AI Act et dispositifs médicaux : ce que les fabricants doivent anticiper (Team-NB, 2025)

DM, IA et Cybersécurité

15 Avril 2025

L’AI Act (Règlement UE 2024/1689), entré en vigueur le 1er août 2024, impose de nouvelles exigences aux systèmes d’intelligence artificielle, y compris ceux utilisés dans les dispositifs médicaux. À partir du 2 août 2027, les dispositifs intégrant de l’IA, en tant que fonction principale ou composant de sécurité, seront soumis à des obligations supplémentaires s’ils sont considérés comme “high-risk”.

Dans ce contexte, l’association Team-NB, qui regroupe les organismes notifiés du secteur médical, a publié en avril 2025 un position paper important. Objectif : alerter sur les défis concrets de mise en œuvre du règlement pour les dispositifs médicaux intégrant de l’IA (MDAI) et proposer des solutions réalistes pour l’industrie.

1. Ce que l’AI Act change pour les fabricants de dispositifs médicaux

Le texte s’applique horizontalement à tous les secteurs, mais les dispositifs médicaux y sont explicitement classés à haut risque dès lors que :

l’IA est utilisée comme fonction principale ou comme composant de sécurité (ex. : analyseur d’image, système de recommandation clinique) ;
et que le dispositif nécessite déjà un examen de conformité par un organisme notifié sous le MDR ou l’IVDR.

Date clé : à partir du 2 août 2027, tout nouveau dispositif ou legacy device soumis à une modification significative devra intégrer les exigences du AI Act en plus du MDR/IVDR.

2. Les messages clés du position paper de Team-NB

2.1. Un enjeu de désignation rapide des organismes notifiés

Team-NB alerte : sans transposition rapide du texte au niveau des États membres, il y aura un déficit d’organismes notifiés désignés pour évaluer les MDAI à temps.

Leur proposition pragmatique :

Utiliser l’article 43(3) du AI Act pour élargir les codes logiciels déjà existants (règlement 2017/2185),
Éviter un second circuit de désignation trop lourd, prévu initialement à l’article 30 du AI Act.

Mais certains États membres semblent vouloir bloquer cette approche, au risque de créer un goulet d’étranglement réglementaire en 2027 .

2.2. Des exigences nouvelles à intégrer dans le SMQ

Au-delà des exigences techniques du MDR, l’AI Act impose de nouvelles couches à intégrer dans le système de management de la qualité (SMQ) :

Respect des droits fondamentaux : confidentialité, non-discrimination, autonomie humaine ;
Oversight humain obligatoire (Art. 14) : aucun “boîte noire” autonome ;
Traçabilité et gouvernance des données (Art. 10) : qualité, représentativité, documentation des jeux de données ;
Logs obligatoires (Art. 12) : enregistrement systématique du fonctionnement de l’IA.

Les organismes notifiés pourront aller jusqu’à :

Demander l’accès aux datasets,
Réaliser des tests complémentaires,
Accéder au code source si besoin .

2.3. Définitions clés à clarifier pour éviter les dérapages

Team-NB appelle à une clarification urgente de plusieurs notions :

AI system : une définition large qui inclut toute fonction basée sur de l’inférence. Risque d’englober des systèmes classiques non “intelligents” .
Safety component : toute fonction dont la défaillance pourrait impacter la santé ou la sécurité → presque tous les modules IA dans un DM ?
Substantial modification : interprétée comme équivalente à “significant change” dans le MDR… mais sans cadre harmonisé aujourd’hui .

Sans clarification, des logiciels non concernés pourraient se retrouver aspirés dans le champ d’application.

3. Cas pratiques

Cas 1 – Logiciel d’imagerie avec IA : modification majeure à venir

Un fabricant dispose d’un dispositif MDR embarquant une IA entraînée sur des données cliniques initiales. Il souhaite remplacer le modèle par un nouvel algorithme entraîné sur une base enrichie.

Enjeux :

Cette évolution est-elle une modification substantielle ?
Faut-il déclencher une nouvelle évaluation de conformité incluant l’AI Act ?
Le fabricant devra démontrer que son SMQ et son analyse des risques couvrent désormais les droits fondamentaux et les exigences de gouvernance de l’IA.

Cas 2 – Patch connecté embarquant un module de recommandation

Un patch thérapeutique connecté envoie des recommandations à un soignant via une app. Ces recommandations sont générées via un moteur d’IA entraîné sur des historiques patients.

Conséquences :

Fonction critique = composant de sécurité → le patch relève du high-risk scope de l’AI Act ;
Il faudra prouver que :

les datasets sont bien documentés ;
l’oversight humain est garanti (l’app ne décide pas seule) ;
l’autonomie du patient est respectée (pas de décision cachée ou irréversible).

4. Mini FAQ

Est-ce que tous les logiciels sont concernés ?

Non. Seuls ceux intégrant un système d’IA tel que défini (inférence, autonomie, adaptabilité) et relevant d’une évaluation MDR/IVDR par un ON sont dans le champ.

Mon logiciel est certifié MDR aujourd’hui. Dois-je tout refaire ?

Pas nécessairement. Mais à partir d’août 2027, toute modification significative impliquant de l’IA pourrait déclencher une réévaluation intégrant l’AI Act.

Puis-je réutiliser mes documents MDR ?

En partie oui. Mais il faudra enrichir : gouvernance des données, droits fondamentaux, documentation des modèles IA, logging, etc.

Et les jeux de données ?

Les ON pourront exiger l’accès aux datasets (formation, validation, test). Il faut donc anticiper la qualité, la traçabilité et les aspects RGPD.

L’EHDS pourra-t-il aider ?

Oui, mais pas à court terme. L’Espace européen des données de santé (EHDS) ne sera pas opérationnel avant plusieurs années.

5. Conclusion

L’AI Act n’est pas un simple ajout réglementaire : il impose une nouvelle couche d’exigences transversales sur les dispositifs médicaux intégrant de l’IA.

Les fabricants doivent :

Anticiper les exigences techniques, juridiques et documentaires ;
Adapter leur SMQ pour y intégrer les principes du AI Act ;
Identifier dès maintenant les cas où leurs dispositifs seront concernés à partir de 2027.

Chez CSDmed, nous accompagnons les fabricants dans cette montée en maturité : audit d’impact AI Act, documentation technique, stratégie de conformité, interface avec les organismes notifiés.

Vous développez un logiciel médical intégrant de l’IA ? Parlons-en.

6. Ressources associées

Source