Dois-je obtenir le consentement des patients pour utiliser l'IA ?

Oui, le RGPD exige un consentement explicite pour le traitement de données de santé (art. 9(2)(a)). Le cabinet doit informer les patients de l'utilisation de l'IA et obtenir leur accord écrit. Le CNIL recommande de le mentionner dans les documents de consentement au traitement.

Cas pratique : IA d'aide au diagnostic chez cabinet de radiologie - EU AI Act & RGPD

Q: Quel est le délai pour se conformer à l'EU AI Act pour une IA médicale ?

Les systèmes de haute risque comme l'IA médicale doivent être conformes dès le 2 mai 2025. Les cabinets doivent donc commencer leur audit immédiatement. Le service desk européen (ai-act-service-desk.ec.europa.eu) conseille de planifier un audit complet en 6 mois.

Q: Quelles sont les sanctions en cas de non-conformité ?

Les amendes peuvent atteindre 7% du chiffre d'affaires annuel (art. 83 EU AI Act) et inclure des sanctions pénales pour les dirigeants. Le service desk européen indique que les sanctions sont appliquées dès le déploiement sans préavis.

Q: Comment garantir l'efficacité du contrôle humain ?

Le contrôle humain doit être systématique et documenté (art. 17 EU AI Act). Le radiologue doit valider chaque résultat d'IA et justifier son accord ou refus. Le cabinet doit établir un processus de revue régulière des cas d'IA.

Q: Quel est le rôle du DPO dans ce contexte ?

Le DPO doit superviser la conformité RGPD et EU AI Act, auditer les processus d'IA, et informer les autorités. Pour les cabinets de radiologie, son rôle est crucial pour gérer les données sensibles et les risques algorithmiques.

Un cabinet de radiologie de Lyon déploie un logiciel d'intelligence artificielle pour détecter les nodules pulmonaires sur les scanners thoraciques. Le dirigeant s'interroge : faut-il un marquage CE médical ? Le consentement écrit des patients ? Une formation du personnel ? Cet article décortique le cas concret d'un cabinet de 8 radiologues face à ses obligations cumulées au titre du Règlement (UE) 2024/1689 (EU AI Act) et du RGPD.

L'essentiel en 30 secondes

L'IA d'aide au diagnostic radiologique relève des systèmes à haut risque au sens de l'Article 6(2) du Règlement (UE) 2024/1689, annexe III point 5.
Les sanctions atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les obligations applicables aux déployeurs (Art. 99 du Règlement) — pas 7 %, qui ne vise que les pratiques interdites.
Le RGPD impose une base légale renforcée pour les données de santé : Article 9(2)(h) du Règlement (UE) 2016/679 (finalité médicale), pas systématiquement le consentement.
Le déployeur PME doit assurer un contrôle humain effectif (Art. 14 et Art. 26 du Règlement (UE) 2024/1689), conserver les journaux au moins 6 mois, et former le personnel.
L'AIPD (analyse d'impact relative à la protection des données) est obligatoire avant déploiement, selon l'Article 35 du RGPD et la liste CNIL des traitements à risque élevé.
Les obligations applicables aux systèmes à haut risque s'appliquent à compter du 2 août 2026, avec dérogations pour les dispositifs médicaux relevant du règlement (UE) 2017/745.

1. Contexte réglementaire : EU AI Act et RGPD pour l'IA médicale

Un système d'IA qui assiste le radiologue dans la détection de pathologies est un dispositif médical au sens du Règlement (UE) 2017/745 (MDR). Il est aussi un système d'IA à haut risque au sens de l'Article 6(1) du Règlement (UE) 2024/1689, lorsqu'il est utilisé comme composant de sécurité d'un dispositif médical soumis à une évaluation de conformité par un organisme notifié.

