L’AI Act est le premier règlement européen visant à encadrer spécifiquement l’intelligence artificielle selon une approche fondée sur le risque. La Commission européenne souhaite garantir un marché européen de l’IA innovant, mais sécurisé.

Le règlement repose sur quatre niveaux de risque :

• Risque inacceptable : usage interdit (ex. systèmes manipulant les comportements).
• Risque élevé : systèmes critiques, dont de nombreux systèmes en e-santé.
• Risque limité : obligations de transparence.
• Usage à risque minimal : cadre permissif.

Pour la santé, cela signifie que de nombreux systèmes d’aide au diagnostic, outils d’aide à la décision clinique, ou systèmes de suivi de patients seront classés "à risque élevé" et soumis à de fortes exigences, renforçant ainsi la conformité attendue pour chaque usage.
 

Startups et fournisseurs : quelles obligations, que dit la législation ?

Les fournisseurs de solutions d’intelligence artificielle, développeurs de modèles, intégrateurs de systèmes et établissements de santé doivent respecter des obligations précises, notamment :

• Mise en place d’un système de gestion du risque (risk management).
• Documentation technique complète.
• Qualité et gouvernance des données d’entraînement.
• Transparence vis-à-vis des utilisateurs.
• Supervision humaine obligatoire pour certains usages.
• Procédures post-mise sur le marché pour surveiller le comportement des systèmes.

Ces obligations concernent également les modèles GPAI (General-Purpose AI), dont les usages touchent de plus en plus l’e-santé, et renforcent le rôle de la commission dans la supervision de chaque système.

Les conséquences de la non-conformité

L’AI Act prévoit des sanctions proportionnées au risque et à la gravité des violations. Les amendes peuvent atteindre plusieurs dizaines de millions d’euros, en particulier quand des droits fondamentaux ou des données sensibles de santé sont concernés.
La non-application des règles ou une mise en œuvre insuffisante expose donc les entreprises, en France comme en Europe, à des risques financiers, mais aussi réputationnels, notamment en cas d’utilisation inappropriée ou de défaut de conformité.
 

Dates clés et calendrier

L’application de la loi se fera progressivement.
Principales étapes :

1. Interdictions (risque inacceptable) : applicables quelques mois après publication.
2. Règles GPAI : entrée en vigueur rapide pour encadrer les grands modèles.
3. Systèmes à risque élevé : obligations applicables 2 à 3 ans après publication.
4. Mise en place progressive de la gouvernance européenne et des autorités de contrôle.

Les entreprises doivent dès maintenant anticiper leur feuille de route de conformité au règlement.
 

Un impact majeur pour l’e-santé

L’e-santé est directement concernée :

• forte dépendance aux données sensibles ;
• systèmes critiques pour les diagnostics, prescriptions, et parcours patient ;
• enjeux éthiques importants liés aux droits et à la transparence.

L’Europe impose ici une vision ambitieuse : une IA en santé qui reste fiable, explicable, contrôlée, et centrée sur la sécurité des patients.
La France, déjà engagée sur la régulation numérique en santé, devra harmoniser certaines de ses exigences avec ce cadre européen, notamment en matière d'usage des technologies d’intelligence artificielle.

Comment les entreprises peuvent-elles se préparer ?

Voici les priorités à considérer pour anticiper la mise en œuvre :

• Cartographier tous les systèmes et leurs niveaux de risque.
• Évaluer l’impact du règlement sur chaque usage.
• Intégrer les exigences de gouvernance et de conformité dès la conception.
• Encadrer les fournisseurs et sous-traitants dans leur utilisation.
• Vérifier la qualité des données et prévenir les biais.
• Prévoir la documentation technique exigée par la loi.
• Mettre en place une surveillance post-mise sur le marché.

L’objectif : bâtir une stratégie intelligence artificielle durable, responsable et alignée avec la législation européenne.