Comment les PME peuvent-elles se préparer aux nouvelles obligations ANSM en 2026 ?

Les PME doivent commencer par une analyse de leurs dispositifs médicaux avec IA pour identifier les exigences spécifiques. Elles doivent ensuite mettre en place des processus de documentation technique détaillée, réaliser une AISV si nécessaire, et s'assurer de la conformité avec le RGPD et l'EU AI Act. Le guide pratique ANSM et le service desk européen sont des ressources clés.

Quelles sont les sanctions pour non-conformité aux nouvelles obligations ANSM en 2026 ?

Les sanctions pour non-conformité aux nouvelles obligations ANSM peuvent inclure des amendes jusqu'à 4% du chiffre d'affaires annuel (EU AI Act Article 83), des rappels de produits, et des responsabilités pénales pour les fabricants en cas de dysfonctionnements liés à l'IA. Les délais de mise sur le marché peuvent également être prolongés.

Quelle est l'importance de la conformité RGPD pour les dispositifs médicaux avec IA ?

La conformité RGPD est cruciale pour les dispositifs médicaux avec IA car ces dispositifs traitent des données personnelles sensibles. Une analyse d'impact sur la sécurité et la vie privée (AISV) est obligatoire pour les dispositifs de classe IIb/III (RGPD Article 35). La non-conformité peut entraîner des sanctions supplémentaires et nuire à la réputation de l'entreprise.

Où puis-je trouver des ressources pour comprendre les nouvelles obligations ANSM en 2026 ?

Les principales ressources incluent le guide pratique ANSM sur l'IA médicale (accessible via /glossaire.html), le service desk européen pour l'AI Act (ai-act-service-desk.ec.europa.eu), et les documents officiels de l'ANSM et de la Commission européenne. Le blog regulia.fr propose également des articles détaillés sur le sujet.

ANSM et IA médicale 2026 : nouvelles obligations dispositifs

Q: Quelles sont les principales différences entre les anciennes et les nouvelles obligations ANSM pour les dispositifs médicaux avec IA ?

Les nouvelles obligations introduisent des exigences spécifiques pour les algorithmes d'IA, notamment une documentation technique détaillée incluant les données d'entraînement et les protocoles de validation. Elles renforcent également les processus de surveillance post-commercialisation et imposent une analyse d'impact sur la sécurité et la vie privée (AISV) obligatoire pour les dispositifs de classe IIb/III.

L'essentiel en 30 secondes - Les dispositifs médicaux intégrant de l'IA relèvent du Règlement (UE) 2017/745 (MDR) et du Règlement (UE) 2024/1689 (AI Act) : double conformité obligatoire dès 2026. - L'ANSM agit comme autorité compétente nationale pour la surveillance du marché des DM/DMDIV en France (Code de la santé publique, Art. L.5211-1). - Une analyse d'impact relative à la protection des données (AIPD) est requise pour les dispositifs traitant des données de santé (RGPD, Art. 35). - Les sanctions de l'AI Act atteignent 15 M€ ou 3 % du chiffre d'affaires mondial pour manquement aux obligations applicables aux systèmes à haut risque (Règlement (UE) 2024/1689, Art. 99). - Documentation technique renforcée exigée : données d'entraînement, journalisation, surveillance post-commercialisation (MDR, Annexe II + AI Act, Art. 11). - Échéance clé : 2 août 2026 pour les obligations relatives aux systèmes d'IA à haut risque listés à l'Annexe III de l'AI Act ; 2 août 2027 pour les systèmes intégrés à des produits réglementés comme les DM (AI Act, Art. 113).

1. Contexte réglementaire : ANSM et dispositifs médicaux avec IA

L'Agence nationale de sécurité du médicament et des produits de santé (ANSM) supervise en France la mise sur le marché et la surveillance des dispositifs médicaux (DM) et dispositifs médicaux de diagnostic in vitro (DMDIV). Sa mission s'appuie sur le Règlement (UE) 2017/745 — dit MDR — applicable depuis le 26 mai 2021, et le Règlement (UE) 2017/746 — dit IVDR — pour le diagnostic in vitro.

L'arrivée du Règlement (UE) 2024/1689 (« AI Act ») modifie le paysage. Tout dispositif médical incorporant un système d'IA et soumis à évaluation de conformité par un organisme notifié au titre du MDR est automatiquement classé système d'IA à haut risque (Art. 6 §1 de l'AI Act, lu avec l'Annexe I).

Conséquence directe : les fabricants doivent désormais cumuler deux référentiels. Le MDR fixe les exigences de sécurité et de performance ; l'AI Act ajoute des obligations spécifiques sur la gouvernance des données, la transparence, la robustesse et la supervision humaine.