1.1 Double qualification juridique

Le logiciel d'aide au diagnostic radiologique cumule trois cadres :

Cadre juridique	Texte de référence	Obligation principale pour le cabinet
Dispositif médical	Règlement (UE) 2017/745	Vérifier le marquage CE et la classe (IIa/IIb selon la règle 11)
IA à haut risque	Règlement (UE) 2024/1689, Art. 6(1) et Annexe I	Respecter les obligations déployeur de l'Art. 26
Protection des données	Règlement (UE) 2016/679 (RGPD)	Base légale Art. 9(2)(h), AIPD Art. 35, sécurité Art. 32

1.2 Qui est responsable de quoi

Le cabinet de radiologie est déployeur (« deployer » au sens de l'Art. 3(4) du Règlement (UE) 2024/1689). Il n'est pas fournisseur, sauf s'il modifie substantiellement le système, le rebadge, ou modifie sa finalité (Art. 25 du Règlement). Cette distinction est fondamentale : les obligations du fournisseur (documentation technique, évaluation de conformité, base de données UE) ne lui incombent pas dans le scénario standard.

Pour une vue d'ensemble du cadre applicable aux PME, consultez notre guide pillar AI Act PME France.

2. Risques opérationnels et juridiques

Trois familles de risques pèsent sur le cabinet : risques cliniques, risques juridiques, risques réputationnels.

2.1 Risques cliniques liés aux biais algorithmiques

L'IA entraînée majoritairement sur des images de patients adultes caucasiens peut sous-performer sur d'autres populations. La CNIL, dans ses fiches pratiques IA de 2024, recommande d'évaluer la représentativité du jeu de données d'entraînement avant tout déploiement clinique. Le radiologue déployeur doit comprendre les limites de performance documentées par le fournisseur.

2.2 Risques juridiques

Le risque principal n'est pas une amende AI Act le jour 1, mais une mise en cause civile en cas de retard de diagnostic ou d'erreur. Le radiologue reste responsable de l'acte médical au titre du Code de la santé publique. L'IA ne déplace pas la responsabilité, elle l'augmente : un radiologue qui ignore une alerte documentée de l'IA, ou qui suit aveuglément une recommandation erronée, engage sa responsabilité professionnelle.

2.3 Sanctions administratives AI Act

L'Article 99 du Règlement (UE) 2024/1689 distingue trois plafonds. Le plafond de 7 % du chiffre d'affaires mondial ou 35 millions d'euros vise uniquement les pratiques interdites de l'Article 5 (scoring social, manipulation, etc.). Le non-respect des obligations applicables aux systèmes à haut risque, y compris les obligations du déployeur de l'Art. 26, est sanctionné à hauteur de 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le détail figure dans notre article dédié aux sanctions AI Act pour PME.

3. Conformité EU AI Act : obligations spécifiques du déployeur

L'Article 26 du Règlement (UE) 2024/1689 liste les obligations du déployeur d'un système à haut risque. Voici les obligations concrètes pour un cabinet de radiologie.

3.1 Mesures techniques et organisationnelles

L'Art. 26(1) impose au déployeur de prendre « les mesures techniques et organisationnelles appropriées pour garantir qu'ils utilisent ces systèmes conformément à la notice d'utilisation ». Le cabinet doit donc :

Lire et archiver la notice d'utilisation fournie par l'éditeur.
Configurer le système selon les paramètres validés (seuils de sensibilité, populations cibles).
Documenter toute déviation par rapport à la finalité prévue.

3.2 Contrôle humain effectif

L'Art. 26(2) impose un contrôle humain par des personnes ayant « la compétence, la formation et l'autorité » nécessaires. Pour le cabinet, cela signifie :

Seul un radiologue qualifié valide les résultats produits par l'IA.
Une procédure écrite décrit comment le radiologue peut ignorer, valider ou corriger une recommandation.
La formation du personnel est documentée et renouvelée.

3.3 Surveillance du fonctionnement et journalisation

L'Art. 26(5) impose de surveiller le fonctionnement. L'Art. 26(6) impose la conservation des journaux générés automatiquement par le système pour une période d'au moins six mois, sauf disposition contraire du droit de l'Union ou national. Pour un dispositif médical, la durée de conservation prévue par le règlement MDR ou par les obligations d'archivage médical (généralement 20 ans) prévaut.

