L'intelligence artificielle bouleverse la médecine française. En 2026, près de 42 % des médecins libéraux déclarent utiliser un outil d'IA générative au moins une fois par semaine, selon une enquête de l'Ordre national des médecins. Synthèses de dossiers, dictée de comptes-rendus, aide au codage CCAM, recherche bibliographique : les gains de temps sont réels et documentés. La Haute Autorité de Santé (HAS) elle-même publie depuis 2024 des recommandations pour l'intégration raisonnée de l'IA dans le parcours de soins.
Mais la santé n'est pas un secteur comme un autre. Les données patient relèvent de la catégorie spéciale de l'article 9 du RGPD, leur hébergement exige une certification HDS délivrée par l'Agence du Numérique en Santé (ANS), le secret médical est protégé par l'article L1110-4 du Code de la Santé Publique sous peine d'un an de prison et 15 000 € d'amende, et l'AI Act européen classe les dispositifs médicaux à base d'IA en "high-risk". Utiliser ChatGPT pour résumer un dossier patient sans anonymisation, c'est statistiquement violer trois textes en moins de trente secondes.
Ce guide, à destination des médecins libéraux, directeurs d'établissements, DSI hospitaliers, DPO santé et juristes, fait le point sur ce qui est légalement faisable, ce qui ne l'est pas, et comment anonymiser les données patient avant de les soumettre à une IA.
Cadre légal de l'IA en santé en France
1. Le RGPD article 9 : données de santé = catégorie spéciale
L'article 9 du RGPD interdit en principe le traitement des données concernant la santé, sauf base légale renforcée. Toute IA qui ingère un dossier patient — même partiel — entre dans ce périmètre. La CNIL retient comme données de santé : antécédents médicaux, résultats d'examens, prescriptions, photos cliniques, mais aussi simples mentions indirectes ("M. Dupont a une consultation oncologie demain").
2. La certification HDS (Hébergeur de Données de Santé)
Depuis 2018, tout hébergement de données de santé identifiantes pour le compte d'un professionnel ou d'un établissement de santé requiert une certification HDS. Si vous envoyez un dossier patient à un cloud non-HDS (OpenAI, Anthropic, Google Workspace), vous êtes en infraction. Les hébergeurs certifiés HDS en France sont peu nombreux : OVHcloud, Outscale, Scaleway, Thales, Worldline.
3. L'AI Act : les IA santé sont "high-risk"
Le règlement UE 2024/1689 (AI Act) classe en "high-risk" toute IA utilisée comme dispositif médical, comme composant de sécurité d'un dispositif médical, ou pour le triage / l'aide au diagnostic. Conséquences : système de gestion des risques documenté, jeux de données traçables, supervision humaine obligatoire (article 14), journal d'événements, évaluation de conformité.
« Les systèmes d'IA destinés à être utilisés pour le triage des patients ou pour l'aide à la décision médicale sont des systèmes à haut risque. » — Considérant 56, Règlement UE 2024/1689
4. Le secret médical : article L1110-4 CSP
L'article L1110-4 du Code de la Santé Publique protège "toute information concernant la personne venue à la connaissance du professionnel de santé". Sanction : un an d'emprisonnement et 15 000 € d'amende (article 226-13 du Code pénal).
10 usages concrets de l'IA en santé
1. Synthèse de dossier pour RCP
L'IA peut digérer 50 pages de comptes-rendus oncologiques pour produire une synthèse exploitable en Réunion de Concertation Pluridisciplinaire. Gain : 35 minutes par dossier. Limite légale : le dossier doit être anonymisé avant envoi.
2. Rédaction de comptes-rendus à partir de notes vocales
Le médecin dicte sa consultation, l'IA structure : motif, antécédents, examen clinique, conclusion. Gain : 12 minutes par consultation. Nabla Copilot, Doctolib AI Scribe proposent cette fonctionnalité avec hébergement HDS.
3. Aide au codage CCAM et CIM-10
L'IA suggère les codes d'actes et de pathologie à partir du compte-rendu. Critique pour la T2A en établissement et pour la facturation libérale.
4. Triage et orientation aux urgences
Des outils d'aide à la décision analysent les motifs d'admission. Usage classé "high-risk" par l'AI Act : supervision humaine obligatoire, traçabilité totale.
