Système d'IA et santé : comment remplir vos obligations d’information ? (RGPD, IA Act, CSP)

Les professionnels de santé ont de plus en plus recours à des systèmes d’intelligence artificielle (ci-après, les « SIA ») dans le cadre de leurs pratiques et du soin.

‍

Or, en tant que déployeurs de ces systèmes (sous l’empire de l’IA Act) et responsable des traitements des données personnelles de leurs patients (sous l’empire du RGPD), les professionnels de santé sont assujettis à plusieurs obligations d’information. Ces dernières sont par ailleurs doublées des obligations d’information applicables aux soins, issues du code de la santé publique.

‍

L'article a pour objectif de fournir des clés aux professionnels, afin de les aider à identifier et à assurer leurs différentes obligations d’informations auprès de leurs patients.

‍

‍

‍

‍

Le cadre légal de l’utilisation d’un SIA dans le parcours de soin

‍

‍

La communication auprès du patient est encadrée par plusieurs textes. Le Code de Santé Publique impose notamment d’informer le patient sur son état de santé et les soins proposés (article L.1111-2 du CSP).

‍

Les exigences du Code de la Santé Publique et le droit à l'information algorithmique

Depuis 2021, l’article L.4001‑3 du CSP prévoit également un droit spécifique d’information lorsque le médecin utilise un dispositif médical à fonction « algorithmique » dans le cadre d’un acte de prévention, de diagnostic ou de soin (définition qui peut correspondre à un SIA).

‍

La transparence selon le RGPD et les lignes directrices du CEPD‍

Le RGPD impose à tout responsable de traitement (ici l’établissement de santé ou le praticien) d’informer la personne des caractéristiques du traitement de ses données personnelles, conformément aux articles 12 à 14 du RGPD (finalité du traitement, catégories de données collectées, destinataires, durée de conservation, droits, etc.). Le CEPD (anciennement le W29) a également publié des lignes directrices sur les mesures de transparence à adopter vis-à-vis des personnes concernées par un traitement de données.

‍

Le projet de guide récemment publié par la HAS et la CNIL (actuellement en consultation publique) sur l’utilisation de SIA dans le domaine du soin comprend une fiche dédiée à l’information des personnes et au consentement. Ce dernier guide reconnaît la multiplicité des obligations d’information reposant sur le professionnel de santé.

‍

Les nouveautés de l'IA Act : droit à l'explication et transparence des chatbots

Le règlement sur l’intelligence artificielle (« RIA », « IA Act ») reconnaît un droit à l’explication pour toute décision individuelle basée sur un SIA (article 86 RIA), ainsi que la possibilité pour le patient de déposer plainte auprès de l’autorité de contrôle (article 85 RIA).

‍

Ces droits s’ajoutent aux droits prévus par le RGPD (accès, rectification, effacement, limitation, opposition, réclamation auprès de la CNIL). Si le patient interagit directement avec le SIA (ex. chatbot pour renseignement médical), il devra également être clairement informé de la génération de réponses par un SIA (article 50 du RIA).

‍

Au-delà de ces obligations, la HAS et la CNIL soulignent que la transparence est essentielle pour démystifier les SIA et maintenir la confiance patient‑professionnel. Les textes européens et nationaux français ont ainsi prévu un catalogue détaillé de règles en matière d’informations aux personnes dans le cadre de l’utilisation d’un SIA dans le domaine du soin. La transparence s’effectue ainsi selon différents niveaux.

‍

‍

Typologie et niveaux d’information à fournir au patient

‍

‍

Il est nécessaire de différencier et de délivrer de manière adaptée l’information selon différents niveaux. Le projet de guide précité de la HAS et de la CNIL prévoit notamment les obligations d’information suivantes :

‍

Information générale sur l'usage des SIA et réutilisations secondaires

• Information générale sur l’usage des IA en soins : il s’agit d’informer l’ensemble des patients que des SIA peuvent être utilisés dans leur parcours (diagnostic radiologique, aide à la décision, etc.). Par exemple, un message simple peut être diffusé dans le livret d’accueil ou affiché en salle d’attente : « Dans le cadre de votre prise en charge, des systèmes d’intelligence artificielle peuvent être utilisés pour améliorer votre diagnostic. Pour plus d’informations, consultez notre site Web ou adressez-vous à l’accueil » (recommandation 7.2 du guide)

‍

• Information sur les réutilisations secondaires des données : si les données collectées dans le cadre du soin sont réutilisées (amélioration du modèle de SIA, recherche en santé, etc.), le patient doit en être informé en amont, dès la collecte de données. L’utilisation secondaire relève de traitements secondaires considérés comme distincts et soumis en eux-mêmes au respect de l’ensemble des obligations applicables issues du RGPD