3.4 Information des personnes concernées

L'Art. 26(11) impose, lorsque le système prend ou aide à prendre des décisions concernant des personnes physiques, d'informer ces personnes qu'elles sont soumises à l'usage d'un tel système. Le patient doit donc être informé que son examen est analysé avec assistance d'une IA — typiquement via la note d'information remise lors de la prise de rendez-vous.

Pack documentaire AI Act pour cabinet médical

regulia propose un pack contenant : procédure de contrôle humain, registre des décisions IA, notice patient conforme Art. 26(11), AIPD type santé, journal des incidents. Conçu pour les déployeurs PME.

Demander le pack documentaire

4. RGPD : protection des données de santé

Les images radiologiques sont des données concernant la santé au sens de l'Article 4(15) du RGPD. Leur traitement est interdit par principe (Art. 9(1)), sauf application d'une des exceptions de l'Art. 9(2).

4.1 Base légale : pas le consentement par défaut

Contrairement à une idée reçue, le consentement explicite (Art. 9(2)(a)) n'est pas la base légale appropriée pour un cabinet médical. La CNIL, dans sa doctrine constante, retient l'Article 9(2)(h) : traitement nécessaire aux fins de la médecine préventive ou du diagnostic médical, sous la responsabilité d'un professionnel de santé soumis au secret. Cette base couvre l'usage de l'IA comme outil d'aide au diagnostic dans le cadre du parcours de soins.

Base légale envisagée	Pertinence pour cabinet de radiologie	Risque
Art. 9(2)(a) — consentement explicite	Inadaptée : le patient ne peut refuser sans renoncer aux soins	Consentement non libre, donc invalide
Art. 9(2)(h) — diagnostic médical	Base recommandée pour l'acte médical incluant l'IA	Faible, sous réserve d'information
Art. 9(2)(i) — santé publique	Hors champ d'un cabinet privé	Sans objet

4.2 Information du patient

L'absence de consentement comme base légale ne dispense pas d'informer. L'Article 13 du RGPD impose une information claire sur :

L'identité du responsable de traitement (le cabinet).
Les finalités du traitement (aide au diagnostic par IA).
Les destinataires (éditeur du logiciel, hébergeur HDS).
La durée de conservation (alignée sur l'archivage médical).
Les droits du patient (accès, rectification, opposition motivée).

4.3 AIPD obligatoire avant déploiement

L'Article 35(3)(b) du RGPD impose une analyse d'impact relative à la protection des données pour tout traitement à grande échelle de données de santé. La CNIL a publié une liste des traitements pour lesquels une AIPD est obligatoire : les traitements de données de santé par des établissements de soins en font partie.

L'AIPD doit être réalisée avant le déploiement, pas après. Elle décrit le traitement, évalue la nécessité et la proportionnalité, identifie les risques pour les droits et libertés, et liste les mesures envisagées.

4.4 Hébergement des données de santé

L'hébergement de données de santé en France impose une certification HDS (Hébergeur de Données de Santé) au prestataire, en application de l'Article L.1111-8 du Code de la santé publique. Le cabinet doit vérifier que l'éditeur de l'IA et son infrastructure cloud sont certifiés HDS.

4.5 Désignation d'un DPO

L'Article 37(1)(c) du RGPD impose la désignation d'un délégué à la protection des données lorsque l'activité de base consiste en un traitement à grande échelle de données sensibles. Un cabinet de radiologie traitant les données de plusieurs milliers de patients par an entre dans cette catégorie selon la doctrine du CEPD (lignes directrices WP243 rev.01). Le DPO peut être mutualisé.

5. Mise en œuvre pratique : étapes clés sur 6 mois

Voici un calendrier opérationnel pour un cabinet déployant une IA d'aide au diagnostic.

