Quelle est la classe de risque d'un logiciel IA médical ?

La règle 11 du MDR classe les logiciels médicaux selon leur finalité. Classe I : logiciels de gestion administrative. Classe IIa : aide au diagnostic non critique. Classe IIb : aide au diagnostic pouvant impacter significativement le patient. Classe III : logiciels dont les décisions peuvent entraîner la mort ou une dégradation irréversible. La plupart des logiciels IA de diagnostic sont en classe IIa ou IIb.

Faut-il un organisme notifié pour les deux réglementations ?

Pour le MDR, oui obligatoirement pour les classes IIa, IIb et III. Pour l'AI Act, l'évaluation de conformité des dispositifs médicaux IA passe par l'organisme notifié MDR qui intègre les exigences AI Act. C'est le principe de 'one-stop-shop' : un seul organisme pour la double conformité, évitant les doublons. Cependant, l'organisme doit être compétent pour l'IA.

Quel est le calendrier pour les dispositifs médicaux IA existants ?

Les dispositifs déjà certifiés CE MDR avant le 2 août 2027 peuvent continuer à être commercialisés jusqu'à expiration de leur certificat. Les nouveaux dispositifs soumis à certification après le 2 août 2026 doivent démontrer la conformité AI Act. Recommandation : intégrer dès maintenant les exigences AI Act dans les renouvellements de certification pour anticiper.

Les établissements de santé sont-ils concernés par l'AI Act ?

Oui, en tant que déployeurs. Les hôpitaux et cliniques qui utilisent des systèmes IA à haut risque doivent : vérifier que le dispositif a le marquage CE, former le personnel médical à l'utilisation, assurer la supervision humaine des décisions IA, documenter l'utilisation et les incidents, informer les patients de l'utilisation de l'IA. L'obligation de formation Article 4 s'applique aux soignants.

Comment gérer la transparence avec les patients ?

L'AI Act et le RGPD imposent d'informer les patients. Concrètement : mentionner dans le consentement éclairé l'utilisation d'un outil IA, expliquer le rôle de l'IA dans la décision médicale (aide vs décision), garantir le droit de demander une décision humaine, documenter dans le dossier médical l'utilisation de l'IA. Un affichage en salle d'attente peut compléter l'information.

Quelles sont les sanctions spécifiques au secteur santé ?

Les sanctions se cumulent. AI Act : jusqu'à 35M€ ou 7% du CA mondial. MDR : retrait du marché, rappel de produits, poursuites pénales. Responsabilité civile : dommages aux patients. L'utilisation d'un dispositif médical IA non conforme peut engager la responsabilité pénale du fabricant, du mandataire, et de l'établissement de santé utilisateur.

sante - formation-ia-act

⚠️ Double réglementation = Double risque

L'IA en santé est soumise à deux réglementations simultanées : le Règlement Dispositifs Médicaux (MDR) ET l'AI Act.

Les fabricants et établissements de santé doivent maîtriser les deux pour éviter des sanctions pouvant atteindre 35M€ et le retrait du marché.

Le secteur de la santé est le plus impacté par l'AI Act. Diagnostic assisté par IA, imagerie médicale intelligente, prédiction de risques cliniques, monitoring patient... Tous ces systèmes sont automatiquement classés à haut risque.

Mais la complexité va plus loin : si le système IA a une finalité médicale, il est probablement aussi un dispositif médical au sens du Règlement 2017/745 (MDR). Résultat : une double conformité à assurer, avec des exigences qui se cumulent.

Ce guide vous explique comment naviguer entre ces deux réglementations, que vous soyez fabricant de dispositifs médicaux IA, éditeur de logiciels de santé, ou établissement de santé déployeur.

227 jours restants

2 Réglementations cumulées

35M€ Sanction maximale

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA et Fondateur de Soignant Voice, application médicale IA. Expert en conformité IA santé et transformation digitale des établissements de santé.

