de taille significative n'est encore à l'écart des déploiements IA dans la découverte médicamenteuse. Roche a déployé une infrastructure de 2 176 GPU NVIDIA dédiés au traitement de données R&D depuis mars 2026. Sanofi a engagé 888 millions de dollars dans un accord avec Insilico Medicine en janvier 2026. Servier a signé la même année une alliance d'un milliard d'euros avec Iktos. Ces décisions sont exécutées. Les plateformes tournent.
Sur neuf plateformes majeures de drug discovery IA actives en France et Suisse, huit ont leur siège juridique hors Union européenne. Schrödinger opère depuis New York. Recursion depuis Salt Lake City. Insilico Medicine depuis Cambridge, Massachusetts. Ces entreprises hébergent, traitent ou enrichissent leurs modèles avec des données que des groupes européens leur confient - souvent sans que le conseil d'administration n'ait statué sur le cadre contractuel, la localisation effective des données, ni les conditions d'entraînement des modèles.
La doctrine juridique 2025–2026 est désormais stabilisée sur un point : l'IA ne peut pas être inventeur. USPTO, EPO et le Tribunal fédéral suisse (B-2532/2024, juin 2025) convergent. Les inventions assistées par IA restent brevetables - à condition que la contribution humaine soit documentée de façon traçable et préalable. Ce qui suppose un cadre établi avant le lancement de la recherche. Ce cadre, la majorité des groupes pharmaceutiques ne l'ont pas formalisé.
Données patients des essais cliniques et exposition au Cloud Act américain
Les données génomiques, les données de phases I à III et les données de pharmacovigilance relèvent de la catégorie particulière du RGPD (article 9) et de l'article 5 let. c de la LPD suisse révisée, entrée en vigueur le 1er septembre 2023. Leur traitement exige un consentement explicite ou une base légale spécifique. Leur hébergement sur des plateformes cloud américaines - même localisées physiquement en Europe - crée une exposition au CLOUD Act que les décisions d'adéquation RGPD ne neutralisent pas.
Le CLOUD Act (18 U.S.C. § 2713) permet aux autorités américaines de contraindre les entreprises US à produire des données qu'elles détiennent ou contrôlent, indépendamment de leur localisation géographique. Les groupes Roche (via Genentech), Sanofi (via Sanofi US) et Novartis (via Novartis US) disposent tous de filiales américaines juridiquement contraignables. L'EDPB a confirmé dans sa review de novembre 2024 que le Data Privacy Framework ne neutralise ni le CLOUD Act ni FISA 702 - réautorisé en avril 2024.
« La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Chaque décision de confier des données à une plateforme est réversible - à condition qu'elle ait été prise délibérément, avec un plan B documenté. Doctrine VEIA.AI - Gouverner la dépendance »
L'ICH E6(R3), entré en vigueur en UE le 23 juillet 2025 et en Suisse le 15 août 2025, pose un principe sans ambiguïté : l'accountability du sponsor sur les données traitées est indélégable, même en cas de délégation à un CRO ou à un vendor IA. La délégation opérationnelle ne décharge pas la responsabilité de la direction. C'est une décision de gouvernance, pas une décision technique.
Le shadow IA dans les équipes R&D et les affaires réglementaires
La réalité documentée est préoccupante dans des proportions que peu de COMEX pharmaceutiques ont quantifiées. 77% des scientifiques pharmaceutiques déclarent utiliser des outils IA - souvent publics, non validés - dans leur travail quotidien. 83% des organisations pharma ne disposent pas de garde-fous techniques de base contre les fuites de données IA. Le coût moyen des incidents insider liés au shadow IA dans le secteur pharma et healthcare est estimé à 28,8 millions de dollars par an pour une organisation de taille significative.
Les risques spécifiques à la pharma sont aigus. En R&D, soumettre des éléments inventifs à un LLM grand public expose à une perte de nouveauté brevetable au sens de l'article 54(2) CBE - sans période de grâce en Europe. En affaires réglementaires, utiliser un LLM non validé pour rédiger ou analyser un dossier d'AMM expose à une récusation des données lors d'une inspection FDA ou EMA. En pharmacovigilance, un système IA qui classe des événements indésirables sans validation GxP préalable produit des résultats scientifiquement non défendables devant les régulateurs.
Ces risques ne se manifestent pas immédiatement. Ils s'accumulent silencieusement pendant les mois de déploiement non gouverné - et se matérialisent lors d'un audit, d'un litige de propriété intellectuelle, ou d'une inspection réglementaire. À ce stade, le coût de remédiation dépasse largement celui d'une gouvernance préventive.
Ce que la gouvernance doit couvrir - et qui doit la tenir
Quatre décisions relèvent exclusivement de la direction et ne peuvent être déléguées aux équipes techniques ou aux prestataires. La première est le cadre de propriété intellectuelle sur les découvertes IA assistées : qui documente la contribution humaine, selon quels critères, avant le lancement de chaque projet de drug discovery IA. La deuxième est la cartographie décisionnelle de données patients dans les essais cliniques : quels systèmes, quels vendors, quelle localisation effective des données, quelle exposition au CLOUD Act. La troisième est la doctrine shadow IA : quels outils sont autorisés, dans quelles conditions, avec quelle validation - et quelle sanction pour les usages non déclarés. La quatrième est le cadre de responsabilité sponsor : comment la direction assume l'accountability sur les alertes de pharmacovigilance, sur les données générées par IA dans les soumissions réglementaires, sur les décisions assistées dans les essais.
Ces décisions n'appartiennent pas aux équipes R&D, ni aux directions des systèmes d'information, ni aux prestataires de conseil qui sont eux-mêmes partenaires commerciaux des plateformes qu'ils recommandent. Elles appartiennent au COMEX. La gouvernance commence par là.
Votre groupe pharmaceutique a déjà engagé des usages IA. La question n'est plus de savoir si - c'est de savoir si la direction tient le gouvernail.