Mois	Étape	Livrable
M1	Cartographie du système	Fiche descriptive : finalité, fournisseur, marquage CE, classe
M1-M2	AIPD	Document AIPD validé par le DPO
M2	Contrat fournisseur	Contrat couvrant Art. 26 et Art. 28 RGPD (sous-traitance)
M3	Procédures internes	Procédure de contrôle humain, procédure d'incident
M3-M4	Formation	Sessions personnel, attestations signées
M4	Information patients	Notice mise à jour, affichage, mention sur compte-rendu
M5	Test pilote	Phase parallèle : double lecture humaine et IA
M6	Déploiement	Mise en production avec journalisation active

Cette séquence s'inspire des recommandations du guide AI Act Cigref de 2025 et de la méthodologie ISO/IEC 42001:2023 pour les systèmes de management de l'IA. Pour une approche ISO 42001, voir notre cas pratique ISO 42001 PME.

6. Exemples de bonnes pratiques observées

Voici des pratiques documentées chez des cabinets en avance sur le sujet.

6.1 Double lecture systématique en phase pilote

Pendant trois mois, chaque examen est lu par l'IA et par le radiologue indépendamment. Les divergences sont analysées en réunion de morbi-mortalité. Cette phase mesure les performances réelles du système sur la population du cabinet, et non sur le jeu de validation du fournisseur.

6.2 Journal des cas où l'IA a été ignorée

Un registre simple consigne les situations où le radiologue n'a pas suivi la recommandation de l'IA, avec sa justification. Ce registre nourrit le retour vers le fournisseur (Art. 26(5) du Règlement (UE) 2024/1689) et alimente la formation continue.

6.3 Mention systématique dans le compte-rendu

Le compte-rendu d'examen mentionne : « Cet examen a été interprété avec l'assistance d'un logiciel d'aide à la détection certifié CE [modèle X, version Y]. L'interprétation finale relève du radiologue signataire. » Cette mention satisfait à l'Art. 26(11) du Règlement (UE) 2024/1689 et clarifie la responsabilité médicale.

6.4 Mise à jour contrôlée des versions

Toute mise à jour majeure de l'IA déclenche une revue : nouvelle AIPD si modification substantielle, nouvelle formation, nouveau test pilote court. Le radiologue référent valide la mise en production.

7. Sanctions et responsabilité

7.1 Sanctions AI Act

L'Article 99 du Règlement (UE) 2024/1689 prévoit, pour un déployeur qui manque à ses obligations de l'Art. 26 :

Manquement	Plafond AI Act (Art. 99)
Pratique interdite (Art. 5)	35 M€ ou 7 % du CA mondial
Manquement aux obligations haut risque (dont Art. 26 déployeur)	15 M€ ou 3 % du CA mondial
Information incorrecte aux autorités	7,5 M€ ou 1 % du CA mondial

Pour les PME et start-ups, l'Article 99(6) précise que les amendes administratives sont fixées au plafond le plus bas des deux montants — règle protectrice qui plafonne fortement l'exposition financière d'un cabinet de radiologie indépendant.

7.2 Sanctions RGPD

La CNIL peut prononcer une amende jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires (Art. 83(5) RGPD), notamment en cas de défaut d'AIPD ou de défaut de base légale. Les sanctions sont cumulables avec celles de l'AI Act, qui visent des manquements distincts.

7.3 Responsabilité civile et pénale

L'erreur diagnostique demeure soumise au régime de responsabilité médicale classique. L'usage d'une IA n'exonère pas le radiologue : la jurisprudence française traite l'IA comme un outil d'aide, dont l'usage doit être conforme aux données acquises de la science. Aucune disposition de l'AI Act ne crée de responsabilité pénale spécifique du dirigeant — l'affirmation parfois lue selon laquelle l'Art. 99 crée une responsabilité pénale est inexacte. Les sanctions de l'Art. 99 sont administratives.

8. Recommandations pour les cabinets de radiologie

Voici la check-list opérationnelle minimale à valider avant tout déploiement.