5. Analyse d'imagerie médicale
Radiologie, dermatologie, anatomopathologie : Aidoc, Gleamer, Owkin, Therapixel. Tous sont des dispositifs médicaux marqués CE. L'IA ne remplace pas le radiologue : elle priorise et pré-annote.
6. Recherche bibliographique pour publications
Synthèse de la littérature, identification d'articles pertinents. Usage peu sensible car aucune donnée patient n'est en jeu. Moon AI peut être utilisé librement.
7. Réponses aux questions administratives des patients
"Quels sont vos horaires ?", "Comment se préparer à l'examen ?". Un chatbot peut répondre, à condition qu'il ne traite aucune donnée nominative et qu'il ne donne aucun avis médical.
8. Détection précoce sur données EMR
L'analyse prédictive identifie des patients à risque (sepsis, décompensation cardiaque). Usage hospitalier avancé, classé high-risk AI Act.
9. Pharmacovigilance et signalement d'effets indésirables
L'IA détecte des signaux faibles et préremplit les déclarations à l'ANSM. On estime que 90 % des effets indésirables ne sont actuellement pas déclarés.
10. Formation continue et génération de cas cliniques
Création de cas cliniques pédagogiques fictifs. Usage sans risque légal. Premier usage à déployer dans un service.
L'hébergement de données de santé (HDS) : pierre angulaire
La certification HDS implique :
- Hébergement physique en France ou UE avec localisation explicite
- ISO 27001 (sécurité) et ISO 20000-1 (services IT)
- Exigences ANS : chiffrement, journalisation, protection contre le Cloud Act
- Audit annuel par un organisme accrédité COFRAC
Moon AI est en cours de certification HDS en 2026, sur infrastructure OVHcloud Strasbourg. En attendant, la solution combine hébergement France + Moon Blur pour permettre un usage conforme au RGPD article 9 sur les flux pseudonymisés.
Secret médical et IA : ce qu'une IA NE doit JAMAIS faire
- Poser un diagnostic seul sans validation médicale humaine
- Prescrire un traitement sans intervention médicale
- Recevoir des données patient brut nominatives sans anonymisation ou HDS
- Remplacer l'entretien médical ou la relation soignant-soigné
- Être citée comme seule source d'une décision dans le dossier
« Le recours à une intelligence artificielle dans la pratique médicale doit respecter l'éthique professionnelle, la sécurité des patients et la confidentialité des informations. Le médecin demeure responsable de ses décisions. » — Avis du CNOM sur l'IA, 2024
Comment anonymiser les données patient avant utilisation d'une IA
Pseudonymisation vs anonymisation : la nuance critique
La pseudonymisation remplace les identifiants directs par des codes (M. Dupont → Patient #4521). Réversible. Reste un traitement de données personnelles RGPD.
L'anonymisation rend la ré-identification impossible. Sort du champ RGPD selon la CNIL.
En pratique, on vise une pseudonymisation robuste avec retrait des quasi-identifiants.
Moon Blur : 145 catégories d'identifiants santé détectées
Moon Blur détecte et masque automatiquement avant envoi au modèle :
- Identifiants patients : nom, prénom, date de naissance, adresse, téléphone, e-mail
- Numéros administratifs : NIR, NSS, numéro de mutuelle, CMU, ALD
- Identifiants médecin : RPPS, ADELI, FINESS établissement
- Identifiants dossier : IPP, numéros de séjour, codes facturation
- Données indirectes : codes INSEE, IBAN, adresses précises permettant la corrélation
Le tout réalisé côté serveur en France. Moon Blur est à notre connaissance le seul moteur d'anonymisation grand public couvrant les 145 catégories d'identifiants spécifiques au secteur santé français.
Outils du marché et leur conformité santé
| Outil | Hébergement France | HDS | Anonymisation | Usage santé |
|---|---|---|---|---|
| ChatGPT | Non (US) | Non | Non | Déconseillé |
| Claude | Non (US) | Non | Non | Déconseillé sur données patient brut |
| Gemini Workspace | Régions UE | Non | Non | Toléré sans données médicales |
| Microsoft Copilot | UE possible | Non (HIPAA US) | Non | Toléré hors données patient |
| Moon AI | Oui (OVH Strasbourg) | En cours 2026 | Oui (Moon Blur, 145 cat.) | Recommandé avec Moon Blur |
| Doctolib AI Scribe | Oui | Oui | N/A (dédié) | Dictée consultation |
| Nabla Copilot | Oui | Oui | N/A (dédié) | Dictée consultation |
Verdict : pour un usage généraliste (synthèses, rédaction, codage, recherche) sur des contenus contenant des données patient, Moon AI + Moon Blur reste l'option la plus large couverte juridiquement.
