EU AI Act et IA médicale : conformité des logiciels-dispositifs médicaux à haut risque en 2026
Expertises · Réglementation & conformité

EU AI Act et IA médicale : comment mettre en conformité un système à haut risque en 2026 ?

L’EU AI Act (Règlement (UE) 2024/1689) classe la plupart des logiciels-dispositifs médicaux dotés d’IA comme systèmes à haut risque. Cela implique gestion des risques, gouvernance des données, documentation technique, supervision humaine, robustesse, cybersécurité et marquage CE, via une évaluation de conformité coordonnée avec le MDR/IVDR. À la suite du paquet de simplification « Digital Omnibus » (accord des colégislateurs finalisé fin juin 2026), l’application de ces obligations pour l’IA intégrée aux dispositifs médicaux est fixée au 2 août 2028, sous réserve de la référence définitive publiée au Journal officiel de l’UE (JOUE).

L’intelligence artificielle s’installe dans l’imagerie diagnostique, l’aide à la décision clinique et les logiciels-dispositifs médicaux. Avec l’entrée en application progressive de l’EU AI Act, les fabricants de solutions de santé doivent anticiper un cadre exigeant, coordonné avec la réglementation existante des dispositifs médicaux. Ce guide fait le point sur la classification à haut risque, les obligations concrètes et le calendrier révisé en 2026, à destination des laboratoires, éditeurs et institutions de santé.

Article informatif. Ce contenu a une visée pédagogique et ne constitue pas un conseil médical, juridique ou réglementaire individualisé. Toute décision de conformité doit s’appuyer sur les textes officiels et l’accompagnement d’un spécialiste des affaires réglementaires.

Qu’est-ce que l’EU AI Act et qui est concerné en santé ?

L’EU AI Act est le Règlement (UE) 2024/1689, premier cadre horizontal établissant des règles harmonisées sur l’intelligence artificielle à l’échelle de l’Union. Il est entré en vigueur le 1er août 2024, avec une application échelonnée dans le temps.

Le texte suit une logique par niveaux de risque : pratiques interdites, systèmes à haut risque, obligations de transparence pour certains usages, et modèles d’IA à usage général. Les premières échéances sont déjà passées :

  • 2 février 2025 : interdictions et exigences de « culture de l’IA ».
  • 2 août 2025 : règles sur l’IA à usage général et la gouvernance.
  • Les obligations lourdes concernent ensuite les systèmes à haut risque, catégorie dans laquelle s’inscrit la majorité des solutions d’IA en santé qui interviennent dans le diagnostic, le traitement ou la prise en charge.

Pour un acteur de santé, la première question n’est donc pas « suis-je concerné ? » mais « à quel niveau de risque mon système appartient-il ? ».

Mon logiciel-dispositif médical à base d’IA est-il « à haut risque » ?

Dans la plupart des cas, oui. L’article 6(1) de l’AI Act qualifie de haut risque un système d’IA qui est :

  1. un composant de sécurité d’un produit, ou un produit lui-même, couvert par la législation d’harmonisation de l’Union listée à l’Annexe I (dont le MDR 2017/745 et l’IVDR 2017/746) ; et
  2. soumis, à ce titre, à une évaluation de conformité par un tiers (organisme notifié).

Concrètement, un logiciel-dispositif médical (SaMD) de classe IIa, IIb ou III au sens du MDR — ou de classe B à D en IVDR — reposant sur de l’IA relève en principe du haut risque. La qualification dépend donc directement de la classe MDR/IVDR du produit : une analyse au cas par cas reste indispensable.

À côté de cette voie « produit » (Annexe I), l’article 6(2) vise les systèmes d’IA autonomes explicitement listés à l’Annexe III. Cette distinction commande à la fois les modalités d’évaluation et le calendrier applicable, comme le résume le tableau ci-dessous.

Critère IA intégrée à un dispositif médical (Annexe I) IA autonome listée (Annexe III)
Base juridique de la classification Composant de sécurité ou produit couvert par le MDR 2017/745 / IVDR 2017/746, soumis à évaluation par tiers — art. 6(1) Cas d’usage explicitement listés — art. 6(2)
Exemples en santé Logiciel-dispositif médical (SaMD), imagerie diagnostique, aide à la décision clinique intégrée à un DM certifié Systèmes d’IA listés non-DM (ex. certains outils de gestion / administratifs) relevant des catégories de l’Annexe III
Date d’application (après Digital Omnibus) 2 août 2028 (au lieu du 2 août 2027 initial) 2 décembre 2027 (au lieu du 2 août 2026 initial)
Voie d’évaluation de conformité Coordonnée avec le MDR/IVDR via l’organisme notifié (logique MDCG 2025-6) Évaluation de conformité propre à l’AI Act (art. 43)

Quelles obligations concrètes pour un système d’IA à haut risque ?