Vérifier le marquage CE médical et la classe du dispositif (généralement IIa ou IIb).
Désigner un radiologue référent IA et un DPO (interne ou mutualisé).
Réaliser l'AIPD avant la signature du contrat, pas après.
Négocier un contrat fournisseur qui couvre l'Art. 26 du Règlement (UE) 2024/1689 et l'Art. 28 du RGPD.
Vérifier la certification HDS de l'éditeur et de l'hébergeur.
Documenter la formation du personnel : qui, quand, sur quoi.
Mettre en place une procédure d'incident avec délai de notification 72 h (Art. 33 RGPD) et obligations Art. 26(5) du Règlement (UE) 2024/1689.
Préparer la phase pilote : double lecture sur au moins 200 examens représentatifs.
Auditer annuellement la conformité, en lien avec la révision de l'AIPD.
Consulter le glossaire pour s'aligner sur la terminologie réglementaire — voir notre glossaire AI Act.

Accompagnement spécifique cabinet médical

regulia accompagne les cabinets de radiologie, biologie médicale et imagerie dans leur mise en conformité combinée AI Act, RGPD et HDS. Audit initial, documentation, formation du personnel.

Demander un audit de conformité

FAQ

Q : Quel est le délai pour se conformer à l'EU AI Act pour une IA médicale ?

Les obligations applicables aux systèmes à haut risque, y compris celles du déployeur de l'Art. 26 du Règlement (UE) 2024/1689, deviennent applicables le 2 août 2026 (24 mois après l'entrée en vigueur du Règlement le 1er août 2024). L'Article 111 prévoit des dispositions transitoires pour les systèmes déjà sur le marché. Le cabinet a donc le temps de planifier, mais les audits préalables prennent typiquement six mois.

Q : Dois-je obtenir le consentement écrit des patients pour utiliser l'IA ?

Pas nécessairement. Pour un acte de soins, la base légale RGPD adaptée est l'Article 9(2)(h) (diagnostic médical sous responsabilité d'un professionnel soumis au secret), pas le consentement de l'Article 9(2)(a). En revanche, le patient doit être informé au titre de l'Article 13 RGPD et de l'Article 26(11) du Règlement (UE) 2024/1689 : information claire sur l'usage de l'IA, ses finalités, et les droits associés.

Q : Quelles sont les sanctions en cas de non-conformité ?

Les sanctions administratives AI Act pour un déployeur sont plafonnées à 15 millions d'euros ou 3 % du CA mondial (Art. 99(4) du Règlement). Pour les PME, l'Art. 99(6) prévoit le plafond le plus bas. Les sanctions RGPD CNIL atteignent 20 millions d'euros ou 4 % du CA (Art. 83 RGPD). Les sanctions sont administratives, non pénales.

Q : Comment garantir l'efficacité du contrôle humain ?

L'Article 14 du Règlement (UE) 2024/1689 impose que le contrôle humain permette à la personne « de comprendre correctement les capacités et limites pertinentes » du système et « d'interpréter correctement les résultats ». Concrètement : formation initiale et continue, procédure écrite décrivant les cas de validation/refus, traçabilité des décisions du radiologue.

Q : Quel est le rôle du DPO dans ce contexte ?

Le DPO (Art. 39 RGPD) informe et conseille, contrôle le respect du RGPD, coopère avec la CNIL, et pilote l'AIPD. Sur un projet IA médicale, son rôle inclut la revue du contrat fournisseur, la validation de la base légale Art. 9(2)(h), la vérification de la certification HDS, et le suivi des incidents de sécurité. Le DPO n'est pas un responsable AI Act au sens du Règlement (UE) 2024/1689, mais sa mission couvre largement les enjeux transverses.

Sources officielles

Règlement (UE) 2024/1689 sur l'IA — texte EUR-Lex
Proposition initiale Commission européenne — CELEX 52024PC0168
CNIL — IA et données personnelles
CNIL — fiches pratiques IA
Service desk AI Act — Commission européenne
Règlement (UE) 2017/745 sur les dispositifs médicaux
Règlement (UE) 2016/679 (RGPD)
ISO/IEC 42001:2023 — Systèmes de management de l'IA
ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
Cigref — Guide AI Act, janvier 2025
Numeum — Guide AI Act, mars 2025

Pour aller plus loin, consultez notre page sources réglementaires.

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Cas pratique : IA d'aide au diagnostic chez un cabinet de radiologie — EU AI Act & RGPD