Référentiel	Périmètre	Autorité française
Règlement (UE) 2017/745 (MDR)	Sécurité et performance du DM	ANSM
Règlement (UE) 2024/1689 (AI Act)	Système d'IA à haut risque	Autorité notifiante désignée (en cours)
Règlement (UE) 2016/679 (RGPD)	Données personnelles de santé	CNIL
ISO/IEC 42001:2023	Système de management de l'IA	Certification volontaire

L'ANSM publie depuis 2023 des points de doctrine sur l'IA en santé via son observatoire des innovations. Pour une vue d'ensemble du cadre PME, consultez notre guide pillar AI Act PME France.

2. Obligations clés pour les dispositifs médicaux avec IA

Trois blocs d'obligations s'imposent au fabricant d'un DM intégrant un système d'IA à haut risque.

Bloc 1 — Documentation technique. Le fabricant constitue un dossier conforme à l'Annexe II du MDR, complété par les éléments de l'Article 11 et de l'Annexe IV de l'AI Act : description du système d'IA, choix de conception, données d'entraînement, de validation et de test, mesures de supervision humaine, instructions d'utilisation.

Bloc 2 — Système de gestion de la qualité (SGQ). Le SGQ ISO 13485:2016 reste la base. L'AI Act exige en complément un système de gestion des risques spécifique à l'IA (Art. 9) et une gouvernance des données (Art. 10) : représentativité, pertinence, absence de biais identifiable.

Bloc 3 — Surveillance après commercialisation. Le MDR impose un plan de surveillance (Art. 83 à 86) et un PSUR. L'AI Act ajoute un système de surveillance post-commercialisation propre (Art. 72) et une obligation de journalisation automatique des événements (Art. 12).

Procédure d'évaluation de conformité avec organisme notifié pour les classes IIa, IIb et III (MDR, Art. 52).
Marquage CE apposé après évaluation positive (MDR, Art. 20).
Enregistrement dans la base européenne EUDAMED (MDR, Art. 33).
Notification des incidents graves à l'ANSM sous 15 jours (MDR, Art. 87).
Mise à jour annuelle de la documentation IA selon l'évolution du modèle (AI Act, Art. 11 §2).

3. Impact sur les PME : coûts et délais

Les PME représentent la majorité des fabricants français de DM innovants. Le double cadre MDR + AI Act génère une charge de conformité significative.

Poste	Estimation indicative	Source
Évaluation par organisme notifié	30 000 € à 150 000 € selon classe	[à vérifier — varie selon ON]
Constitution dossier IA (Annexe IV AI Act)	200 à 600 heures internes	[à vérifier]
Audit du SGQ ISO 13485 + extension IA	8 000 € à 25 000 € / an	[à vérifier]
Surveillance post-commercialisation	0,5 à 1,5 ETP dédié	[à vérifier]

Les délais d'obtention du marquage CE auprès d'un organisme notifié restent un point de tension. La Commission européenne a reconnu en janvier 2024 un retard structurel (communication COM(2024) 43 final). Le règlement (UE) 2023/607 a prolongé certaines échéances transitoires MDR jusqu'au 31 décembre 2027 ou 2028 selon la classe.

Pour les PME, trois leviers limitent le coût :

Mutualiser la veille réglementaire via les syndicats professionnels (Snitem, France Biotech).
S'appuyer sur des modèles documentaires (politique IA, registre des risques, plan de surveillance).
Anticiper le choix de l'organisme notifié — les délais d'instruction peuvent dépasser 12 mois.

Pack documentaire AI Act PME

regulia met à disposition un pack de modèles (politique IA, registre des systèmes, AIPD, plan de surveillance) aligné MDR + AI Act, adaptable à votre dispositif médical.

Demander le pack

4. Conformité avec le RGPD et l'EU AI Act

Un DM intégrant de l'IA traite presque toujours des données concernant la santé au sens de l'Art. 4 §15 du RGPD. Ces données relèvent de l'Art. 9 §1 : traitement interdit par principe, sauf base légale spécifique (consentement explicite, intérêt vital, recherche scientifique, soin).

L'analyse d'impact relative à la protection des données (AIPD), prévue à l'Art. 35 du RGPD, est obligatoire dès lors que le traitement présente un risque élevé. La CNIL liste les traitements de données de santé à grande échelle parmi les cas où une AIPD est requise (délibération n° 2018-327).