🏥 Fondateur Soignant Voice • 💊 Expert IA Santé • ✅ Conformité MDR + AI Act

                📋 Ce que vous allez maîtriser
                → La double réglementation MDR + AI Act expliquée
→ Pourquoi l'IA santé est automatiquement à haut risque
→ Le processus de certification combinée
→ Les obligations des établissements de santé (déployeurs)
→ 3 cas pratiques détaillés (imagerie, diagnostic, monitoring)
→ Le budget et calendrier de mise en conformité

            

Infographie : Double conformité requise pour les dispositifs médicaux IA

🏥 Pourquoi l'IA Santé est Automatiquement à Haut Risque

L'AI Act classe automatiquement les systèmes IA utilisés en santé dans la catégorie "haut risque" (Annexe III). Voici pourquoi et ce que cela implique pour vos obligations en tant qu'entreprise.

📜 L'Annexe III de l'AI Act : Liste Exhaustive

L'Annexe III de l'AI Act liste explicitement les systèmes IA à haut risque dans le domaine de la santé :

🔬 Dispositifs médicaux IA — Logiciels de diagnostic, imagerie, monitoring
💊 Aide à la prescription — Systèmes suggérant des traitements
🩺 Évaluation des risques sanitaires — Prédiction de maladies, scoring de risque
🏥 Triage médical — Priorisation des patients aux urgences
🧬 Analyse génétique — Interprétation des tests génomiques

⚠️ Point Crucial

L'AI Act s'applique même aux systèmes qui ne sont pas des dispositifs médicaux au sens du MDR. Un outil IA d'optimisation des plannings infirmiers ou de gestion des lits peut être à haut risque AI Act sans être un dispositif médical.

🔄 Le Cumul MDR + AI Act

Pour un logiciel IA de diagnostic, vous devez cumuler :

Réglementation	Exigences Principales	Organisme
MDR (2017/745)	Sécurité clinique, performance, évaluation clinique, PMCF	Organisme notifié MDR
AI Act (2024/1689)	Gestion risques IA, données, transparence, supervision humaine	Même organisme notifié *
RGPD	Protection données patients, consentement, droits	CNIL (France)

* L'AI Act prévoit que l'organisme notifié MDR peut évaluer la conformité AI Act si compétent.

"Le secteur de la santé est le laboratoire de l'AI Act. C'est là que la réglementation sera la plus exigeante et les contrôles les plus fréquents. Les fabricants qui négligent la double conformité prennent un risque majeur."
— Dr. Sophie Marchand, Consultante réglementaire dispositifs médicaux

📋 Classes de Dispositifs Médicaux IA

La Règle 11 du MDR détermine la classe des logiciels médicaux :

🟢 Classe I — Logiciels de gestion administrative (non IA généralement)
🟡 Classe IIa — Aide au diagnostic non critique, informations pour décision non urgente
🟠 Classe IIb — Aide au diagnostic pouvant impacter significativement la prise en charge
🔴 Classe III — Décisions pouvant entraîner la mort ou une dégradation irréversible

Exemples concrets :

Système IA	Classe MDR	Organisme Notifié
Détection de nodules pulmonaires (scanner)	IIb	Obligatoire
Analyse rétine diabétique	IIa / IIb	Obligatoire
Prédiction risque AVC	IIb / III	Obligatoire
Tri ECG automatisé	IIb	Obligatoire
Aide à la lecture anatomo-pathologique	III (si cancer)	Obligatoire

🔐 Le Processus de Double Certification MDR + AI Act

La certification d'un dispositif médical IA suit un processus en 7 étapes qui intègre les exigences des deux réglementations. Voici le parcours complet pour les fournisseurs de systèmes IA.

Classification du Dispositif

MDR : Déterminez la classe selon la Règle 11 (I, IIa, IIb, III).

AI Act : Vérifiez le statut haut risque (automatique si finalité médicale).

Durée : 1-2 semaines | Livrables : Rapport de classification, analyse réglementaire

Constitution du Dossier Technique MDR

Préparez la documentation selon l'Annexe II du MDR : description du dispositif, conception, processus de fabrication, analyse de risques, évaluation des performances.

