IA à l’hôpital – Mettre un peu de sécurité juridique dans tout ça ?

Les personnalités naturellement résistantes au changement en seront pour leurs frais. L’intelligence artificielle (IA) est sans conteste l’un des termes les plus employés de cette année 2025 : un levier, un outil, une opportunité… à la portée de toutes les mains… et de tous les claviers. L’hôpital n’y échappe pas, tant les occasions sont nombreuses pour les professionnels de s’en saisir dans leur pratique professionnelle. Reste que l’IA à l’hôpital touche souvent, et par nature, un matériau sensible d’un point de vue juridique : le patient et, à travers lui, la donnée médicale (mais pas seulement). Alors, pour que les opportunités ne se transforment pas en chausse-trapes, cet article propose d’identifier les pièges, afin d’initier une démarche d’intégration sécurisée de l’IA dans la pratique hospitalière.

Brigitte de Lard-Huchet Directrice du centre de droit JuriSanté du CNEH

22/01/26

Une route bien balisée

Le cadre juridique est hétérogène, incomplet et peu stable. Si les textes communautaires, législatifs et réglementaires commencent à sortir, la jurisprudence est pour l’instant étonnamment silencieuse, en particulier dans le secteur public, notamment hospitalier. Peu ou pas de contentieux ¹ sur l’utilisation de l’IA, mais une production doctrinale abondante de la part des administrations spécialisées (Commission nationale informatique et libertés – CNIL ², agence du numérique en santé – ANS ³…), agences sanitaires (Haute Autorité de santé – HAS ⁴…) et autres autorités (Comité consultatif national d’éthique – CCNE ⁵…). Il y a de quoi s’y perdre… Heureusement, le droit communautaire est structurant pour notre réglementation interne sur les données de santé.

Après le RGPD en 2016 ⁶, qui encadre la majeure partie de l’utilisation des données à caractère personnel dans le système juridique français, l’IA Act ⁷ de 2024 vient donner un cadre ambitieux à l’utilisation de l’IA, tous domaines confondus. L’IA Act est intéressant dans sa forme d’une part, dans son approche d’autre part. De par sa nature de règlement communautaire, il est directement applicable dans le droit français. Surtout, il distingue notamment les dispositifs d’IA selon le niveau de risque associé, pour en tirer des conséquences en termes d’exigences de conception, de mise en oeuvre et d’utilisation.

L’IA Act fera peser une grande partie des obligations et des responsabilités sur le fournisseur du système d’IA, ces obligations et responsabilités étant graduées selon le niveau de risque associé. L’hôpital, quant à lui, sera le plus souvent considéré comme « déployeur » d’IA, c’est-à-dire « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel » (art.7 § 4 IA Act). Si l’IA Act raisonne en termes de risques, ne peut-on réfléchir en termes de pièges ?

Article réservé aux abonnés

Envie d’un accès illimité à tout le contenu ?

Abonnez-vous pour accéder à tous les contenus en ligne et recevoir un numéro du magazine papier tous les deux mois.

Je m'abonne