Articulation AIPD / FRIA. L'AI Act introduit à l'Art. 27 une analyse d'impact sur les droits fondamentaux (FRIA) à la charge de certains déployeurs publics ou délégataires de service public. Pour un DM utilisé par un établissement de santé public, les deux analyses peuvent se chevaucher. La CNIL a confirmé qu'une AIPD bien menée peut couvrir une partie de la FRIA, sans s'y substituer.

Obligation	Texte	Qui ?	Quand ?
AIPD	RGPD, Art. 35	Responsable de traitement	Avant mise en œuvre
FRIA	AI Act, Art. 27	Déployeur (entité publique)	Avant déploiement
Documentation technique IA	AI Act, Art. 11	Fournisseur	Avant mise sur le marché
Transparence utilisateur	AI Act, Art. 13	Fournisseur	À la livraison

La transparence vise une compréhension suffisante par le professionnel de santé : finalité, performances, limites, conditions d'usage, niveau de précision attendu. La notice d'utilisation MDR doit intégrer ces éléments.

Pour les définitions précises (AIPD, FRIA, organisme notifié, classe de risque), consultez notre glossaire AI Act.

5. Processus d'évaluation et de certification

Le marquage CE d'un DM avec IA suit la procédure du MDR, enrichie des exigences AI Act. Le législateur européen a fait le choix de fusionner les deux évaluations : un seul certificat CE atteste de la conformité aux deux règlements (AI Act, Art. 43 §3).

Étapes types pour une classe IIb avec composant IA :

Détermination de la classe selon les règles de l'Annexe VIII MDR.
Mise en place du SGQ ISO 13485 étendu aux exigences AI Act Art. 17.
Constitution du dossier technique (Annexe II MDR + Annexe IV AI Act).
Évaluation clinique conforme à l'Annexe XIV MDR.
Audit du SGQ et examen du dossier par l'organisme notifié.
Délivrance du certificat CE et apposition du marquage.
Enregistrement EUDAMED et déclaration de conformité UE.
Mise en place du PSUR et de la surveillance post-commercialisation IA.

L'organisme notifié devra disposer d'une désignation étendue à l'AI Act. Au 1er semestre 2026, le nombre d'ON désignés sera limité ; anticiper le créneau d'instruction est stratégique.

L'ANSM peut, à tout moment, demander un complément d'information ou diligenter une inspection. Toute modification substantielle du système d'IA (réentraînement, modification de l'architecture, élargissement de l'indication) déclenche une nouvelle évaluation de conformité.

6. Sanctions et responsabilités

Les régimes de sanctions se cumulent.

Régime	Plafond maximal	Texte
AI Act — pratiques interdites	35 M€ ou 7 % du CA mondial	Règlement (UE) 2024/1689, Art. 99 §3
AI Act — manquements haut risque	15 M€ ou 3 % du CA mondial	Art. 99 §4
AI Act — information inexacte aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99 §5
RGPD — violations graves	20 M€ ou 4 % du CA mondial	RGPD, Art. 83 §5
MDR — sanctions nationales	Fixées par chaque État membre	MDR, Art. 113

En France, les sanctions MDR sont prévues par l'ordonnance n° 2022-582 du 20 avril 2022 et le décret n° 2022-1626. L'ANSM peut prononcer une injonction, une suspension, un retrait, ou saisir le procureur.

Au-delà de la sanction pécuniaire, la responsabilité civile du fabricant peut être engagée en cas de dommage. La proposition de directive sur la responsabilité en matière d'IA (COM(2022) 496 final) reste en discussion ; la directive (UE) 2024/2853 sur la responsabilité du fait des produits défectueux a été adoptée et inclut désormais explicitement les logiciels et systèmes d'IA.

Notre analyse détaillée du régime de sanctions est disponible dans l'article AI Act sanctions PME : amendes et calcul.

7. Outils et ressources disponibles

Plusieurs ressources institutionnelles aident les PME à structurer leur démarche.

ANSM — points d'information sur l'IA en santé, ansm.sante.fr.
CNIL — fiches pratiques IA (publication 2024), recommandations sur les bases légales et l'AIPD.
AI Office (Commission européenne) — service desk dédié AI Act, ai-act-service-desk.ec.europa.eu.
Cigref — guide AI Act publié en janvier 2025, focus déploiement entreprise.
Numeum — guide opérationnel AI Act mars 2025, orienté éditeurs et intégrateurs.
ISO/IEC 42001:2023 — norme de management des systèmes d'IA, certifiable.
ISO/IEC 23894:2023 — lignes directrices sur la gestion des risques IA.
ISO 14971:2019 — référentiel risque incontournable pour les DM, à articuler avec l'AI Act Art. 9.

