Méta : Guide pour les PME françaises sur l'AI Act et les dispositifs médicaux : obligations, risques, conformité et ressources.
L'essentiel en 30 secondes
- Le Règlement (UE) 2024/1689 (« AI Act ») classe les systèmes d'IA en santé selon une échelle de risque, avec des obligations croissantes pour chaque catégorie.
- Les dispositifs médicaux intégrant de l'IA (DMIA) cumulent l'AI Act et le règlement MDR (UE) 2017/745 ou IVDR (UE) 2017/746.
- Les PME de 10 à 250 salariés doivent réaliser une analyse de risque et, pour les systèmes haut risque, une évaluation d'impact sur les droits fondamentaux (Art. 27).
- Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les manquements graves (Art. 99).
- La CNIL et l'AI Office EU publient des outils de conformité utilisables par les fabricants de DMIA.
- Le calendrier est progressif : application générale au 2 août 2026, dispositions haut risque pour produits réglementés au 2 août 2027 (Art. 113).
1. Contexte réglementaire : AI Act et dispositifs médicaux
Le secteur de la santé concentre les enjeux les plus sensibles de l'AI Act. Les algorithmes de diagnostic, les logiciels d'aide à la décision médicale et les systèmes de surveillance des patients touchent à la vie, à l'intégrité physique et aux données de santé.
Le Règlement (UE) 2024/1689 du 13 juin 2024 est entré en vigueur le 1er août 2024. Son application est progressive jusqu'en août 2027. Les dispositifs médicaux à base d'IA (DMIA) sont concernés à double titre.
D'une part, ils relèvent de l'AI Act dès lors qu'ils correspondent à la définition du système d'IA prévue à l'Article 3. D'autre part, ils restent soumis au règlement MDR (UE) 2017/745 pour les dispositifs médicaux, ou IVDR (UE) 2017/746 pour les dispositifs de diagnostic in vitro.
L'Article 6 de l'AI Act qualifie automatiquement de « haut risque » tout système d'IA constituant un composant de sécurité d'un produit déjà couvert par la législation d'harmonisation listée à l'Annexe I. Le MDR et l'IVDR y figurent. La quasi-totalité des DMIA classés IIa, IIb ou III au sens du MDR basculent donc en haut risque AI Act.
La CNIL a publié dès 2023 une série de recommandations sur l'IA, complétées par des fiches pratiques applicables à la santé. Le secteur dispose aussi du référentiel HAS sur l'évaluation des dispositifs médicaux numériques.
Pourquoi un double régime ?
| Aspect | AI Act (UE 2024/1689) | MDR/IVDR (UE 2017/745, 2017/746) |
|---|---|---|
| Objet | Système d'IA en tant que tel | Dispositif médical (logiciel ou matériel) |
| Centre de gravité | Fiabilité algorithmique, gouvernance des données, transparence | Sécurité clinique, performance, surveillance post-commercialisation |
| Autorité | AI Office EU + autorités nationales | ANSM en France + organismes notifiés |
| Évaluation | Conformité Art. 43 AI Act | Marquage CE selon classe (I à III) |
| Cumul | Évaluation intégrée possible (Art. 43 §3) | Annexe IX, X ou XI MDR |
Cette articulation est confirmée par l'Article 8 §2 AI Act : les exigences haut risque doivent s'intégrer dans la procédure d'évaluation MDR pour éviter la double charge documentaire.
2. Classification des systèmes d'IA en santé
L'AI Act distingue quatre niveaux d'exposition. La santé concerne principalement les trois catégories réglementées, le « risque inacceptable » restant rare hors notation sociale.
| Niveau | Définition AI Act | Exemples en santé | Obligations |
|---|---|---|---|
| Inacceptable (Art. 5) | Pratiques prohibées | Notation comportementale de patients à finalité discriminatoire | Interdiction totale depuis le 2 février 2025 |
| Haut risque (Art. 6 + Annexe III) | Systèmes affectant santé, sécurité, droits fondamentaux | Logiciel de diagnostic, triage urgences, aide à la prescription | Conformité Art. 8 à 27 |
| Risque limité (Art. 50) | Interaction avec personnes physiques | Chatbots de prise de rendez-vous, agents conversationnels patient | Information de l'utilisateur |
| Risque minimal | Tous les autres | Outils internes de planning, statistiques anonymisées | Codes de conduite volontaires |
Le simple fait qu'un DMIA soit un composant de sécurité d'un dispositif médical de classe IIa, IIb ou III bascule l'usage en haut risque. Ce point est crucial : une PME éditant un logiciel d'aide au tri d'imagerie radiologique ne peut pas s'auto-qualifier en risque limité.
