Les données des résidents, les algorithmes de planification des soins et les systèmes de surveillance sont les actifs les plus sensibles d'un établissement médico-social. Leur gouvernance engage la responsabilité du directeur, la protection des personnes vulnérables et la confiance des familles. Ce qu'aucun prestataire technologique ne reprendra contractuellement.
Le baromètre FHF publié en septembre 2025 documente que près de deux établissements publics sur trois utilisent désormais l'IA en production, et que 90 % projettent de nouveaux déploiements d'ici trois ans. Le baromètre UniHA mené sur 1 000 professionnels hospitaliers et médico-sociaux confirme qu'un agent sur trois utilise déjà un outil IA personnel à des fins professionnelles. Seuls 6 % ont reçu une formation structurée, et 62 % déclarent une connaissance limitée ou très limitée de ces technologies.
Les grands groupes communiquent sans encore se gouverner. Clariane a déployé l'application Koala dans une soixantaine d'EHPAD pilotes fin 2024 et nommé un directeur médical, éthique et innovation. Emeis affiche un plan Care & Confiance et a quitté la Suisse en cédant Senevita à Tertianum. DomusVi, Colisée, Domidep, Fondation Partage et Vie n'ont publié aucune politique IA, aucun registre AI Act, aucun comité IA dédié. La feuille de route stratégique IA 2025-2026 de la CNSA et le guide HAS-CNIL de février 2026 structurent désormais le terrain réglementaire. La gouvernance interne reste à construire.
Les éditeurs métier - NetSoins, Titan, PSI, Mediateam, Cegi - intègrent des modules IA construits sur des modèles fondationnels tiers. Capteurs de chute, robots de compagnie, systèmes de surveillance acoustique reposent fréquemment sur des chaînes cloud qui dépassent largement le périmètre de maîtrise de l'établissement.
Évaluation AGGIR/GIR, dossier de soins, données comportementales issues de capteurs, directives anticipées, situations de fin de vie. Catégorie particulière au sens de l'article 9 du RGPD et de l'article 5 de la LPD suisse. La spécificité des personnes sous tutelle, curatelle ou habilitation familiale ouvre un terrain juridique sans jurisprudence stabilisée.
Civile et pénale en France au titre du Code de l'action sociale et des familles modifié par la loi Bien Vieillir d'avril 2024. Pénale personnelle jusqu'à 250 000 CHF en Suisse au titre de la nLPD. La responsabilité de déployeur au sens de l'article 26 de l'AI Act vient s'y ajouter. Aucune de ces responsabilités n'est délégable au prestataire.
Les usages explosent avant que la doctrine ne soit posée. Les directions héritent de dépendances qui se sont constituées dans l'ombre - éditeurs métier qui annoncent des modules IA, capteurs déjà installés dont la chaîne cloud n'est pas documentée, soignants qui ouvrent ChatGPT pour rédiger une transmission. Cinq angles méritent d'être traités avant que les marges de manœuvre ne disparaissent.
Données de résidents transmises à des LLM grand public L'envoi d'un prompt contenant un nom de résident, une date de naissance, une pathologie ou une évaluation AGGIR vers ChatGPT, Claude ou Gemini constitue un transfert non autorisé de données de santé hors de l'hébergement HDS et, en pratique, hors de l'Espace économique européen. La HAS et la CNIL ont reconnu officiellement cet usage en 2025-2026. Aucun groupe d'EHPAD français ou suisse n'a publié de doctrine interne consultable.
Biais algorithmiques dans l'évaluation de la dépendance Les outils d'évaluation AGGIR ou BESA assistés par IA exposent à des biais de genre, d'âge et de représentation des plus de 90 ans dans les datasets d'entraînement. Aucune étude française ou suisse spécifique aux populations gériatriques n'a été publiée. Le précédent américain Optum, documenté dans Science en 2019, reste le seul corpus disponible. C'est précisément cet angle mort qui rend la question des biais redoutable en COMEX.
Surveillance comportementale et dignité des personnes Capteurs acoustiques OSO-AI, détecteurs de chute Kaspard ou Lindera, systèmes de géolocalisation pour résidents atteints de troubles cognitifs : la CNIL a interdit en décembre 2024 la vidéosurveillance en chambre par défaut. La question des dispositifs alternatifs - et de l'arbitrage entre obligation de sécurité du directeur et liberté d'aller et venir - reste ouverte en France comme en Suisse.
Responsabilité civile et pénale sur une décision de soin assistée par IA La directive européenne 2024/2853 sur la responsabilité du fait des produits, applicable aux dispositifs mis sur le marché à partir de décembre 2026, intègre désormais les logiciels et les SIA, avec présomptions de défectuosité favorables aux victimes. Sham et Relyens, qui couvrent plus de 4 000 ESMS, n'ont publié à ce jour aucune offre dédiée au risque IA. Une tension tarifaire est à attendre.