‍

Information spécifique sur les données personnelles et l'exercice des droits

• Information sur l’utilisation des données personnelles : conformément au RGPD, le patient doit connaître l’identité du responsable de traitement, la finalité du traitement, les catégories de données exploitées (données cliniques, imagerie, informations biologiques, etc.), les destinataires des données (fournisseur du SIA, organismes de santé), les durées de conservation, ses droits et les coordonnées du DPO. Cette information est à fournir avant tout traitement des données. Elle doit être compréhensible et accessible aisément

‍

• Information sur les droits des patients : les patients doivent être informés de leurs droits sur les données de santé (droit d’accès, de modification, d’effacement, d’opposition, limitation, etc.) et des procédures pour les exercer (portail de transparence, contact DPO, recours CNIL). Le guide de la HAS et de la CNIL mentionne aussi le droit à réclamation (CNIL, autorité du marché) et au droit à explication s’ils trouvent qu’une décision individuelle a été prise avec l’aide d’un SIA (article 86 du RIA), applicables dans le cadre du RIA

‍

Ces informations, distinctes en leur substance, doivent être formalisées dans divers supports afin d’assurer l’effectivité de l’obligation de transparence.

‍

‍

‍

‍

Bonnes pratiques et modalités de diffusion de l’information médicale

‍

‍

Le guide de la HAS et de la CNIL met l’accent sur la nécessité d’effectuer une communication pédagogique, en évitant le vocabulaire technique tout en mettant l’accent sur les bénéfices que la personne concernée peut en tirer (gage d’efficacité, sécurité, assistance, rapidité, etc.).

‍

Gradation de l’information : du livret d’accueil au compte-rendu médical

En outre, le guide propose une gradation de l’information en trois niveaux :

‍

• Une information générale : des messages d’informations doivent être diffusés à tous les patients dans les salles d’attentes, sur le site web, sur des affiches ou autres supports afin d’indiquer l’éventuelle présence d’IA dans le cadre du parcours du soin
• Une information spécifique pour la personne concernée : lorsqu’un SIA a été utilisé dans le cadre du parcours de soin, le compte-rendu ou tout autre documentation médicale doit comporter une mention détaillant le recours à un SIA, la finalité du système, son nom et version, ainsi que le médecin ayant validé l’outil. D’autres mesures peuvent également être envisagées telles que des vidéos ou des livrets explicatifs
• Une information exhaustive préalable : dans le cas d’une utilisation d’un SIA à haut risque tels que défini par le RIA, une information complète doit être donnée avant l’utilisation du système si l’usage de ce dernier peut comporter un risque pour les droits des personnes

‍

Traçabilité et preuve de l'information dans le dossier patient

La traçabilité des mesures d’information, notamment aux fins de preuve de l’accomplissement de ses obligations par le professionnel de santé ou son établissement, peut notamment être tracée au sein du dossier médical du patient. Le personnel de soin est également impliqué pour apporter l’information, en s’adaptant aux caractéristiques du patient et à ses attentes.

‍

En outre, il faut envisager la multiplicité des formes et des supports à l’information des personnes dans le cadre de l’utilisation de SIA dans le soin. Délivrer l’information sous plusieurs formats et à différents moments du parcours de soin peut permettre aux patients de mieux intégrer et comprendre le fonctionnement du SIA et les traitements effectués de ses données personnelles.

‍

Les aspects pratiques tels que le choix des supports, la formation des personnels de soin et les procédures assurant effectivité des droits sont des mesures strictement nécessaires à implémenter par les établissements de santé concernés. Ces aspects feront l’objet d’un webinaire dédié, coanimé par Aumans Avocats et Adequacy le 16 avril 2026, afin d’aider les établissements à développer leurs projets de SIA et de les accompagner dans leur démarche de conformité réglementaire. Inscrivez-vous dès maintenant.

‍

‍

‍

‍

FAQ - système d'IA et obligations d'information (secteur de la santé)

‍

‍

Pourquoi informer le patient sur l'usage d'une IA en santé ?

‍L'information est une obligation légale qui combine le respect du RGPD, de l'IA Act et du Code de la santé publique. Elle permet de garantir la transparence des soins, de maintenir la confiance patient-praticien et d'assurer le respect des droits fondamentaux sur les données de santé.

‍

Quelles sont les obligations de l'IA Act pour les professionnels de santé ?

‍L'IA Act impose un droit à l'explication pour toute décision individuelle basée sur un SIA (article 86) et l'obligation d'informer clairement le patient s'il interagit avec une IA, comme un chatbot médical (article 50).

‍

Comment prouver que le patient a été informé de l'usage d'un SIA ?

‍La traçabilité de l'information peut être assurée par des mentions spécifiques dans le dossier médical du patient, l'inclusion de clauses dans les livrets d'accueil ou la remise de comptes-rendus détaillant l'outil utilisé et le médecin ayant validé les résultats.