Durée : 8-16 semaines | Livrables : Dossier technique complet

Compléments Spécifiques AI Act

Ajoutez au dossier les exigences AI Act : système de gestion des risques IA (Article 9), gouvernance des données d'entraînement (Article 10), documentation IA (Article 11), journalisation (Article 12).

Durée : 4-8 semaines | Livrables : Annexes AI Act au dossier technique

Évaluation Clinique

Réalisez l'évaluation clinique selon l'Annexe XIV MDR. Pour l'IA, incluez les données de performance algorithmique : sensibilité, spécificité, AUC, analyse des biais.

Durée : 12-24 semaines | Livrables : Rapport d'évaluation clinique

Audit Organisme Notifié

Pour les classes IIa, IIb, III : soumission à un organisme notifié. L'organisme évalue le dossier technique, le système qualité (ISO 13485), et les compléments AI Act.

Durée : 8-20 semaines | Livrables : Certificat CE, rapport d'audit

Marquage CE et Déclaration

Après validation : apposition du marquage CE, rédaction de la Déclaration UE de Conformité (couvrant MDR et AI Act), enregistrement dans EUDAMED.

Durée : 2-4 semaines | Livrables : Déclaration UE, enregistrement EUDAMED

Surveillance Post-Commercialisation

Mettez en place le PMCF (suivi clinique post-commercialisation), la surveillance continue des performances IA, le système de vigilance et de signalement des incidents.

Durée : Continue | Livrables : Rapports périodiques, PSUR

💡 Bonne Nouvelle : Le "One-Stop-Shop"

L'AI Act prévoit que les organismes notifiés MDR compétents en IA peuvent évaluer les deux réglementations simultanément. Un seul interlocuteur pour la double conformité, évitant les doublons et réduisant les délais.

🏥 Testez Votre Conformité IA Santé

Évaluez votre niveau de préparation à la double réglementation MDR + AI Act

🔬 3 Cas Pratiques Détaillés en IA Santé

Appliquons la double conformité à des cas concrets de systèmes IA médicaux.

📌 Cas 1 : Logiciel d'Aide au Diagnostic en Imagerie

Contexte : MedImage développe un logiciel IA de détection de nodules pulmonaires sur scanners thoraciques, destiné aux radiologues hospitaliers.

Classification :

📋 MDR : Dispositif médical classe IIb (aide au diagnostic de pathologie grave)
🤖 AI Act : Haut risque automatique (dispositif médical IA)

Exigences cumulées :

Exigence	MDR	AI Act
Analyse de risques	ISO 14971	+ Risques IA spécifiques
Données d'entraînement	Validation clinique	Gouvernance, biais, représentativité
Performance	Évaluation clinique	Exactitude, robustesse, AUC
Transparence	Notice d'utilisation	Explicabilité des décisions IA
Supervision humaine	Implicite (radiologue)	Explicite et documentée

Budget estimé : 150 000€ - 250 000€ (études cliniques incluses)

Délai : 18-24 mois jusqu'au marquage CE

📌 Cas 2 : Système de Monitoring Patient Prédictif

Contexte : PredictCare développe un système IA qui analyse les constantes vitales en temps réel et prédit les dégradations cliniques 6 heures avant qu'elles ne surviennent.

Particularités :

⏰ Temps réel : Exigences de fiabilité et disponibilité renforcées
🚨 Alertes critiques : Risque de faux négatifs = risque patient
📊 Données continues : Volumes massifs, gouvernance complexe

Classification : MDR classe IIb / III selon l'impact clinique des alertes | AI Act haut risque

Défis spécifiques :

🔄 Mise à jour continue : Modèle qui apprend → notification organisme notifié si modification substantielle
🏥 Interopérabilité : Connexion aux systèmes hospitaliers existants
👤 Supervision : Qui valide les alertes ? Infirmier, médecin, les deux ?

