Un responsable qualité d'une PME medtech charge un dossier de validation logicielle dans un grand modèle de langage pour préparer un audit MDR. L'objectif est simple : faire relire la cohérence des analyses de risques, identifier des manques avant le passage de l'organisme notifié. En trente minutes, ce qui aurait demandé une journée entière est fait.
Il vient aussi de transmettre à un fournisseur tiers - dont il ne sait pas où il tourne ni sous quelle juridiction ses données sont conservées - les éléments du dossier technique d'un dispositif médical en cours de certification. Il n'y a pas pensé. Il a fait son travail. Vite.
Ce geste se multiplie - dans les services qualité, dans les directions médicales, dans les laboratoires de biologie, dans les directions des systèmes d'information hospitaliers. Il n'est pas une faute. C'est un symptôme : la gouvernance de l'intelligence artificielle en santé n'a pas été formalisée. Et le temps presse, parce que les responsabilités, elles, s'accumulent silencieusement.
L'IA en santé n'est jamais une responsabilité technique.
D'autres secteurs peuvent traiter l'IA comme un outil de productivité - on l'adopte, on mesure, on ajuste. La santé ne le peut pas. Trois caractéristiques structurelles distinguent ce secteur des autres.
La première est juridique. L'AI Act qualifie comme systèmes à haut risque la quasi-totalité des dispositifs médicaux intégrant de l'intelligence artificielle - confirmé par la guidance MDCG 2025-6 publiée en juin 2025. Cette qualification crée un empilement réglementaire inédit : AI Act, MDR ou IVDR, certification HDS en France, nLPD en Suisse, normes ISO 13485 et IEC 62304 historiques, et désormais ISO/IEC 42001 sur le management de l'IA.
La deuxième est éthique. L'IA en santé touche au corps, au diagnostic, à la décision thérapeutique. Le baromètre PulseLife 2025 documente que 62% des médecins utilisent ChatGPT dans leur pratique, et que deux soignants sur trois ont vu passer des réponses fausses ou incomplètes. Le baromètre ACSEL-Toluna de décembre 2025 montre que 90% des professionnels utilisent des outils IA mais 50% seulement en informent leurs patients. L'usage s'est installé avant que les Ordres professionnels n'aient publié leurs cadres.
La troisième est structurelle : la responsabilité se partage sans se diluer. Un même usage de l'IA engage simultanément le fabricant du dispositif, l'établissement déployeur, le directeur médical, parfois le biologiste responsable, parfois le président de la commission médicale d'établissement. Chaque acteur découvre qu'il porte une part de responsabilité qu'il n'avait pas vue - et qu'aucun éditeur ne reprend dans ses conditions générales.
Ce que l'AI Act change concrètement en 2026.
Le calendrier est connu mais reste mal lu par les directions. Les pratiques interdites de l'AI Act sont en vigueur depuis février 2025. La majorité des obligations sur les systèmes à haut risque s'appliquera au 2 août 2026, et les obligations spécifiques aux dispositifs médicaux intégrant de l'IA - dans la catégorie des produits déjà soumis à évaluation de conformité - au 2 août 2027.
Pour un fabricant, cela signifie une double évaluation MDR + AI Act sur la même documentation technique. La guidance MDCG 2025-6 encourage une intégration du système qualité ISO 13485 et de la norme ISO/IEC 42001 sur le management de l'IA. Treize aspects nouveaux entrent dans le système qualité : gouvernance des données d'entraînement, supervision humaine, traçabilité automatique des logs, robustesse aux entrées adverses, cybersécurité du modèle. L'organisme notifié peut désormais être désigné comme organisme notifié AI Act.
Pour un établissement de santé déployeur, l'obligation porte ailleurs : information du patient, supervision humaine effective, journalisation des usages, gouvernance interne du shadow AI, traçabilité des décisions assistées par IA. Le baromètre 2025 de la Fédération hospitalière de France documente que 65% des établissements publics utilisent l'IA en production, mais 56% n'ont aucun budget dédié et moins d'un sur deux a désigné un référent.
L'écart entre l'obligation et la maturité installée n'est pas une zone grise temporaire. C'est le terrain réel sur lequel la gouvernance doit être posée.
"En santé, la responsabilité ne se dilue pas dans la chaîne technique. Elle se redistribue - et chaque acteur découvre qu'il en porte une part qu'il n'avait pas vue."
Le shadow AI dans les équipes médicales et techniques.
Le phénomène n'est plus marginal. Aux côtés des modules IA intégrés dans les éditeurs métier - PACS, dossier patient informatisé, systèmes de gestion de laboratoire - un usage parallèle s'est généralisé. Médecins, internes, biologistes, responsables qualité, ingénieurs d'études cliniques utilisent ChatGPT, Copilot, Gemini ou Mistral sur des données de patients, de dossiers de validation, d'audits internes - sans validation hiérarchique ni cadre interne.
Ce shadow médical n'est pas une rébellion. C'est le résultat d'un décalage entre l'utilité perçue de l'outil et l'absence de cadre clair. Les chiffres convergent : 62% des médecins l'utilisent en pratique selon PulseLife, 29% des infirmiers selon une enquête de l'Ordre national des infirmiers en mai 2025, et 92% d'entre eux déclarent n'avoir reçu aucune formation. La sanction prononcée par l'autorité italienne contre OpenAI fin 2024, à hauteur de 15 millions d'euros, montre que le sujet ne restera pas longtemps en zone grise.
Pour une organisation de santé, la question n'est pas d'interdire. C'est de décider. Quels outils sont admissibles pour quelles données ? Quelle traçabilité ? Qui assume la responsabilité en cas d'incident publié ? Ces questions n'ont pas de réponse si elles ne sont pas posées avant que l'usage soit installé.
Ce que la gouvernance doit couvrir avant tout engagement.
Une gouvernance IA d'organisation medtech n'est pas un document de conformité. C'est un cadre de décision opérationnel, distinct de l'expertise réglementaire et de l'audit technique. Il couvre quatre périmètres irréductibles.
La cartographie des dépendances réelles - non pas seulement les éditeurs visibles, mais les chaînes fondationnelles sous-jacentes. Quel modèle alimente quel module IA chez quel éditeur, hébergé sur quel cloud, sous quelle juridiction ? Cette cartographie révèle souvent que la souveraineté annoncée d'un produit européen repose sur une chaîne dont la racine est américaine. La Cour des comptes a documenté ce point dans son rapport d'octobre 2025 sur la souveraineté des systèmes d'information de l'État.
L'identification des données que l'organisation refuse de confier à un modèle externe, quels que soient les gains de productivité. C'est une décision de gouvernance, pas une décision technique. Elle se prend en COMEX, pas dans une réunion DSI.
Les conditions contractuelles avec les éditeurs - réversibilité, localisation effective des données, conditions d'accès tiers, droit d'audit, sortie négociée. Le coût de sortie d'un éditeur DPI après dix ans d'usage, documenté à l'AP-HP comme dans les hôpitaux universitaires suisses, montre que ces clauses se négocient avant signature, pas après.
Et la doctrine interne d'usage de l'IA - opposable, connue de l'ensemble des équipes médicales et techniques, articulée avec les chartes des Ordres professionnels et avec les recommandations communes HAS-CNIL publiées en 2026.
Cette gouvernance se pose avant les engagements structurants : choix d'un éditeur, déploiement d'un module IA en routine clinique, articulation avec un organisme notifié, refonte du système qualité. Une fois les dépendances installées, les marges de manœuvre rétrécissent. C'est ce que VEIA appelle décider avant d'intégrer.