Le socle d’exigences figure au Chapitre III, Section 2 du règlement. Pour un fabricant, il se traduit par une série d’obligations documentées :

  • Système de gestion des risques tout au long du cycle de vie (art. 9).
  • Gouvernance des données d’entraînement, de validation et de test — qualité, représentativité, biais (art. 10).
  • Documentation technique complète, tenue à jour (art. 11).
  • Journalisation et traçabilité automatiques des événements (art. 12).
  • Transparence et instructions claires à destination du déployeur (art. 13).
  • Supervision humaine effective (art. 14).
  • Exactitude, robustesse et cybersécurité (art. 15).
  • Système de management de la qualité (art. 17).
  • Évaluation de conformité (art. 43) et apposition du marquage CE (art. 48).

Ces exigences ne sont pas de simples formalités administratives : elles conditionnent la mise sur le marché et le maintien de la solution dans l’Union.

Pourquoi la supervision humaine est-elle une exigence structurante ?

Parmi ces obligations, la supervision humaine (art. 14) occupe une place particulière en santé. Le système doit être conçu pour permettre à une personne d’exercer un contrôle effectif pendant son utilisation, afin de prévenir ou de minimiser les risques pour la santé et la sécurité.

Le régulateur français le rappelle clairement : l’IA doit soutenir la décision clinique du professionnel de santé, et non la remplacer. Concrètement, cela suppose que l’utilisateur puisse comprendre les limites du système, interpréter ses sorties, et interrompre ou passer outre une recommandation le cas échéant. Pour une aide à la décision médicale, cette exigence oriente dès la conception l’ergonomie, la restitution des résultats et la formation des utilisateurs.

Quel calendrier d’application après le Digital Omnibus (2026) ?

Le calendrier statutaire d’origine prévoyait :

  • 2 août 2026 pour les systèmes autonomes à haut risque listés à l’Annexe III ;
  • 2 août 2027 (période de transition prolongée) pour l’IA intégrée à des produits déjà réglementés (Annexe I, dont les dispositifs médicaux).

Le 7 mai 2026, le Conseil de l’UE et le Parlement européen sont parvenus à un accord provisoire — dit Digital Omnibus — reportant ces échéances pour laisser aux acteurs davantage de temps de préparation. Cet accord a ensuite suivi son parcours d’adoption : endossement du Parlement européen le 16 juin 2026, puis feu vert final du Conseil de l’UE le 29 juin 2026. Les nouvelles dates retenues sont :

  • 2 décembre 2027 pour les systèmes autonomes (Annexe III) ;
  • 2 août 2028 pour l’IA intégrée aux produits réglementés (Annexe I, dispositifs médicaux).

Point de vigilance : pour la référence, le texte consolidé et les dates exactes opposables, il convient de se reporter à la version définitive publiée au Journal officiel de l’Union européenne (JOUE) et aux communications officielles de la Commission. Une vérification de la référence de publication finale est recommandée avant toute décision de planning.

Faut-il une double évaluation de conformité (MDR/IVDR + AI Act) ?

Pas nécessairement de manière parallèle et redondante. Le guide MDCG 2025-6, consacré à l’interaction entre le MDR/IVDR et l’AI Act, prévoit une coordination entre les deux régimes.

Selon ce guide, les activités de conformité peuvent être intégrées : les preuves rassemblées pour un cadre peuvent soutenir l’autre, l’organisme notifié jouant un rôle central pour réduire les tests et la documentation redondants — sans abaisser les exigences de sécurité. Autrement dit, les exigences AI Act (gestion des risques, gouvernance des données, documentation technique, supervision humaine) peuvent s’articuler avec l’évaluation MDR/IVDR déjà menée.

Le détail opérationnel dépend toutefois du produit, de sa classe et de l’organisme notifié concerné. Cette articulation relève de l’expertise réglementaire et ne saurait être généralisée sans analyse dédiée.

Qui contrôle l’application de l’AI Act en santé en France ?

En France, la CNIL est positionnée comme autorité de référence pour la coordination de l’application du règlement, en articulation avec les autorités sectorielles compétentes selon le domaine. Pour les dispositifs médicaux, la surveillance sectorielle existante — assurée notamment par l’ANSM — demeure.

Par ailleurs, la HAS et la CNIL ont élaboré un guide de recommandations sur le bon usage des systèmes d’IA en contexte de soins, soumis à consultation publique au printemps 2026 et portant sur la gouvernance, la responsabilité humaine et la gestion des risques. Ce document s’adresse d’abord aux professionnels et structures de santé qui déploient ces outils ; il ne se substitue pas au règlement, mais éclaire les bonnes pratiques attendues côté déploiement.

Comment préparer sa mise en conformité, étape par étape ?

Sans constituer une méthode figée, quelques jalons structurent la démarche :

  1. Qualifier le système : est-il un dispositif médical au sens MDR/IVDR, et de quelle classe ? En découle la classification à haut risque.
  2. Cartographier les écarts entre l’existant (dossier MDR/IVDR, système qualité) et les exigences AI Act (art. 9 à 17).
  3. Documenter la gestion des risques, la gouvernance des données et la traçabilité, en visant l’intégration avec le dossier dispositif médical.
  4. Concevoir la supervision humaine dès l’ergonomie et la restitution des résultats.
  5. Coordonner l’évaluation de conformité avec l’organisme notifié, dans l’esprit du MDCG 2025-6.
  6. Suivre le calendrier réglementaire et vérifier la publication finale au JOUE.