Côté outillage interne, trois documents structurants sont à produire avant tout audit :

Politique IA de l'organisation (gouvernance, rôles, comité éthique).
Registre des systèmes d'IA (inventaire, classification, risques).
Procédure de surveillance post-commercialisation IA (collecte de signaux, seuils d'alerte, plan d'action).

Audit de positionnement AI Act

Notre questionnaire identifie en 15 minutes vos obligations AI Act selon votre dispositif et votre rôle (fournisseur, déployeur, importateur).

Démarrer l'audit

8. Échéances et calendrier

L'AI Act fixe un calendrier d'entrée en application par briques (Art. 113).

Date	Événement	Texte
1er août 2024	Entrée en vigueur de l'AI Act	Art. 113
2 février 2025	Application des interdictions (Art. 5)	Art. 113
2 août 2025	Application des règles GPAI et gouvernance	Art. 113
2 août 2026	Application générale (haut risque Annexe III, sanctions)	Art. 113
2 août 2027	Application aux systèmes intégrés à des produits Annexe I (dont DM)	Art. 113 §3
31 décembre 2027 / 2028	Fin des dispositions transitoires MDR (Règlement 2023/607)	Règlement (UE) 2023/607

Lecture clé : un DM avec IA mis sur le marché après le 2 août 2027 doit respecter l'AI Act dès sa mise sur le marché. Les dispositifs déjà sur le marché à cette date bénéficient d'un régime particulier (Art. 111 §2) : conformité requise uniquement si modification substantielle de conception.

Les PME doivent donc construire leur feuille de route 2026-2027 dès maintenant : cartographier les dispositifs concernés, identifier les écarts, planifier les audits, sécuriser un créneau auprès d'un organisme notifié.

FAQ

Quelles sont les principales différences entre les anciennes et les nouvelles obligations ?

Le MDR s'applique depuis 2021. Ce qui change en 2026-2027, c'est l'ajout de l'AI Act : documentation technique IA spécifique (Annexe IV), gouvernance des données (Art. 10), supervision humaine renforcée (Art. 14), journalisation automatique (Art. 12) et surveillance post-commercialisation IA dédiée (Art. 72). Une AIPD reste requise au titre du RGPD pour les dispositifs traitant des données de santé.

Comment les PME peuvent-elles se préparer aux échéances ?

La démarche se construit en quatre temps : cartographier les dispositifs et leur classification AI Act, identifier les écarts via un audit interne ou externe, mettre à jour la documentation technique et le SGQ, planifier le passage devant l'organisme notifié. Le guide ANSM et le service desk de l'AI Office sont des points d'entrée utiles.

Quelles sont les sanctions pour non-conformité ?

L'AI Act prévoit jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial pour manquement aux obligations applicables aux systèmes à haut risque (Art. 99 §4), et 7,5 M€ ou 1 % pour information inexacte (Art. 99 §5). Le RGPD ajoute jusqu'à 20 M€ ou 4 % (Art. 83 §5). Le MDR permet en France des injonctions, retraits et poursuites pénales (ordonnance 2022-582).

Quelle est l'importance de la conformité RGPD pour ces dispositifs ?

Un DM avec IA traite presque toujours des données de santé, catégorie particulière protégée par l'Art. 9 du RGPD. Une AIPD est requise (Art. 35), une base légale spécifique doit être identifiée, et la sécurité des données (Art. 32) doit être démontrée. L'absence d'AIPD pour un traitement à risque élevé est en soi un manquement sanctionnable.

Où trouver des ressources officielles ?

Quatre sources principales : le site de l'ANSM pour la doctrine française DM/DMDIV, la CNIL pour les fiches pratiques IA et la doctrine sur les données de santé, le service desk AI Act de la Commission européenne pour les questions d'interprétation, et EUR-Lex pour les textes consolidés. La page sources du blog regulia centralise les références utiles aux PME.

Sources officielles

Règlement (UE) 2017/745 (MDR) — eur-lex.europa.eu/eli/reg/2017/745
Règlement (UE) 2024/1689 (AI Act) — eur-lex.europa.eu/eli/reg/2024/1689
Règlement (UE) 2016/679 (RGPD) — cnil.fr/fr/reglementation/rgpd
AI Act Service Desk — ai-act-service-desk.ec.europa.eu
Agence nationale de sécurité du médicament (ANSM) — ansm.sante.fr
ISO/IEC 42001:2023 — système de management de l'IA
ISO 14971:2019 — gestion des risques pour les dispositifs médicaux

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.