- En 2026, 62 % des médecins libéraux français utilisent ChatGPT en pratique clinique. Moins de 7 % des structures disposent de directives IA internes. L'écart est le terrain de la gouvernance.
- Le Règlement IA UE 2024/1689 qualifie le praticien de déployeur de système IA haut risque. Les obligations - supervision humaine, logs, AIPD, information du patient - entrent en vigueur au 2 août 2026.
- Le président de CPTS et le gérant de MSP ont une responsabilité civile sur les outils IA déployés dans leur structure. La SISA ne fait pas écran à la responsabilité clinique individuelle de chaque praticien.
Un médecin généraliste dans une MSP de huit praticiens. Il utilise Maiia comme LGC - un outil qu'il n'a pas choisi mais qui s'est installé avec le déménagement dans la nouvelle maison de santé. Depuis octobre 2025, Maiia intègre Praxy.ai : un module d'aide à la rédaction et au diagnostic différentiel. Un soir de novembre, face à une présentation atypique, le praticien retient l'une des suggestions du module. L'ordonnance est signée. L'incident survient deux semaines plus tard. La plainte CNAM est déposée. Qui répond ? Le médecin. Pas Cegedim. Pas Praxy.ai. Pas le gérant de SISA. Le médecin qui a signé l'ordonnance.
L'IA s'installe dans les LGC par capillarité
L'intégration de l'IA dans les logiciels de gestion de cabinet ne résulte pas d'une décision des structures de soins primaires. Elle résulte des feuilles de route produit des éditeurs. Doctolib a transcrit 30 millions de consultations via son Assistant de consultation entre octobre 2024 et mi-2025. Cegedim a lancé Claude Bernard IA en octobre 2025 et Maiia + Praxy.ai en mars 2025. Microsoft Dragon Copilot est disponible en France depuis le 7 octobre 2025. Nabla revendique 85 000 utilisateurs mondiaux.
Ces modules opèrent sur des données médicales de catégorie particulière au sens RGPD. La certification HDS - obligatoire pour tout hébergeur de données de santé - couvre l'hébergement physique, pas les fonctionnalités IA embarquées dans le LGC. Un assistant de dictée peut opérer sur des données identifiantes via une infrastructure certifiée HDS tout en transmettant ces données à un modèle fondationnel tiers non certifié. La chaîne de sous-traitance est opaque pour la majorité des praticiens. La CNIL a sanctionné Cegedim Santé à hauteur de 800 000 € en septembre 2024 pour traitement de données de santé non anonymes - un signal sur la réalité du risque.
En parallèle, le shadow AI s'installe par un autre canal. Des outils non validés - ChatGPT, Claude, Copilot - sont utilisés quotidiennement pour analyser des résultats biologiques, rédiger des comptes-rendus, explorer des diagnostics différentiels. Ces usages constituent des traitements de données de catégorie particulière sans base légale conforme, sans certification HDS, sans traçabilité, sans information du patient. L'étude BMJ Health Care Informatics (1 006 généralistes, 2024) établit que 28 % des praticiens recourent à des LLM pour le diagnostic différentiel. En France, le baromètre PulseLife place cette proportion à plus de 60 % sur l'ensemble des usages IA.
Ce que l'AI Act haut risque change pour les praticiens déployeurs en 2026
Le Règlement IA UE 2024/1689 classe les systèmes d'aide au diagnostic médical en annexe III, catégorie haut risque. Le praticien qui utilise un tel système dans sa pratique est qualifié de déployeur au sens de l'article 26. Cette qualification emporte des obligations concrètes dont la date d'entrée en vigueur initiale est le 2 août 2026 : supervision humaine active et documentée, conservation des logs au minimum six mois, réalisation d'une AIPD, information du patient sur les systèmes IA mobilisés, registre des systèmes IA utilisés dans la structure.