Mise en place pratique
Pour un médecin libéral
- Cartographie des usages : lister ce que vous voulez automatiser
- Choix de l'outil : dédié HDS pour la dictée, généraliste avec anonymisation pour le reste
- Information du patient : mention en salle d'attente conformément à l'article 13 RGPD
- Politique de validation : tout texte généré par IA est relu et signé par le médecin
- Journal d'utilisation : conserver une trace de l'usage de l'IA
Pour un établissement de santé
- Désignation du DPO et nomination d'un référent IA
- AIPD obligatoire (article 35 RGPD)
- Registre des systèmes d'IA conforme AI Act
- Hébergement HDS obligatoire pour les données identifiantes
- Contrat sous-traitant (article 28 RGPD) avec clauses spécifiques santé
- Formation des équipes annuelle obligatoire
- Comité éthique IA recommandé par la HAS
Erreurs et risques à éviter
- Coller un dossier patient nominatif dans ChatGPT "juste pour résumer" — triple infraction : RGPD article 9, transfert hors UE, violation du secret médical.
- Confondre "DPA signé" et "HDS" — un DPA ne dispense pas de la certification HDS.
- Ne pas informer le patient — défaut d'information médicale.
- Considérer l'IA comme un diagnostiqueur — transforme l'erreur en faute caractérisée.
- Oublier le journal d'utilisation — impossible de démontrer la conformité.
- Ne pas tester les biais — la HAS recommande tests sur populations spécifiques.
FAQ — IA et santé en France
Puis-je utiliser ChatGPT en cabinet médical ?
Pour des tâches sans données patient (recherche, génération pédagogique), oui. Pour toute synthèse contenant des informations patient identifiantes, non, sauf à utiliser une solution avec anonymisation native comme Moon AI.
La certification HDS est-elle obligatoire pour tout outil IA santé ?
Obligatoire dès lors que l'outil héberge des données de santé identifiantes. Si les données sont anonymisées en amont, l'obligation HDS ne s'applique pas au prestataire IA généraliste.
L'AI Act change-t-il quelque chose pour mon cabinet ?
Indirectement. Les éditeurs d'IA santé doivent se conformer aux exigences high-risk d'ici août 2026. En tant qu'utilisateur, vous devez vérifier que vos outils sont conformes et tenir un registre minimal.
Qui est responsable si l'IA se trompe ?
Le médecin reste responsable de sa décision. L'éditeur peut être recherché en responsabilité produit. La jurisprudence française est encore en construction.
Mon DPO doit-il valider chaque outil IA ?
Oui, pour tout traitement de données de santé à grande échelle, une AIPD doit être menée et validée par le DPO avant déploiement.
Quelle différence entre Doctolib AI et Moon AI pour un médecin ?
Doctolib AI Scribe est un outil métier dédié à la dictée, certifié HDS. Moon AI est une IA généraliste française avec anonymisation native Moon Blur. Les deux sont complémentaires : Doctolib AI pour la consultation en direct, Moon AI pour tout le reste.
Conclusion
L'IA en santé fait déjà gagner du temps à des dizaines de milliers de médecins français. Mais le secteur santé n'autorise aucun raccourci. Le RGPD article 9, la HDS, l'AI Act et le secret médical forment un quadrilatère normatif rigoureux.
La voie raisonnable : anonymiser avant d'envoyer, utiliser des outils dédiés HDS pour les usages métier, garder le médecin au centre de toute décision, documenter, former, auditer.
Moon AI a été conçu dès l'origine avec ces contraintes. Hébergement OVHcloud France, conformité RGPD documentée, 70+ modèles dans une seule interface, et surtout Moon Blur, le moteur d'anonymisation natif qui masque automatiquement les 145 catégories d'identifiants santé avant tout envoi au modèle.
Découvrez Moon AI à partir de 9,90 € TTC par mois, avec Moon Blur activé par défaut. Voir nos formules ou en savoir plus sur Moon Blur pour le secteur santé.