Le 12 juillet 2024, l'EU AI Act a été publié au Journal officiel de l'Union européenne. Le compte à rebours est enclenché : au 2 août 2026, tous les systèmes d'IA classés à haut risque devront être pleinement conformes.[1] La quasi-totalité des outils d'IA médicale entre dans cette catégorie. Pour le médecin, cette date n'est pas abstraite — elle signifie qu'utiliser un outil non conforme engage sa responsabilité professionnelle et potentiellement pénale.
La question revient souvent en formation continue : "est-ce grave d'utiliser ChatGPT pour rédiger mes notes ?" La réponse est simple : oui, avec des données réelles de patients.
L'article 9 du RGPD classe les données de santé comme une catégorie particulière de données personnelles, nécessitant une base légale renforcée pour tout traitement.[2] OpenAI est une entreprise américaine, ses serveurs sont aux États-Unis, et le CLOUD Act américain peut obliger tout opérateur américain à communiquer des données à l'administration fédérale — y compris des données de patients européens. Ce n'est pas une hypothèse théorique : c'est une incompatibilité structurelle avec le RGPD.
Ce que dit le RGPD Art. 9
Le traitement des données de santé est interdit par défaut. Il n'est autorisé que dans des cas limitatifs — dont "à des fins de médecine préventive ou de médecine du travail, d'appréciation de la capacité de travail du travailleur, de diagnostic médical, de prise en charge sanitaire ou sociale" — et uniquement par un professionnel soumis au secret médical, avec un hébergement conforme.
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis en 2018, permet aux autorités fédérales américaines d'exiger de n'importe quelle entreprise américaine qu'elle communique des données stockées à l'étranger. Cela inclut AWS, Azure, Google Cloud, OpenAI — même si leurs serveurs sont physiquement en Europe.
Un outil d'IA hébergé sur infrastructure américaine n'offre donc pas de garantie RGPD réelle, même avec un contrat DPA. C'est pourquoi les autorités de protection des données européennes recommandent l'hébergement dans l'UE, l'EEE, ou des pays ayant fait l'objet d'une décision d'adéquation — dont la Suisse.[7]
En tant que déployeur au sens de l'AI Act — c'est-à-dire utilisateur professionnel d'un système d'IA — le médecin a des obligations spécifiques[6] :
Les amendes AI Act pour non-respect des obligations de gouvernance des données peuvent atteindre 15 millions d'euros. Pour pratiques interdites : 35 millions ou 7% du CA mondial.[3] Ces montants visent principalement les fournisseurs — mais la responsabilité du déployeur est également engagée.
Pour approfondir, consultez nos articles sur la responsabilité médicale et l'IA et sur ce que l'IA change pour les médecins en 2026.
Un médecin peut-il utiliser ChatGPT pour rédiger ses notes médicales ?
Non, pas avec des données réelles de patients. ChatGPT (OpenAI) est hébergé aux États-Unis et soumis au CLOUD Act américain. Les données de santé sont des données sensibles au sens de l'article 9 du RGPD — leur traitement par un outil non conforme expose le médecin à des sanctions de l'autorité nationale de protection des données (CNIL en France, Garante en Italie, DSB en Autriche). L'amende maximale pour violation de l'article 9 est de 20 millions d'euros ou 4% du chiffre d'affaires mondial.
Qu'est-ce que l'EU AI Act change concrètement pour les médecins en 2026 ?
À partir du 2 août 2026, les systèmes d'IA classés 'à haut risque' — dont la plupart des outils d'aide au diagnostic, de documentation clinique et de prescription — doivent respecter des obligations strictes : transparence sur le fonctionnement de l'algorithme, supervision humaine obligatoire, traçabilité des décisions, et possibilité pour le médecin de passer outre la recommandation IA. En tant que déployeur (utilisateur professionnel), le médecin est responsable de vérifier que l'outil qu'il utilise respecte ces exigences.
La Suisse est-elle une zone d'adéquation RGPD ?
Oui. La Commission européenne a reconnu la Suisse comme pays offrant un niveau adéquat de protection des données personnelles (décision d'adéquation initiale de 2000, confirmée). Cela signifie que le transfert de données personnelles vers la Suisse est autorisé sans clause contractuelle spécifique, au même titre qu'un transfert intra-UE. Un outil d'IA hébergé en Suisse par Infomaniak bénéficie donc de la même présomption de conformité RGPD qu'un hébergement en Allemagne ou en France.
Que doit contenir un DPA (Data Processing Agreement) pour une IA médicale ?
Un DPA conforme au RGPD doit préciser : la nature et la finalité du traitement, les catégories de données traitées (dont les données de santé Art. 9), la durée de conservation, les mesures de sécurité techniques et organisationnelles, les sous-traitants ultérieurs autorisés, et l'engagement de ne pas réutiliser les données à des fins autres que le service. Pour une IA médicale, le DPA doit aussi préciser si les données sont utilisées pour entraîner ou améliorer le modèle — ce qui requiert un consentement spécifique.
Quelles amendes risque un médecin en cas de violation RGPD avec une IA médicale ?
Les amendes RGPD sont fixées par les autorités nationales : CNIL (France), Garante (Italie), DSB (Autriche). Pour violation de l'article 9 (données de santé) : jusqu'à 20 millions d'euros ou 4% du CA mondial. Pour manquement aux obligations générales : jusqu'à 10 millions ou 2% du CA. En pratique, les autorités ciblent prioritairement les entreprises, pas les médecins individuels — mais la responsabilité du praticien comme 'déployeur' au sens de l'AI Act est engagée s'il utilise un outil non conforme en connaissance de cause.
Hébergement souverain en Suisse (zone d'adéquation RGPD), RGPD Art. 9 natif, EU AI Act ready, DPA disponible, chiffrement E2E, zéro réutilisation des données.
Essayer gratuitement →