IA médicale : Conformité, certification et audits. Comment éviter les sanctions ?

En 2025, l’audit devient la ligne de vie des fabricants et hôpitaux

Pour les acteurs de la santé, 2025 marque la fin des zones grises. L’intelligence artificielle médicale est désormais soumise à une triple exigence : le Règlement sur les dispositifs médicaux (MDR), le Règlement sur le diagnostic in vitro (IVDR) et le nouvel AI Act européen. Trois textes qui s’empilent, mais surtout s’emboîtent.

Derrière cette complexité apparente, une réalité simple : sans conformité, pas de marché. Les sanctions atteignent 7 % du chiffre d’affaires mondial ou 35 millions d’euros – un niveau comparable au RGPD. Autrement dit : un algorithme de triage non certifié n’est plus une erreur technique, c’est un risque financier majeur.

Un calendrier réglementaire à la minute près

L’Union européenne a choisi une application progressive, mais le compte à rebours est déjà enclenché.
Depuis février 2025, certains usages sont totalement interdits : scoring comportemental de patients, inférence émotionnelle en milieu de travail ou manipulation des décisions médicales. Depuis août 2025, la transparence et la gouvernance des modèles IA dits « généraux » (GPAI) sont devenues obligatoires.

Et la date cruciale est fixée : 2 août 2026 pour les systèmes à haut risque, dont la plupart des dispositifs médicaux IA. Ceux déjà sur le marché ont un an de répit, pas plus. Un hôpital qui transforme un pilote en déploiement opérationnel avant 2027 devra être pleinement conforme, faute de quoi il s’expose à un audit – et potentiellement à une amende exemplaire.

Le trio MDR / IVDR / AI Act : trois couches, un seul socle

La règle est claire : tout dispositif intégrant de l’IA et relevant du domaine médical devient « haut risque ».
Le MDR et l’IVDR gèrent la sécurité clinique, la performance, la gestion des risques et l’évaluation des preuves. L’AI Act ajoute, lui, une dimension éthique et sociétale : droits fondamentaux, biais algorithmiques, traçabilité des décisions et supervision humaine.

Les trois cadres ne se chevauchent pas : ils se complètent. La documentation se regroupe dans un seul dossier technique, mais les obligations s’additionnent. C’est la raison pour laquelle les organismes notifiés exigent aujourd’hui des plans de conformité intégrés, capables de prouver la robustesse technique et la transparence du modèle.

QMS, données, supervision : le cœur du dispositif

Au centre, il y a le système de gestion de la qualité. Tout fabricant ou établissement de santé doit disposer d’un QMS conforme à l’ISO 13485, enrichi des exigences de l’AI Act. Cela inclut une stratégie de conformité documentée, un plan clair de gestion des changements pour les systèmes apprenants et une formation interne continue. Aujourd’hui, près de 73 % des hôpitaux français reconnaissent ne pas avoir de méthodologie solide pour encadrer leurs IA, selon une étude du ministère de la Santé.

Concrètement : un CHU qui déploie un algorithme de prédiction du sepsis doit documenter les seuils d’alerte, la validation médicale, la surveillance de la dérive du modèle. Tout doit être traçable. L’absence de logs, par exemple, est désormais un motif direct de non-conformité.

Données : le nouveau terrain d’audit

La gouvernance des données devient la clé de voûte de la conformité. Les autorités exigent une séparation stricte entre jeux d’entraînement, de validation et de test, chacun accompagné de métadonnées détaillant les sources, critères de sélection et profils démographiques. Les biais ne sont plus un enjeu moral : ce sont des non-conformités juridiques. Un algorithme performant chez les hommes jeunes mais défaillant chez les femmes âgées constitue une violation de l’article 10 de l’AI Act. L’organisme notifié refusera le marquage CE.

C’est un changement profond : les fabricants doivent désormais prouver la représentativité de leurs données, pas seulement leur performance. Cette exigence transforme le data management en activité réglementée à part entière.

L’évaluation clinique : du laboratoire au réel

Autre erreur fréquente : croire qu’une performance académique suffit. Les autorités exigent désormais une validation en conditions réelles : patients réels, environnement clinique réel, et protocole de comparaison avec les pratiques existantes. Les essais prospectifs redeviennent la norme, avec une obligation de diversité des populations testées. Un modèle de radiologie ou de dépistage cognitif doit montrer qu’il reste fiable malgré le bruit, les artefacts, ou des taux de données manquantes de 10 à 15 %.

