La CNIL et la HAS lancent une consultation inédite pour encadrer l’IA médicale

CNIL et HAS se mettent à la même table pour mettre un peu d’ordre dans l’IA en santé. Elles viennent d’ouvrir une consultation publique sur un projet de guide de bonnes pratiques, baptisé « IA en contexte de soins ». L’idée, c’est d’arrêter de bricoler chacun dans son coin et de clarifier, noir sur blanc, ce que les établissements et les pros ont le droit de faire, ce qu’ils devraient faire, et ce qu’ils doivent éviter.

Le timing n’est pas un hasard. Selon le baromètre de la Fédération hospitalière de France, 65 % des établissements publics utilisent déjà de l’IA dans leurs activités. On parle d’outils d’aide à la décision, d’organisation des soins, parfois d’usages plus « nouveaux » comme l’IA générative. Résultat, ça avance vite, mais les questions de gouvernance, de sécurité, d’information des patients et de données personnelles arrivent en même temps, et ça, tu ne peux pas l’ignorer.

Un guide « IA en contexte de soins » pensé pour le terrain

Le document mis en consultation n’est pas une plaquette de com’. C’est un projet de guide construit avec un groupe de travail pluridisciplinaire, copiloté par la HAS et la CNIL. Il vise deux choses très concrètes: clarifier le cadre légal et réglementaire, et proposer des recommandations de déploiement responsable et sécurisé. Dit autrement, on te donne une boussole pour ne pas te planter, et pour ne pas mettre ton établissement en risque.

Ce guide, dans sa version actuelle, c’est 12 fiches. Dix suivent les étapes du cycle de vie d’un système d’IA, de l’acquisition à la désinstallation. Deux fiches sont transversales: une sur la gouvernance, une sur les spécificités de l’IA générative. Ce découpage est malin parce qu’il colle aux vrais moments où ça dérape: quand tu achètes un outil sans savoir ce qu’il fait vraiment, quand tu l’intègres au SI, quand tu changes de fournisseur, ou quand tu le laisses tourner « par habitude ».

Le périmètre est centré sur la prise en charge des patients. Ça vise les établissements de santé, mais aussi les professionnels en libéral qui utilisent un système d’IA dans leur activité. Et c’est là que ça devient utile: le guide n’est pas réservé aux CHU avec une DSI de 200 personnes. Il est censé parler aussi à la clinique moyenne, au centre de santé, au cabinet qui s’équipe d’une solution « clé en main » vendue comme magique.

Sur le papier, on est sur un équilibre délicat. D’un côté, tu as des promesses réelles sur l’organisation des soins et l’aide à la décision médicale. De l’autre, tu as des risques qui n’ont rien de théorique: protection des données, sécurité numérique, information des patients, gouvernance, et même des impacts sur l’organisation du travail. Le guide essaye de remettre les responsabilités au bon endroit, au lieu de tout poser sur « l’outil ».

Trois niveaux de recommandations, et une logique anti-bêtises

Le guide classe les recommandations en trois niveaux. Premier niveau: les pratiques « standard », celles qui font consensus et qui devraient être suivies dans la majorité des cas. Deuxième niveau: les recommandations « avancées », des pistes d’amélioration ou d’anticipation, à mettre en place selon tes ressources. Troisième niveau: des « réflexes » à adopter systématiquement pour éviter des usages non conformes, inappropriés ou dangereux. Rien que cette structure, ça montre qu’on ne parle pas à un monde idéal, mais à des services sous tension.

Dans la vraie vie, une reco « standard », c’est typiquement ce qui devrait être non négociable: savoir qui fait quoi, documenter le déploiement, encadrer l’accès, vérifier que le cadre de protection des données tient la route. Les recos « avancées », elles, ressemblent à ce que les gros établissements font déjà quand ils ont du temps et des moyens: anticiper des scénarios, renforcer la gouvernance, organiser la montée en compétence des équipes, formaliser des revues régulières.

Les « réflexes » sont le cur du sujet. Parce que les accidents arrivent souvent par paresse ou par précipitation. Exemple typique: un outil d’IA installé pour « aider » un service, puis utilisé au-delà de son périmètre initial parce que c’est pratique. Ou un usage d’IA générative qui s’invite dans le quotidien, parce que ça rédige vite, sauf que tu ne sais pas où partent les données. Le guide veut couper court à ce genre de glissement.

Ma nuance, en vieux briscard: classer en trois niveaux, c’est pédagogique, mais ça peut aussi devenir une excuse. Tu connais la musique: « on fait le standard, le reste plus tard ». Sauf que « plus tard », dans un hôpital, ça peut durer des années. Du coup, l’intérêt de la consultation, c’est aussi de pousser le secteur à dire ce qui est vraiment faisable, et ce qui doit être considéré comme essentiel, même quand les équipes sont déjà au bout.

RGPD, sécurité, information des patients: le trio qui fâche

Si la CNIL est dans la boucle, ce n’est pas pour faire joli. Le guide veut clarifier les obligations légales et réglementaires, et ça ramène très vite au RGPD et à la loi Informatique et Libertés. En santé, les données sont sensibles par nature, et la moindre fuite, la moindre mauvaise configuration, c’est un problème patient, un problème de confiance, et un problème juridique. Le texte insiste sur un déploiement respectueux de la réglementation, éthique et sécurisé.