Budget estimé : 200 000€ - 400 000€

Délai : 24-30 mois

📌 Cas 3 : Établissement de Santé Déployeur

Contexte : Le CHU de Lyon souhaite déployer 5 systèmes IA de différents fournisseurs : imagerie, prescription, tri urgences, pathologie, gestion des lits.

Statut : Déployeur (pas fournisseur) → obligations de déploiement IA spécifiques

Obligations du CHU :

✅ Vérification marquage CE — Tous les systèmes doivent avoir le marquage CE MDR + conformité AI Act
👨‍⚕️ Formation personnel — Médecins, infirmiers, techniciens formés à l'utilisation des IA
👁️ Supervision humaine — Protocoles clairs : qui valide quoi, quand escalader
📋 Documentation utilisation — Traçabilité des décisions assistées par IA
🗣️ Information patients — Consentement éclairé mentionnant l'IA
🚨 Signalement incidents — Procédure de vigilance en cas de dysfonctionnement

Budget CHU (année 1) : 80 000€ - 150 000€ (formation, processus, audits)

"En tant que déployeur, l'hôpital est responsable de l'utilisation conforme des systèmes IA. Nous ne pouvons pas nous réfugier derrière le marquage CE du fabricant. Notre responsabilité est engagée si nous utilisons mal un système conforme."
— Dr. Jean-Marc Dupuis, Directeur des Systèmes d'Information, CHU de Bordeaux

🏥 Obligations des Établissements de Santé (Déployeurs)

Les hôpitaux, cliniques et cabinets médicaux qui utilisent des systèmes IA sont des "déployeurs" au sens de l'AI Act. Leurs obligations diffèrent de celles des fabricants mais restent significatives.

📋 Checklist Déployeur Santé

1️⃣ Vérifier le marquage CE — Le système doit avoir un marquage CE valide (MDR + AI Act si applicable)
2️⃣ Obtenir la documentation — Notice d'utilisation, déclaration de conformité, instructions IA
3️⃣ Former le personnel — Formation Article 4 pour tous les utilisateurs
4️⃣ Définir les protocoles — Qui utilise, quand, comment superviser, quand escalader
5️⃣ Informer les patients — Mention dans le consentement éclairé
6️⃣ Documenter l'utilisation — Traçabilité dans le dossier patient
7️⃣ Surveiller et signaler — Vigilance, incidents, feedback au fabricant

👥 Formation du Personnel Médical

L'Article 4 de l'AI Act impose une "maîtrise suffisante de l'IA" pour tous les utilisateurs. En santé :

Profil	Formation Requise	Contenu Spécifique
Médecins	8h + spécialisation	Interprétation résultats IA, limites, quand surseoir
Radiologues	12h	IA imagerie, biais, performance, validation
Infirmiers	4h	Utilisation pratique, alertes, escalade
Direction	4h	Responsabilité, gouvernance, budget
DSI	8h	Cybersécurité IA, intégration, données

🗣️ Transparence avec les Patients

L'AI Act et le RGPD imposent d'informer les patients de l'utilisation de l'IA :

📝 Consentement éclairé — Mention explicite de l'utilisation d'un outil IA
💬 Explication du rôle — L'IA aide, le médecin décide
👤 Droit à l'humain — Le patient peut demander une évaluation sans IA
📋 Traçabilité — Mention dans le dossier médical

⚠️ Point RGPD

L'Article 22 du RGPD interdit les décisions entièrement automatisées ayant des effets juridiques ou significatifs. En santé, toute décision IA doit être validée par un humain. L'IA est une aide, jamais un décideur autonome.

💰 Simulateur Budget Conformité IA Santé

Vous êtes :

Classe du dispositif / Nombre de systèmes IA

Personnel à former

❓ Questions Fréquentes - IA Santé et Conformité

Un logiciel IA de diagnostic est-il un dispositif médical ?

Oui, dans la plupart des cas. Selon le Règlement 2017/745 (MDR), un logiciel qui fournit des informations utilisées pour prendre des décisions diagnostiques ou thérapeutiques est un dispositif médical.