Aux États-Unis, plusieurs rappels FDA de 2025 ont concerné des entreprises qui présentaient des performances « théoriques » mais non reproductibles en clinique. L’Europe s’aligne sur cette approche de validation continue.

L’obligation d’explicabilité : savoir pourquoi l’IA décide

Les régulateurs exigent désormais que les algorithmes soient explicables, pas seulement performants.
Chaque fabricant doit être capable de décrire la logique de son modèle : architecture, variables clés, zones d’incertitude. Des méthodes comme LIME ou SHAP deviennent les standards minimaux. L’utilisateur clinique doit comprendre ce que fait l’IA – et quand elle ne sait pas.

C’est aussi un impératif de sécurité juridique : un outil qui n’indique pas ses limites d’usage sera considéré comme trompeur. Le message est clair : mieux vaut un modèle un peu moins performant mais transparent qu’un modèle « boîte noire » invérifiable.

Supervision humaine : la ligne rouge réglementaire

L’article 14 de l’AI Act impose une supervision humaine sur tous les systèmes IA à haut risque. Cela ne signifie pas que chaque décision doit être validée manuellement, mais qu’un professionnel doit pouvoir intervenir, corriger ou stopper le système à tout moment.

Le niveau de contrôle dépend du risque : supervision en amont pour les diagnostics critiques, contrôle a posteriori pour les systèmes d’aide à la décision, supervision continue pour les modèles apprenants. Cette exigence crée un nouveau défi : former les soignants à l’usage sûr de l’IA.

Selon une étude menée dans plusieurs CHU, un tiers des médecins utilisateurs ignorent les seuils d’incertitude de leurs outils IA – un facteur de risque désormais reconnu par les auditeurs.

Après la mise sur le marché : la dérive, nouvelle menace

Une fois certifiée, une IA médicale doit être surveillée en permanence. Les performances peuvent se dégrader : données qui changent, pathologies qui évoluent, matériel d’imagerie mis à jour. Les régulateurs demandent désormais un monitoring post-marché avec des seuils d’alerte, des rapports de dérive et un plan formel de retraining.

La moitié des rappels de dispositifs IA enregistrés par la FDA en 2025 concernaient des modifications logicielles non validées ou des performances en baisse non détectées. Autrement dit, la certification n’est plus la fin du parcours : c’est le début de la surveillance.

Les sanctions : un risque aussi juridique que réputationnel

L’AI Act introduit une échelle de sanctions proportionnelle à la gravité. Manque de transparence : jusqu’à 7,5 millions d’euros. Non-respect des exigences haut risque (QMS, données, contrôle humain) : 15 millions ou 3 % du CA mondial. Violation d’interdictions absolues : 35 millions ou 7 %.

Pour une medtech de 500 millions de dollars de revenus, la non-conformité pourrait coûter plus que la valorisation de l’entreprise. Mais au-delà du risque financier, c’est la réputation qui se joue : un produit rappelé ou un audit négatif ferme immédiatement l’accès aux marchés publics et aux partenariats cliniques.

Un contexte français exigeant mais porteur

La France se distingue par une approche proactive. Le plan Osez l’IA, lancé en juillet 2025, finance 250 millions d’euros d’investissements publics et la formation de 500 000 soignants. Des « bacs à sable réglementaires » permettent aux startups de tester leurs modèles sous supervision.

Mais la plupart des établissements manquent encore de méthodologie : seuls 27 % disposent d’un plan IA responsable complet. Les plus rapides à se structurer bénéficieront d’un avantage concurrentiel réel : financement prioritaire, reconnaissance institutionnelle, partenariats industriels.

2026 : l’année du crash test

L’année 2026 sera celle du tri. Les établissements qui anticipent les audits et intègrent la conformité dès la conception réduiront leurs coûts et sécuriseront leurs projets.

Les autres risquent de courir après les délais, de geler leurs déploiements ou de se retrouver bloqués aux portes de la certification CE. Un audit exhaustif avant la fin de l’année 2025 devient donc la première étape stratégique.

La conformité IA n’est pas un luxe réglementaire : c’est un facteur de crédibilité et de survie. Dans un marché où la frontière entre innovation et infraction se joue à une clause près, ceux qui feront de la conformité un réflexe auront une longueur d’avance.