L'Article 6 §3 prévoit cependant une dérogation : un système peut sortir du haut risque s'il n'exécute qu'une tâche procédurale limitée, améliore un résultat humain antérieur, détecte des schémas de décision sans les remplacer, ou prépare une évaluation humaine. La charge documentaire de cette dérogation reste lourde.
Consultez notre pillar général sur l'AI Act pour les PME pour comprendre l'articulation globale du règlement.
3. Obligations pour les PME en santé
Les fournisseurs de DMIA haut risque doivent satisfaire l'ensemble des exigences du chapitre III, section 2 de l'AI Act (Art. 8 à 15).
3.1 Système de management des risques (Art. 9)
Le système doit couvrir l'ensemble du cycle de vie du DMIA. Il s'articule avec le SMQ MDR exigé par l'Article 10 du règlement 2017/745. La norme ISO 14971 sur le management des risques des dispositifs médicaux reste applicable, complétée par ISO/IEC 23894:2023 pour les risques spécifiques IA.
3.2 Gouvernance des données (Art. 10)
Les jeux d'entraînement, de validation et de test doivent être pertinents, représentatifs, exempts d'erreurs et complets. Pour la santé, cela implique de documenter :
- les populations couvertes (âge, sexe, origine géographique)
- les biais identifiés et les mesures de mitigation
- la chaîne de provenance des données
- la conformité RGPD (base légale Art. 6, traitement de données de santé Art. 9 §2 i ou j)
3.3 Documentation technique (Art. 11 + Annexe IV)
Elle comprend la description générale, la conception détaillée, les processus de surveillance, les performances et limites, et la liste des normes harmonisées appliquées. Pour les DMIA, le dossier MDR existant peut être enrichi plutôt que dupliqué.
3.4 Transparence et information (Art. 13)
Les instructions d'utilisation doivent permettre au professionnel de santé déployeur de comprendre :
- les capacités et limites de performance
- les conditions d'usage prévu
- les groupes de personnes sur lesquels le système a été validé
- les niveaux de précision, de robustesse, de cybersécurité
- les mesures de supervision humaine attendues
3.5 Supervision humaine (Art. 14)
Le DMIA doit être conçu pour rester sous contrôle effectif d'un professionnel. L'Article 14 §4 e impose un mécanisme permettant à l'humain de décider de ne pas utiliser le système ou de passer outre sa sortie. En santé, cette exigence rejoint le principe de responsabilité médicale de l'Article L.4127-69 du Code de la santé publique.
3.6 Évaluation d'impact sur les droits fondamentaux (Art. 27)
Obligatoire pour les déployeurs publics et privés relevant de la santé. Elle complète l'AIPD RGPD prévue à l'Article 35. La CNIL recommande une analyse intégrée pour éviter la redondance.
Pack documentaire AI Act santé pour PME
Modèles d'analyse de risque, EIA, documentation technique Annexe IV, registre d'incidents : tous nos templates sont alignés AI Act, MDR et RGPD.
Demander un devis4. Impact sur les dispositifs médicaux
Les DMIA voient leur procédure de mise sur le marché évoluer sensiblement.
4.1 Procédure d'évaluation de conformité
L'Article 43 §3 AI Act prévoit que, lorsqu'un produit relève déjà d'une législation listée à l'Annexe I (dont MDR/IVDR), le fournisseur applique la procédure d'évaluation prévue par cette législation. L'organisme notifié MDR devient compétent pour vérifier le respect des exigences AI Act haut risque.
Une PME éditrice de logiciel de classe IIa devra donc faire vérifier par son organisme notifié, en plus du dossier MDR classique, la conformité aux Articles 8 à 15 de l'AI Act.
4.2 Déclaration au système d'enregistrement européen
L'Article 49 impose l'enregistrement de tout système d'IA haut risque dans la base de données européenne EUDAMED-AI gérée par la Commission. Pour les DMIA, cet enregistrement vient s'ajouter à l'inscription EUDAMED MDR.
4.3 Surveillance post-marché
L'Article 72 reprend les principes de la surveillance post-commercialisation MDR (Art. 83) en y ajoutant la collecte de données sur la dérive algorithmique, les performances en vie réelle et les incidents liés à l'IA.