Cette liste est indicative. Elle ne garantit aucun résultat de conformité et doit être adaptée à chaque produit avec l’appui d’un spécialiste des affaires réglementaires.

Valoriser vos solutions d’IA médicale, dans le respect du cadre réglementaire

KARMA Santé accompagne laboratoires, institutions et acteurs de santé dans la communication et la valorisation de leurs solutions numériques, dans le respect du cadre réglementaire. Nous aidons à traduire des sujets complexes — comme la conformité de l’IA médicale — en messages clairs, exacts et adaptés à chaque audience professionnelle. Pour découvrir notre approche et en discuter, consultez qui nous sommes et nos références. Notre équipe intervient en appui de vos experts réglementaires, sans se substituer à eux.

Découvrir KARMA Santé

Équipe éditoriale KARMA Santé — 2026

FAQ — EU AI Act et IA médicale

Mon logiciel-dispositif médical doté d’IA est-il un système « à haut risque » au sens de l’AI Act ?

Dans la plupart des cas, oui. Selon l’article 6(1), un système d’IA qui est un dispositif médical (ou son composant de sécurité) relevant du MDR 2017/745 ou de l’IVDR 2017/746 et soumis à une évaluation de conformité par un tiers — typiquement un DM logiciel de classe IIa/IIb/III (ou B-D en IVDR) — est classé à haut risque. Cette qualification dépend de la classe MDR/IVDR du produit ; une analyse au cas par cas reste nécessaire.

À partir de quand ces obligations s’appliquent-elles à l’IA intégrée aux dispositifs médicaux ?

Le calendrier statutaire initial prévoyait le 2 août 2027 pour l’IA intégrée aux produits réglementés (Annexe I). Le paquet Digital Omnibus, issu de l’accord provisoire du 7 mai 2026 puis adopté par les colégislateurs (Parlement le 16 juin, Conseil le 29 juin 2026), reporte cette échéance au 2 août 2028 (et au 2 décembre 2027 pour les systèmes autonomes de l’Annexe III). Il est recommandé de vérifier la référence définitive publiée au Journal officiel de l’UE.

Faut-il réaliser une double évaluation de conformité (MDR/IVDR + AI Act) ?

Pas nécessairement en parallèle et de manière redondante. Le guide MDCG 2025-6 prévoit une coordination entre les deux régimes : les exigences de l’AI Act (gestion des risques, données, documentation, supervision humaine) peuvent être intégrées à l’évaluation MDR/IVDR menée avec l’organisme notifié, afin d’éviter la duplication. Le détail opérationnel dépend de votre produit et de votre organisme notifié ; il ne s’agit pas d’un conseil juridique individualisé.

Quelles sont les obligations concrètes pour un système d’IA à haut risque ?

Le socle d’exigences (Chapitre III, Section 2) comprend : système de gestion des risques (art. 9), gouvernance des données (art. 10), documentation technique (art. 11), journalisation (art. 12), transparence et instructions au déployeur (art. 13), supervision humaine (art. 14), exactitude/robustesse/cybersécurité (art. 15), ainsi qu’un système de management de la qualité (art. 17), une évaluation de conformité (art. 43) et le marquage CE (art. 48).

Qui contrôle l’application de l’AI Act en santé en France ?

La CNIL est positionnée comme autorité de coordination pour la France, en articulation avec les autorités sectorielles compétentes selon le domaine ; pour les dispositifs médicaux, l’ANSM conserve sa mission de surveillance. La HAS et la CNIL ont par ailleurs élaboré un guide de recommandations sur le bon usage des systèmes d’IA en contexte de soins (gouvernance, responsabilité, gestion des risques), soumis à consultation publique au printemps 2026.

Sources

  1. EUR-Lex — Règlement (UE) 2024/1689 (AI Act) : eur-lex.europa.eu
  2. Commission européenne — Cadre réglementaire sur l’IA (calendrier officiel) : digital-strategy.ec.europa.eu
  3. EU AI Act — Article 6 : règles de classification des systèmes à haut risque (texte consolidé) : artificialintelligenceact.eu
  4. EU AI Act — Résumé de haut niveau des exigences : artificialintelligenceact.eu
  5. CNIL — Premières questions-réponses sur le règlement européen sur l’IA : cnil.fr
  6. Conseil de l’UE — Communiqué : accord provisoire de simplification de l’AI Act (7 mai 2026) : consilium.europa.eu
  7. Conseil de l’UE — Communiqué : feu vert final à la simplification de l’AI Act (29 juin 2026) : consilium.europa.eu
  8. MDCG 2025-6 — Interaction entre MDR/IVDR et AI Act (Commission européenne, santé) : health.ec.europa.eu
  9. CNIL/HAS — Guide de recommandations sur le bon usage de l’IA en contexte de soins (2026) : cnil.fr
  10. Gibson Dunn — EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines (analyse juridique) : gibsondunn.com

Agence membre
de l’AACC

Agence affiliée
à l’AACC

L'agence
Expertises

Un groupe de communication, 4 agences spécialisées.