La sécurité numérique revient comme un fil rouge. Parce qu’un système d’IA, ce n’est pas juste un logiciel. C’est des flux de données, des accès, des connexions au SI, parfois du cloud, parfois des prestataires, parfois des mises à jour qui changent le comportement de l’outil. Et quand tu ajoutes des usages d’IA générative, tu augmentes la surface de risque: tentation de copier-coller, tentation de « tester », tentation de gagner du temps, et tu sais très bien comment ça finit si ce n’est pas cadré.

Autre point qui crispe: l’information des patients. Les outils d’IA peuvent influencer une prise en charge, directement ou indirectement. Le guide met ce sujet sur la table, parce que l’acceptabilité tient à ça. Si le patient a l’impression qu’un algorithme « décide » à la place du médecin, tu perds la main. Si, à l’inverse, tu expliques mal et que tu minimises, tu prends le risque d’un retour de bâton quand un cas médiatique sortira.

Et puis il y a la gouvernance, le mot qui fait lever les yeux au ciel dans les services. Sauf que sans gouvernance, tu te retrouves avec des outils achetés par opportunité, des contrats signés parce qu’il fallait dépenser un budget, et des pratiques qui se diffusent sans contrôle. Le guide veut éviter ça, et c’est logique. Le truc, c’est que gouvernance sans moyens, ça reste un PDF de plus. La consultation, si elle est bien utilisée, peut servir à dire où ça coince vraiment.

La certification HAS cycle 6 pousse les hôpitaux à se mettre à niveau

Ce projet ne sort pas de nulle part. La HAS a intégré des critères spécifiques liés à l’intelligence artificielle dans le sixième cycle de certification des établissements de santé. Ça change la donne, parce que la certification, c’est le genre de mécanisme qui transforme une « bonne idée » en obligation opérationnelle. Quand un critère arrive, tu peux râler, mais tu dois t’organiser, documenter, prouver, tracer.

Dans ce contexte, le guide sert aussi de référence commune. Un établissement pourra s’appuyer dessus pour structurer ses pratiques, former ses équipes, et répondre à ce qu’on attend de lui. Et ça évite un problème classique: chaque hôpital invente sa grille, chaque ARS ou chaque auditeur a sa lecture, et tu finis avec des exigences différentes selon le territoire. Là, l’objectif est de donner un socle, et de réduire la zone grise.

Il faut aussi regarder le chiffre: 65 % des établissements publics utilisent déjà des technologies d’IA. Ça veut dire que la certification arrive dans un paysage déjà équipé, pas dans un désert. Donc il y a des outils en production, des habitudes, des contrats. Et quand tu mets des critères, tu ne touches pas seulement les projets futurs, tu touches ce qui tourne déjà. D’où l’intérêt des fiches qui vont jusqu’à la désinstallation, un sujet souvent oublié, alors que c’est là que les données traînent.

Comparaison utile: sur d’autres sujets numériques, on a déjà vu ce que ça donne quand la norme arrive après les usages. Tu passes des mois à « rattraper »: inventaire des outils, cartographie des flux, régularisation des pratiques, mise à jour des procédures. C’est pénible, mais c’est souvent le seul moment où une direction accepte de regarder en face ce qui est déployé. Là, avec l’IA, la HAS met une pression structurante, et la CNIL rappelle que « ça marche » ne suffit pas.

La consultation publique jusqu’au 16 avril 2026, et ce que tu peux y gagner

La consultation est ouverte jusqu’au 16 avril 2026. Le but affiché, c’est de recueillir les contributions de l’écosystème sanitaire: établissements, professionnels, acteurs du numérique, et tous ceux qui déploient ou utilisent des systèmes d’IA en soins. Ce n’est pas un détail administratif. C’est le moment où tu peux dire: « Sur le terrain, ça, c’est clair », ou au contraire « ça, c’est impraticable », ou « il manque un point critique ».

Le guide couvre les étapes du cycle de vie, donc tu peux réagir sur des situations très concrètes: l’acquisition (quelles exigences minimales demander à un fournisseur), l’intégration (qui valide, qui teste), l’utilisation (qui a accès, comment on trace), et la sortie (comment on coupe proprement, ce qu’on conserve, ce qu’on supprime). Dans beaucoup d’établissements, ces sujets existent déjà pour d’autres logiciels, mais l’IA ajoute une couche, parce qu’on attend d’elle une « aide » qui peut peser dans le soin.

Ce que tu peux y gagner, si tu es côté soignant ou côté établissement: une base pour discuter avec ta direction, ta DSI, tes achats. Un guide commun, ça sert aussi à éviter le rapport de force déséquilibré avec un éditeur qui te vend une solution en te noyant sous des promesses. Tu reviens à des questions simples: conformité, sécurité, gouvernance, information. Et si tu es côté patient, l’intérêt est indirect mais réel: pousser à des pratiques plus lisibles et plus sûres.

Je termine sur une réserve, parce qu’il en faut une. Un guide, même bien fichu, ne remplacera jamais le temps humain: former, expliquer, auditer, corriger. Et dans un hôpital, le temps est la ressource la plus rare. Mais au moins, cette consultation met sur la table un cadre commun, avec des niveaux de recommandations et des réflexes à adopter. Si le secteur joue le jeu, on peut éviter que l’IA s’installe « par habitude » sans garde-fous, et ça, c’est déjà beaucoup.