4.4 Notification des incidents graves
L'Article 73 oblige à signaler tout incident grave à l'autorité de surveillance dans un délai maximal de 15 jours. Pour les DMIA, ce signalement est unifié avec la matériovigilance ANSM.
| Procédure | Avant AI Act | Après AI Act (à partir du 2 août 2027) |
|---|---|---|
| Marquage CE | MDR seul | MDR + AI Act intégré |
| Organisme notifié | Compétences MDR | MDR + extension AI Act |
| Base de données | EUDAMED MDR | EUDAMED MDR + EUDAMED-AI |
| Surveillance | Matériovigilance ANSM | Matériovigilance + suivi modèle |
| Incidents graves | 15 jours ANSM | 15 jours autorité unique |
5. Sanctions et risques pour les PME
L'Article 99 de l'AI Act prévoit trois paliers de sanctions administratives.
| Manquement | Plafond | Exemple en santé |
|---|---|---|
| Pratique prohibée (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Système de notation discriminatoire de patients |
| Manquement haut risque (Art. 8 à 27) | 15 M€ ou 3 % du CA mondial annuel | DMIA déployé sans documentation Annexe IV |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Déclaration trompeuse sur les jeux d'entraînement |
L'Article 99 §6 prévoit un plafonnement spécifique pour les PME : la sanction retenue est le plus faible des deux montants (forfait ou pourcentage), et non le plus élevé. Ce mécanisme atténue l'impact financier mais ne supprime pas le risque.
Au-delà des amendes, les conséquences pratiques sont lourdes :
- retrait du marché européen du DMIA non conforme (Art. 79)
- suspension du marquage CE
- perte d'éligibilité aux marchés hospitaliers publics
- contentieux civils en cas de préjudice patient
- atteinte à la réputation, particulièrement sensible en santé
Pour le détail du barème et un calculateur d'exposition, consultez notre analyse complète des sanctions Article 99.
6. Outils de conformité pour les PME
Plusieurs ressources publiques permettent à une PME santé de structurer sa conformité sans budget de grand groupe.
6.1 AI Office EU et Service Desk
L'AI Office, rattaché à la Direction générale CNECT de la Commission européenne, opère un guichet d'assistance (ai-act-service-desk.ec.europa.eu). Il propose des modèles de documentation, des FAQ sectorielles et un point de contact pour les fournisseurs.
6.2 CNIL
La CNIL met à disposition 13 fiches pratiques sur le développement de systèmes d'IA, couvrant notamment la base légale, l'AIPD, l'information des personnes et la sécurité. Le bac à sable IA santé, lancé en 2023, permet aux PME de tester un projet avec un accompagnement personnalisé.
6.3 Normes ISO mobilisables
| Norme | Objet | Utilité pour le DMIA |
|---|---|---|
| ISO/IEC 42001:2023 | Système de management de l'IA | Structure du SMI couvrant exigences Art. 9 |
| ISO/IEC 23894:2023 | Management des risques IA | Compatible Art. 9 et ISO 14971 |
| ISO/IEC 27001:2022 | Sécurité de l'information | Exigences cybersécurité Art. 15 |
| ISO 13485:2016 | SMQ dispositifs médicaux | Base MDR Art. 10, intégrable au SMI |
| ISO 14971:2019 | Risques dispositifs médicaux | Articulation avec ISO 23894 |
6.4 Guides sectoriels
Le guide Cigref AI Act de janvier 2025, le guide Numeum de mars 2025, et les recommandations HAS sur les dispositifs médicaux numériques fournissent des grilles de lecture opérationnelles. Pour les définitions et acronymes, le glossaire regulia reste un point d'entrée utile.
7. Délais d'application et transition
L'Article 113 de l'AI Act organise une mise en œuvre progressive.
| Échéance | Disposition applicable | Impact santé |
|---|---|---|
| 2 février 2025 | Interdictions Art. 5 + obligation de littératie IA Art. 4 | Formation des équipes médicales |
| 2 août 2025 | Modèles IA usage général (GPAI) + gouvernance | Choix des fournisseurs de modèles fondation |
| 2 août 2026 | Application générale (Art. 6 §2, Annexe III) | DMIA haut risque non couverts MDR |
| 2 août 2027 | DMIA haut risque couverts MDR/IVDR (Art. 6 §1) | Quasi-totalité des logiciels médicaux IA |
Les PME disposent donc d'environ 15 mois (à compter de mai 2026) pour mettre à jour leur portefeuille de DMIA. Cette fenêtre est étroite compte tenu des délais d'instruction des organismes notifiés MDR, déjà saturés.