L'obligation de littératie IA (art. 4) - assurer que le personnel disposant d'une compétence suffisante pour utiliser les systèmes IA haut risque - est en vigueur depuis le 2 février 2025. Elle s'applique à tous les déployeurs, y compris les médecins libéraux, les CPTS et les MSP. Ni la France ni la Suisse ne disposent à ce jour de jurisprudence IA médicale. Le guide HAS/CNIL publié en mars 2026, premier référentiel opérationnel pour les professionnels de santé, est conçu pour des établissements. Sa transposition à la médecine de ville organisée reste entièrement à construire.
« La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle - savoir quel outil on utilise, dans quelles conditions, avec quel plan B - est à construire. C'est ce que gouverner la dépendance signifie en pratique pour un médecin libéral ou un président de CPTS. Doctrine VEIA.AI »
Le shadow IA dans les cabinets médicaux, un risque systémique sous-documenté
Aucune étude de prévalence du shadow IA en médecine libérale française ou suisse n'existe à ce jour. L'estimation repose sur des données transposables : 20 % d'usage clinique LLM chez les généralistes britanniques (Blease et al., 2024), 41 % de connaissance d'usage non autorisé chez les professionnels de santé américains (Wolters Kluwer, décembre 2025), 62 % d'usage ChatGPT chez les médecins français (PulseLife, septembre 2025, à pondérer pour biais d'auto-sélection). La fourchette raisonnée se situe entre 20 et 40 % d'utilisateurs réguliers de LLM grand public parmi les libéraux français et suisses.
Les risques sont documentés scientifiquement. Roustan et Bastardot (CHUV, JMIR 2025) documentent les hallucinations cliniques pour les cliniciens francophones. Zack et al. (Lancet Digital Health, 2024) établissent que GPT-4 perpétue des biais raciaux et de genre dans les recommandations diagnostiques. Le taux d'hallucination de références bibliographiques dépasse 30 % pour ChatGPT et Bard (Chelli et al., JMIR 2024). La question n'est pas de proscrire l'usage - elle est de poser le cadre dans lequel il s'exerce.
Ce que la gouvernance d'une CPTS ou d'une MSP doit couvrir
Une CPTS est pilotée par un président élu parmi les professionnels de santé - souvent sans rémunération pour ce rôle, sans équipe DSI, sans DPO interne. Les 800 CPTS opérationnelles couvrent 90 % du territoire français. Aucune n'a publié à ce jour de lecture stratégique de ses systèmes IA ni de registre conforme aux obligations AI Act. Le président de CPTS engage sa responsabilité civile de mandataire sur les outils IA déployés au nom de la structure. Le gérant de SISA d'une MSP a une responsabilité parallèle sur les outils mutualisés entre professionnels de disciplines différentes.
La gouvernance d'une telle structure doit couvrir quatre axes. Premièrement, la lecture stratégique des systèmes IA en usage - modules LGC embarqués, outils hors cadre, outils de téléconsultation avec assistance IA. Deuxièmement, la vérification de la chaîne de sous-traitance des données patients pour chaque outil identifié - certification HDS effective, localisation des traitements IA, conditions de transfert vers des modèles fondationnels tiers. Troisièmement, la formalisation du partage de responsabilité entre la structure et les praticiens individuels sur les outils mutualisés - avec clauses-types dans les nouveaux contrats éditeurs. Quatrièmement, la politique d'usage documentée : distinction entre outils validés et outils hors cadre, protocole d'information du patient, procédure de supervision humaine pour les systèmes d'aide au diagnostic.
Aucun éditeur de LGC ne peut tenir ce discours sans conflit d'intérêts. Doctolib vend simultanément le logiciel, le module IA et l'accompagnement. Cegedim a été sanctionné par la CNIL pour traitement de données hors cadre. Cette indépendance structurelle est la condition d'une recommandation libre, opposable au régulateur et défendable en conseil. Le conseil structurellement indépendant - sans partenariat commercial avec un éditeur ou un intégrateur - est la seule posture compatible avec l'intérêt du praticien et de la structure.
Un diagnostic de gouvernance IA pour votre structure - CPTS, MSP, réseau de soins ou groupe de médecine libérale. Lecture stratégique des dépendances, identification des expositions, livrable actionnable en trois semaines.
