L'IA en santé n'engage pas un seul acteur. Elle engage simultanément le fabricant du dispositif, l'établissement déployeur et la direction médicale. Aucune de ces responsabilités n'est délégable à un prestataire technologique. La gouvernance se pose avant l'intégration - parce qu'après, les marges de manœuvre rétrécissent.
"En santé, la responsabilité ne se dilue pas dans la chaîne technique. Elle se redistribue - et chaque acteur découvre qu'il en porte une part qu'il n'avait pas vue."
Le baromètre 2025 de la Fédération hospitalière de France documente que 65% des établissements de santé utilisent désormais l'IA en production. Mais 56% d'entre eux n'ont aucun budget dédié à ce sujet, et moins d'un sur deux a désigné un référent ou un comité IA. L'usage précède la gouvernance.
Côté professionnels, le baromètre PulseLife 2025 montre que 62% des médecins utilisent ChatGPT dans leur pratique - chiffre qui monte à 65% dans les déserts médicaux. Deux soignants sur trois rapportent y avoir vu passer des réponses fausses ou incomplètes. Le baromètre ACSEL-Toluna de décembre 2025 confirme que 90% des professionnels utilisent des outils IA mais 50% seulement en informent leurs patients.
Ce décalage entre adoption et cadre n'est pas une anomalie passagère. C'est un état structurel qui appelle une décision - pas une note de service.
Les éditeurs métier - PACS, LIS, RIS, dossier patient informatisé, SaMD - intègrent désormais des modules IA construits sur des modèles fondationnels tiers. La chaîne réelle, du modèle à l'infrastructure, dépasse largement le périmètre de maîtrise du fabricant comme de l'établissement.
L'AI Act qualifie comme systèmes à haut risque la quasi-totalité des SaMD diagnostiques - confirmé par la guidance MDCG 2025-6 de juin 2025. À cela s'ajoutent MDR/IVDR, certification HDS, nLPD suisse, ISO 13485, IEC 62304 et la nouvelle ISO/IEC 42001. L'empilement n'est pas qu'un sujet de conformité : il déplace les frontières de la décision.
Fabricant, déployeur, directeur médical, biologiste responsable, président de CME : l'IA met chacun face à une responsabilité qu'il croyait technique et qui devient une responsabilité de gouvernance. Aucun éditeur ne la reprend contractuellement.
Le brief réglementaire et opérationnel n'est pas le même selon que l'on conçoit le dispositif, que l'on développe un SaMD ou que l'on déploie une solution en routine clinique. Confondre ces postures conduit aux mêmes angles morts pour tous.
Double évaluation MDR + AI Act sur la même documentation technique, articulation ISO 13485 / ISO 42001, dossier d'évaluation des risques, post-market surveillance unifiée. Les fabricants suisses, depuis la non-reconduction du MRA, opèrent en outre comme acteurs de pays tiers pour l'UE.
Chaîne de dépendance fondationnelle à documenter, choix d'hébergement HDS / SecNumCloud, exposition CLOUD Act sur les données de santé, articulation avec les éditeurs métier qui intègrent leur solution, doctrine d'évolution des modèles.
Sous une apparence européenne du paysage SGL, deux des trois leaders relèvent de groupes américains. L'exposition souveraine est rarement explicitée auprès du biologiste responsable - elle se découvre généralement au moment d'un audit ou d'une demande d'export de données.
Position de déployeur au sens de l'AI Act, articulation entre direction générale, direction médicale, CME, président de COVIRIS et DPO. Shadow AI installé dans les équipes médicales et administratives. Choix d'éditeurs métier dont les modules IA évoluent sans réversibilité documentée.
Christophe Picou a piloté des systèmes d'information en environnement médical certifié ISO 15189, à l'interface des équipes cliniques, de la direction des systèmes d'information et des prestataires externes. Management fonctionnel, pilotage projet en milieu accrédité, gouvernance du changement face à un audit COFRAC.
Ce credential ne se substitue pas à une expertise réglementaire spécialisée - il ouvre une autre lecture. Celle d'un dirigeant qui sait reconnaître, en quelques échanges, ce qu'un responsable qualité ne dit pas, ce qu'un biologiste responsable porte seul, ce qu'une direction médicale ne formalise pas faute de cadre. C'est cette lecture qui distingue VEIA des cabinets de conseil IA généralistes positionnés sur le segment.