Consentement à l'IA des personnes sous protection juridique Lorsque la personne protégée refuse l'IA mais que le tuteur, le curateur ou le représentant thérapeutique consent, qui décide ? La doctrine et l'article 459 du Code civil français convergent vers le respect de l'expression directe quand elle existe. Aucune jurisprudence ni recommandation publique - CNIL, CCNE, autorités cantonales suisses de protection de l'adulte - n'a tranché. Espace doctrinal vacant que les directions doivent occuper par anticipation.
AI Act haut risque applicable à partir d'août 2026 L'évaluation automatisée de la dépendance et l'éligibilité aux prestations relèvent du point 5(a) de l'Annexe III. La surveillance biométrique et comportementale relève du point 1. Les obligations de déployeur de l'article 26 imposent supervision humaine, logs de six mois, information des personnes affectées et information-consultation du CSE. L'horizon est court ; le Digital Omnibus en discussion pourrait reporter à décembre 2027 mais aucune publication officielle ne l'acte à ce jour.
Christophe Picou a piloté des systèmes d'information en environnement médical certifié ISO 15189, à l'interface des équipes cliniques, de la direction des systèmes d'information et des prestataires externes. Management fonctionnel, pilotage projet en milieu accrédité, gouvernance du changement face à un audit COFRAC.
Cette expérience ne se substitue pas à une expertise juridique spécialisée et ne couvre pas le terrain réglementaire stricto sensu. Elle ouvre une autre lecture. Celle d'un dirigeant qui sait reconnaître, en quelques échanges, ce qu'un directeur médical ne formalise pas, ce qu'un médecin coordonnateur porte seul, ce qu'une DSI ne dit pas sur la chaîne réelle d'un module IA partenaire. C'est cette lecture qui distingue VEIA des cabinets de conseil IA généralistes positionnés sur le segment médico-social.
Conseil structurellement indépendant - avec une compréhension terrain des environnements de soin régulés. Pas de partenariat éditeur, pas de revente d'outils, pas de relation commerciale parallèle qui finance la recommandation.
Pour qui Directeur général, directeur médical, médecin coordonnateur, comité de direction d'un établissement ou d'un groupe Durée 2 à 3 semaines, livrable structuré
Pour qui Direction, équipe médicale, conseil de la vie sociale, représentants des familles si pertinent Durée Demi-journée à une journée
Pour qui Direction générale d'un groupe d'EHPAD, d'EMS ou d'une fédération gestionnaire Durée Engagement annuel renouvelable
Les arbitrages cessent d'être implicites. Chaque choix - outil, donnée traitée, seuil d'alerte automatique, délégation de tâche - est posé sur un cadre traçable et opposable.
Les personnes vulnérables ne sont plus exposées en silence à des décisions algorithmiques. Le consentement, l'assentiment et la dignité retrouvent une place dans la chaîne de décision.
RGPD données de santé, AI Act, HDS, nLPD suisse, responsabilité civile et pénale du directeur, directive 2024/2853 : les angles morts sont identifiés en amont, pas découverts après incident.
ARS, conseils départementaux, CNSA, autorités cantonales suisses, juges des tutelles, proches : chacun voit que l'établissement sait ce qu'il fait avec l'IA et pourquoi. La transparence devient un actif.
La protection des personnes vulnérables et la responsabilité assumée du directeur reposent désormais sur une trajectoire claire. La gouvernance s'inscrit dans la vie de l'établissement - pas dans un classeur archivé entre deux conseils de la vie sociale.
Chaque intervention sectorielle s'appuie sur l'un des cinq formats standards du cabinet. Ils sont calibrés pour des décideurs COMEX et conseils d'administration.
Cadrage des principes décisionnels avec le comité de direction ou le conseil.
Voir le service →Cadrage stratégique d'un projet ou POC IA en sortie de phase pilote.
Voir le service →Présence régulière aux instances, notes trimestrielles, disponibilité ad hoc.
Voir le service →Lecture indépendante à destination du conseil d'administration.
Voir le service →Cartographie des usages IA officieux et cadrage de la doctrine d'autorisation.
Voir le service →Un premier échange sans pression commerciale, ancré dans la compréhension du secteur médico-social. La première décision reste la vôtre.
VEIA.AI est un cabinet de conseil stratégique indépendant spécialisé en gouvernance de l'intelligence artificielle, fondé par Christophe Picou. Aucun partenariat commercial avec un éditeur, un intégrateur ou un fournisseur de modèle. La recommandation ne finance pas une relation commerciale parallèle - sur un sujet où le conflit d'intérêts est devenu structurel chez les acteurs dominants du conseil.
La doctrine complète est disponible sur veia.ai/doctrine. Le diagnostic de gouvernance IA en ligne est accessible sur veia.ai/diagnostic.