Un plan de mise en conformité raisonnable comporte cinq étapes :
- Inventaire et classification des systèmes d'IA présents dans le portefeuille
- Analyse d'écart par rapport aux exigences Art. 8 à 27
- Mise à niveau de la documentation technique
- Articulation avec l'organisme notifié MDR pour l'évaluation intégrée
- Déploiement du système de surveillance post-marché renforcé
8. Perspectives et opportunités
L'AI Act n'est pas qu'une contrainte. Le règlement crée un cadre de confiance pour des innovations de santé que les acheteurs hospitaliers, les centrales d'achat et les patients valoriseront.
Les PME conformes pourront :
- répondre aux appels d'offres publics européens qui exigeront la conformité AI Act
- bénéficier des bacs à sable réglementaires nationaux prévus à l'Article 57
- accéder à un marché unifié de 27 États membres avec un seul dossier
- valoriser un argument commercial fort vis-à-vis des établissements de santé
Le marché européen de l'IA en santé est en forte croissance, porté par l'imagerie, l'oncologie de précision, la radiothérapie adaptative et le diagnostic moléculaire [à vérifier]. Les acteurs structurés disposent d'un avantage concurrentiel durable.
La conformité réglementaire devient un actif. Les investisseurs et acquéreurs intègrent désormais l'évaluation AI Act dans les due diligences santé.
Diagnostic AI Act santé personnalisé
Évaluez en 30 minutes votre exposition réglementaire et identifiez les chantiers prioritaires pour vos DMIA. Sans engagement.
Réserver mon diagnosticFAQ
Quelle est la différence entre l'AI Act et le règlement MDR/IVDR pour les DMIA ?
L'AI Act régule spécifiquement les systèmes d'IA, tandis que MDR/IVDR encadrent les dispositifs médicaux dans leur globalité. Les DMIA cumulent les deux régimes. L'AI Act fixe les exigences techniques et éthiques propres à l'IA (gouvernance des données, transparence, supervision humaine). MDR/IVDR couvrent la sécurité clinique, la performance et la surveillance post-commercialisation. L'Article 43 §3 AI Act organise leur articulation pour éviter la duplication.
Dois-je réaliser une évaluation d'impact sur les droits fondamentaux (Art. 27) si je suis une PME de 50 salariés ?
Oui, dès lors que votre DMIA relève du haut risque et que vous êtes déployeur. L'obligation Art. 27 vise les organismes de droit public et les acteurs privés fournissant des services publics. En santé, elle couvre largement les établissements et leurs sous-traitants. Le service desk AI Office propose des modèles. L'EIA peut être intégrée à l'AIPD RGPD pour éviter une double démarche.
Quelles sont les sanctions pour une non-conformité d'une PME au régime haut risque ?
L'Article 99 prévoit jusqu'à 15 M€ ou 3 % du chiffre d'affaires annuel mondial. Le §6 du même article impose un plafonnement spécifique pour les PME : c'est le montant le plus faible des deux qui s'applique. À cela s'ajoutent le retrait du marché du DMIA, la suspension du marquage CE et l'inéligibilité aux marchés publics. Pour les détails, voir notre dossier sanctions.
Comment la CNIL peut-elle m'aider en tant que PME en santé ?
La CNIL publie 13 fiches pratiques sur le développement de systèmes d'IA, applicables au secteur santé. Elle anime un bac à sable IA santé permettant à un projet d'être accompagné individuellement. Elle reste l'autorité de contrôle pour le volet RGPD, central dès qu'il y a traitement de données de santé. Elle coordonne ses positions avec l'AI Office EU et l'ANSM pour les DMIA.
Quels sont les avantages business de la conformité AI Act pour une PME santé ?
L'accès aux marchés publics hospitaliers, qui intégreront progressivement la conformité AI Act dans leurs cahiers des charges. La crédibilité auprès des organismes notifiés MDR. L'attractivité pour les investisseurs et acquéreurs, qui auditent désormais le risque réglementaire IA. La différenciation face à des concurrents non européens moins matures sur le sujet. Et la réduction du risque de retrait de marché, dont le coût dépasse de loin celui de la conformité préventive.
Sources officielles
- Règlement (UE) 2024/1689 « AI Act » — texte consolidé EUR-Lex
- AI Act Service Desk — Commission européenne
- CNIL — Recommandations IA et fiches pratiques
- CNIL — IA en santé
- Règlement (UE) 2017/745 (MDR) et Règlement (UE) 2017/746 (IVDR)
- Norme ISO/IEC 42001:2023 — système de management de l'IA
- Norme ISO/IEC 23894:2023 — gestion des risques IA
- Norme ISO 14971:2019 — risques dispositifs médicaux
- Guide Cigref AI Act, janvier 2025
- Guide Numeum AI Act, mars 2025
Pour une bibliographie complète, consultez la page sources regulia.
Avertissement : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.