Les éditeurs métier de la santé - Dedalus, Softway, Maincare en France ; Epic, KISIM, Phoenix en Suisse - développent leurs propres modules IA, souvent construits sur Microsoft Azure, Amazon Web Services ou Google Cloud. Nuance/DAX, intégré dans la plupart des PACS/RIS, constitue une dépendance Microsoft transversale rarement explicitée.
Toute donnée patient transmise à un modèle externe sort du périmètre de maîtrise du déployeur. La certification HDS du prestataire ne suspend pas l'exposition au CLOUD Act - ce que la Cour des comptes a explicitement documenté en octobre 2025.
Une erreur introduite par assistance IA dans un compte-rendu, un dossier de validation ou un acte de soin reste imputable au signataire. Aucun éditeur ne reprend cette responsabilité contractuellement.
Médecins, internes, biologistes, responsables qualité utilisent quotidiennement ChatGPT, Copilot, Gemini sur des données de patients, de dossiers de validation ou d'audits. L'usage est devenu majoritaire avant que la doctrine ne soit posée.
Le coût de sortie d'un éditeur DPI ou SGL après dix à quinze ans d'usage est documenté à l'AP-HP comme dans les hôpitaux universitaires suisses. La dépendance se négocie avant le marquage CE ou avant l'engagement, pas après.
Le calendrier de l'AI Act - 2 août 2026 pour la majorité des obligations, 2 août 2027 pour les systèmes haut risque intégrés dans des produits réglementés - se superpose aux transitions MDR/IVDR et à l'émergence de l'ISO/IEC 42001. Une cartographie unifiée s'impose avant tout engagement de mise en conformité.
Conseil structurellement indépendant - le seul positionnement compatible avec la posture du fabricant, du déployeur et du directeur médical.
Lecture stratégique de la situation IA de l'organisation : dépendances réelles dans la chaîne fondationnelle, profils d'exposition selon la qualification (fabricant, éditeur, déployeur), angles morts identifiés, arbitrages à poser en COMEX. Ce que l'organisation décide avant que d'autres ne le décident à sa place.
Construire un langage commun entre direction générale, direction médicale et direction qualité. Une grille de lecture partagée des dépendances et des arbitrages, des critères de décision transmissibles aux équipes opérationnelles, un cadre de gouvernance interne préparé pour résister à une revue d'organisme notifié ou à un contrôle ANSM/Swissmedic.
Présence stratégique au COMEX et aux instances de direction sur la durée. Lecture des arbitrages structurants - choix d'éditeurs, déploiement de modules IA, gouvernance interne du shadow AI, articulation avec les organismes notifiés. Trajectoire IA cohérente sur 12 à 24 mois.
Les arbitrages IA cessent d'être implicites. Chaque choix - éditeur, modèle, hébergement, périmètre des données confiées à un tiers - est posé sur un cadre traçable, opposable à un organisme notifié ou à un comité d'éthique.
Fabricant, déployeur, direction médicale, biologiste responsable, président de CME : chacun sait ce qu'il porte, ce qu'il partage et ce qu'il ne peut pas déléguer. Le partage des responsabilités cesse d'être tacite.
Secret médical, dépendance éditeur, shadow AI, articulation MDR/AI Act, exposition CLOUD Act - les angles morts sont identifiés en amont, pas découverts après incident ou après audit.
Tutelles, organismes notifiés, assureurs, comités d'éthique, patients : chacun voit que l'organisation sait ce qu'elle fait et pourquoi. La confiance se construit sur des décisions visibles, pas sur des intentions affichées.
Une trajectoire assumée où chaque décision renforce la précédente. La gouvernance devient une pratique inscrite dans la vie de l'organisation, pas un document oublié dans un classeur ISO entre deux audits.
Un premier échange pour identifier le format adapté à votre situation - fabricant, éditeur, laboratoire ou établissement. Sans pression commerciale, sans présupposé sur les outils. La première décision reste la vôtre.
VEIA.AI est un cabinet de conseil stratégique indépendant spécialisé en gouvernance de l'intelligence artificielle, fondé par Christophe Picou. Aucun partenariat commercial avec un éditeur, un intégrateur ou un fournisseur de modèle. La recommandation ne finance pas une relation commerciale parallèle - sur un sujet où le conflit d'intérêts est devenu structurel chez les acteurs dominants du conseil.
La doctrine complète est disponible sur veia.ai/doctrine. Le diagnostic de gouvernance IA en ligne est accessible sur veia.ai/diagnostic.
Voir aussi : Notaires · Avocats · Experts-comptables