IA en santé : En mars 2026, Amazon déploie son assistant IA de santé sur son site web et son application grand public. Au même moment, la Haute Autorité de Santé (HAS) et la CNIL publient un guide commun qui structure les obligations des établissements et professionnels de santé français face aux systèmes d’intelligence artificielle. Ces deux événements ont des périmètres géographiques différents, mais le message qu’ils envoient est identique : l’IA s’installe dans les soins, et les structures qui n’ont toujours pas de cadre en place prennent un risque réel.
Amazon Health AI : un signal d’alarme pour la conformité européenne
Le 10 mars 2026, Amazon a étendu l’accès à son assistant de santé IA à l’ensemble de ses utilisateurs américains, via Amazon.com et l’application mobile. Cet outil, initialement réservé aux membres d’One Medical — la plateforme de soins primaires rachetée 3,9 milliards de dollars en 2023 — peut désormais répondre à des questions de santé, interpréter des résultats de laboratoire, gérer des renouvellements d’ordonnances et prendre des rendez-vous médicaux.
Amazon affirme que l’environnement est conforme à la réglementation HIPAA américaine, avec chiffrement et contrôle d’accès. TechCrunch a cependant relevé que la société n’a pas précisé les modalités exactes de chiffrement ni les personnes habilitées à accéder aux conversations. Plus troublant : Amazon reconnaît utiliser les patterns de conversations, anonymisés selon elle, pour améliorer ses modèles. En droit européen, cela constituerait une réutilisation secondaire de données personnelles de santé soumise à des obligations spécifiques.
Pourquoi cela concerne les établissements français ?
Parce que vos équipes utilisent peut-être déjà des services comparables, ChatGPT Health (lancé en janvier 2026), Claude for Healthcare, ou d’autres outils génériques, sans que la direction ou le DPO en ait eu connaissance. Le CHU de Nancy en a mesuré l’ampleur : 440 000 connexions à des IA génératives personnelles par les agents de l’hôpital en un seul mois. Le guide HAS-CNIL qualifie ce phénomène de « shadow IT ».
Le guide HAS-CNIL (février 2026) : un cadre opposable, pas optionnel
Publié le 16 février 2026, le guide conjoint HAS-CNIL intitulé « Accompagner le bon usage des systèmes d’intelligence artificielle en contexte de soins » n’est pas un recueil de bonnes pratiques. Il articule obligations légales issues du RGPD et du Règlement IA (RIA), recommandations standard et recommandations avancées, sur 11 thématiques couvrant l’intégralité du cycle de vie d’un système d’IA (SIA) en santé.
Voici les points qui engagent directement votre responsabilité.
1. Gouvernance IA : une obligation institutionnelle
Le guide impose à chaque structure de soins, publique, privée, libérale ou territoriale, de mettre en place une gouvernance IA structurée. Pour les établissements de taille intermédiaire, la nomination d’un référent IA est recommandée, en lien étroit avec le DPO. Pour les grands établissements (CHU, ESPIC), un comité pluridisciplinaire incluant expressément le DPO est attendu.
Concrètement : en l’absence de gouvernance documentée, votre établissement ne pourra pas démontrer la conformité de ses usages IA lors d’un contrôle CNIL ou d’un audit de certification HAS (6e cycle, applicable depuis septembre 2025).
2. Le DPO associé dès la contractualisation : une recommandation explicite
La recommandation 2.8 du guide est sans ambiguïté : le DPO doit être impliqué dès la contractualisation avec un fournisseur de SIA. L’établissement déployeur est qualifié de responsable de traitement pour toutes les données personnelles traitées via le SIA. Il lui appartient de s’assurer que le fournisseur, en tant que sous-traitant, respecte l’article 28 du RGPD.
Le contrat doit au minimum préciser :
- la répartition des responsabilités RT/ST
- les catégories de données traitées et les mesures de sécurité
- les modalités de réutilisation secondaire des données (apprentissage, annotation, amélioration du modèle)
- la liste des sous-traitants ultérieurs
- les conditions de réversibilité en fin de contrat
3. AIPD et AIDF : deux analyses distinctes, toutes deux obligatoires
Dès lors que l’utilisation d’un SIA implique des données personnelles de santé, le responsable de traitement est tenu de réaliser :
- une AIPD (Analyse d’Impact relative à la Protection des Données), en application de l’article 35 du RGPD
- une AIDF (Analyse d’Impact sur les Droits Fondamentaux), si le déployeur est un organisme public ou assure une mission de service public, en application de l’article 27 du RIA
Ces deux analyses ne se substituent pas l’une à l’autre. Elles sont complémentaires et doivent être documentées avant le déploiement du SIA.
4. Cartographie des SIA : le préalable à tout le reste
La recommandation 1.4 est probablement la plus urgente à mettre en oeuvre. Le guide demande une cartographie dynamique de tous les SIA utilisés ou en projet, mise à jour au moins annuellement. Pour chaque outil, elle doit inclure : nom et version, fournisseur, finalités, statut réglementaire (DM ou non), niveau de risque RIA, catégories de données traitées, nombre de personnes concernées, modalités de suivi.