Un logiciel IA de détection de cancer, d'analyse d'images médicales, ou de prédiction de risques cliniques entre dans cette définition et nécessite le marquage CE.

Comment se cumulent les exigences MDR et AI Act ?

Les exigences sont complémentaires, pas redondantes.

MDR : Sécurité clinique, performance, évaluation clinique, PMCF, ISO 13485.

AI Act : Gestion des risques IA, gouvernance des données d'entraînement, transparence, explicabilité, supervision humaine.

Un dossier technique unique peut couvrir les deux réglementations avec les compléments appropriés.

Faut-il deux organismes notifiés distincts ?

Non. L'AI Act prévoit le principe du "one-stop-shop" : l'organisme notifié MDR compétent en IA peut évaluer les deux réglementations simultanément.

Cela évite les doublons et réduit les délais. Vérifiez cependant que votre organisme notifié a les compétences IA requises.

Les établissements de santé sont-ils concernés ?

Oui, en tant que déployeurs. Les hôpitaux et cliniques qui utilisent des systèmes IA à haut risque doivent :

Vérifier le marquage CE, former le personnel médical, assurer la supervision humaine, documenter l'utilisation, informer les patients, signaler les incidents.

Comment informer les patients de l'utilisation de l'IA ?

L'information doit être intégrée au parcours patient :

Mention dans le consentement éclairé, explication du rôle de l'IA (aide, pas décision), garantie du droit à une évaluation humaine, documentation dans le dossier médical.

Quelles sanctions en cas de non-conformité ?

Les sanctions se cumulent :

AI Act : Jusqu'à 35M€ ou 7% du CA mondial.

MDR : Retrait du marché, rappel de produits, poursuites pénales.

Responsabilité civile : Dommages aux patients.

L'IA générative en santé est-elle concernée ?

Oui, mais différemment selon l'usage :

ChatGPT pour rédiger un courrier médical → risque limité, transparence.

Modèle génératif intégré dans un outil de diagnostic → haut risque, potentiellement dispositif médical.

La clé est la finalité : tout ce qui impacte les décisions de santé est potentiellement à haut risque.

Quel calendrier pour les dispositifs existants ?

Les dispositifs déjà certifiés CE MDR avant le 2 août 2027 peuvent continuer à être commercialisés jusqu'à expiration de leur certificat.

Les nouveaux dispositifs soumis après le 2 août 2026 doivent démontrer la conformité AI Act.

Recommandation : Intégrer dès maintenant les exigences AI Act dans les renouvellements.

Comment budgétiser la double conformité ?

La certification d'un dispositif médical IA coûte entre 50K€ et 500K€ selon la classe.

Répartition typique : études cliniques (30-50%), dossier technique (20-30%), organisme notifié (15-25%), AI Act spécifique (+15-25%).

Le surcoût AI Act représente environ 20-30% du budget MDR existant.

Qui forme les professionnels de santé à l'IA ?

Plusieurs options :

Interne : Formation par le fabricant lors du déploiement.

Externe : Organismes de formation certifiants (comme notre formation AI Act Santé).

Institutionnel : DPC (Développement Professionnel Continu) pour les médecins.

L'essentiel est d'avoir une preuve de formation (certificat) en cas de contrôle.

🎯 Conclusion : Vos 3 Priorités en IA Santé

L'IA en santé est le domaine le plus réglementé de l'AI Act. La double conformité MDR + AI Act représente un défi majeur, mais aussi une opportunité de se différencier par la qualité et la sécurité.

1️⃣ Clarifiez votre statut — Fabricant (MDR + AI Act) ou déployeur (AI Act) ? La réponse détermine vos obligations
2️⃣ Intégrez l'AI Act au dossier MDR — Ne traitez pas les deux séparément, construisez un dossier unique
3️⃣ Formez maintenant — Le personnel médical doit être formé avant les premières échéances

Le temps presse pour les acteurs de la santé. Commencez votre mise en conformité dès maintenant.