Sans cette cartographie, rien d’autre n’est possible : ni les AIPD, ni l’information des patients, ni la gouvernance.
5. Information des patients : trois niveaux selon le risque
Le guide propose une gradation en trois niveaux :
- Niveau 1 : information générale à l’échelle de la structure (livret d’accueil, affichage, site web)
- Niveau 2 : mention personnalisée dans le compte-rendu remis au patient concerné par l’usage d’un SIA spécifique
- Niveau 3 : information exhaustive préalable pour les SIA à fort impact sur la prise en charge individuelle
Un patient qui n’a pas été informé ne peut ni exercer ses droits RGPD, ni, si le SIA est un DM, s’appuyer sur ses droits au titre de l’article L. 4001-3 du Code de la santé publique. C’est un risque contentieux direct pour l’établissement.
6. Décision automatisée : supervision humaine sans exception
En droit français, toute décision portant sur la prise en charge sanitaire d’un patient via un SIA doit faire l’objet d’une supervision humaine. L’article 22 du RGPD interdit les décisions entièrement automatisées produisant des effets significatifs sur les personnes. Le Code de la santé publique n’ouvre aucune dérogation permettant à un SIA de se substituer au jugement clinique.
Cela vaut même pour les SIA à haute performance et marqués CE. Une organisation de soins sans revue humaine systématique expose le professionnel et l’établissement à un risque de mise en cause significatif.
7. IA générative et shadow IT : le risque que vous ne voyez pas
ChatGPT, Claude, Gemini et leurs équivalents sont utilisés quotidiennement par des soignants pour rédiger des comptes-rendus, interroger des référentiels, ou synthétiser des données patients, souvent en dehors de tout cadre approuvé par la DSI ou le DPO.
Les risques sont concrets : atteinte au secret médical (données de santé intégrées dans les requêtes), hallucinations médicales, requalification du déployeur en fournisseur si l’usage dépasse la destination prévue, et transferts de données hors EEE si le modèle est hébergé chez un fournisseur soumis au droit américain ou chinois.
La recommandation 12.1 est claire : les structures doivent mettre en place une charte d’usage de l’IA générative, définir un catalogue d’usages approuvés et sensibiliser le personnel aux risques.
Ce que cela signifie concrètement pour votre établissement
Que vous soyez directeur d’un CH, DSI d’un GHT, RSSI d’une clinique privée ou DPO d’un laboratoire de biologie médicale, le guide HAS-CNIL dessine un programme d’actions précis. Les priorités pour les structures qui n’ont pas encore engagé cette démarche :
- Réaliser immédiatement une cartographie de vos SIA, y compris les outils génératifs utilisés en shadow IT par vos équipes
- Auditer vos contrats fournisseurs à l’aune des exigences RGPD/RIA : clause de sous-traitance, réutilisation des données, réversibilité, SLA
- Mettre en place ou renforcer votre gouvernance IA en désignant un référent IA et en impliquant votre DPO dans chaque nouveau projet
- Lancer les AIPD prioritaires sur les SIA à impact élevé : imagerie, aide au diagnostic, comptes-rendus automatiques
- Former vos équipes. Une notice d’utilisation ne suffit pas selon le guide : une formation obligatoire est requise avant tout usage clinique autonome d’un SIA
- Adapter votre information patient : a minima une mention dans le livret d’accueil et dans les comptes-rendus concernés
Vous n’avez pas encore de DPO externalisé pour accompagner ces enjeux ?
Le guide HAS-CNIL est explicite : le DPO doit être au coeur de la gouvernance IA, présent dès la contractualisation, impliqué dans les AIPD, et interlocuteur des équipes sur les questions de réutilisation des données. Pour les établissements de santé, GHT, laboratoires et structures médico-sociales qui ne disposent pas d’un DPO interne à temps plein, l’externalisation est une réponse structurée et proportionnée.
CZR Consulting accompagne les établissements de santé, GHT et laboratoires dans leur mise en conformité RGPD, IA Act et NIS2. DPO senior opérationnel, double compétence technique et normative, pilotage des AIPD, structuration de la gouvernance IA, formation des équipes. Intervention en Île-de-France, en Normandie, et à distance sur toute la France.
Nous proposons un audit de conformité RGPD/IA Act à partir de 3 000 € HT, avec restitution et feuille de route personnalisée.
L’irruption d’Amazon Health AI sur le marché américain illustre la vitesse à laquelle ces technologies s’imposent. En France et en Europe, le cadre réglementaire, RGPD, RIA, Code de la santé publique, est désormais suffisamment précis pour que l’inaction soit un risque de droit. Le guide HAS-CNIL de février 2026 n’est pas un document de plus : c’est une feuille de route que les autorités de contrôle peuvent opposer à votre structure.
Les établissements qui anticipent, en cartographiant leurs SIA, en formalisant leur gouvernance IA, en impliquant leur DPO dès la contractualisation, se mettent en position de conformité. Les autres s’exposent à des sanctions CNIL, à des contentieux patients, et à une mise en cause de leur responsabilité médicale.
