Back to blog
    Analyse Stratégique

    Guide CNIL-HAS sur l'IA en santé : l'exigence maximale du régulateur qui annonce l'avenir des professions réglementées

    Analyse du document de travail HAS-CNIL soumis à consultation publique jusqu'au 16 avril 2026. 12 fiches, 3 niveaux d'exigence et un parallèle saisissant avec le secret professionnel de l'avocat.

    12 mars 202618 min

    Le 5 mars 2026, la Commission Nationale de l'Informatique et des Libertés (CNIL) et la Haute Autorité de Santé (HAS) ont lancé une consultation publique sur un projet de guide inédit intitulé « Accompagner le bon usage des systèmes d'intelligence artificielle en contexte de soins ». Ce document de travail, fruit d'un groupe de travail pluridisciplinaire copiloté par les deux institutions, établit un cadre exigeant et détaillé pour l'utilisation de l'IA en contexte de soins.

    Cette initiative s'inscrit dans un contexte de déploiement déjà massif de l'IA dans le secteur de la santé. Selon le baromètre de la Fédération hospitalière de France, 65 % des établissements publics de santé utilisent déjà des systèmes d'intelligence artificielle dans leurs activités. Face à cette adoption rapide, le régulateur français affirme une vigilance maximale sur la protection des données personnelles de santé.

    L'analyse approfondie de ce guide révèle une posture régulatrice qui dépasse le seul secteur de la santé. Les exigences formulées par la CNIL témoignent d'une attention extrême à la protection des données personnelles qui préfigure l'encadrement rigoureux de l'IA dans toutes les professions réglementées traitant des données sensibles — et notamment les professions juridiques où le secret professionnel constitue un pilier fondamental comparable au secret médical.

    1. Genèse du guide : une consultation publique inédite jusqu'au 16 avril 2026

    Une collaboration institutionnelle exemplaire

    Le guide résulte d'un travail de collaboration inédit entre la CNIL et la HAS. Cette coopération s'est concrétisée dans le cadre de l'ajout de critères dédiés à l'IA dans le 6ᵉ cycle de certification des établissements de santé, processus qui impose désormais aux structures de soins de démontrer leur maîtrise des systèmes d'IA qu'elles déploient.

    La HAS a constitué un groupe de travail pluridisciplinaire spécifiquement copiloté avec la CNIL afin d'intégrer dès l'origine les enjeux liés à la protection des données personnelles de santé. Cette démarche témoigne d'une évolution fondamentale : la protection des données n'est plus pensée comme une contrainte technique à ajouter après coup, mais comme un principe structurant qui doit irriguer l'ensemble de la conception et du déploiement des systèmes d'IA.

    Deux objectifs complémentaires

    Le premier objectif consiste à clarifier le cadre légal et réglementaire applicable aux systèmes d'IA en contexte de soins, dans un contexte marqué par la superposition du RGPD, de l'AI Act et des règlements sur les dispositifs médicaux.

    Le second objectif vise à établir des recommandations de bonnes pratiques pour favoriser un déploiement conforme à la réglementation, respectueux des principes éthiques et sécurisé. Ces recommandations dépassent le simple rappel des obligations légales pour proposer des pratiques opérationnelles concrètes.

    Consultation publique ouverte et inclusive

    La consultation, ouverte du 5 mars au 16 avril 2026, s'adresse à un large spectre d'acteurs : établissements de santé publics ou privés, professionnels exerçant à titre libéral, associations de patients et fournisseurs de systèmes d'IA. Cette ouverture témoigne d'une volonté de co-construction du cadre réglementaire.

    → Contexte réglementaire : L'EU AI Act : ce que les avocats doivent savoir

    2. Structure du guide : 12 fiches pour un encadrement complet du cycle de vie de l'IA

    Dix fiches dédiées aux étapes du cycle de vie

    Le guide contient dix fiches dédiées couvrant l'intégralité du parcours depuis l'acquisition d'un système d'IA jusqu'à sa désinstallation : acquisition, déploiement initial, mise en production, utilisation en routine, surveillance continue, maintenance, évaluation régulière et remplacement.

    Deux fiches transversales structurantes

    La fiche gouvernance recommande que chaque structure mette en place une gouvernance dédiée à l'IA, portée par la direction générale et intégrée à la stratégie globale. La première mission : une cartographie dynamique des systèmes d'IA, mise à jour au moins annuellement.

    La fiche IA générative reconnaît les spécificités des LLM qui peuvent créer des contenus (texte, code, images) et soulèvent des enjeux spécifiques de protection des données du fait des vastes quantités de données nécessaires à leur conception.

    L'article 26 du RIA : un devoir de vigilance in situ

    Point juridique fondamental : les systèmes d'IA à haut risque sont soumis à l'obligation d'obtenir un marquage CE. Toutefois, ce marquage CE n'exonère pas les déployeurs de leur obligation de surveillance locale et continue conformément à l'article 26 du RIA. Même un système certifié nécessite une surveillance active par l'établissement qui le déploie.

    3. Les recommandations clés : trois niveaux d'exigence progressive

    Trois niveaux de maturité

    Les recommandations sont structurées selon trois niveaux distincts permettant une approche progressive :

    • Les recommandations « standard » constituent le socle minimal de conformité que tout acteur devrait respecter
    • Les recommandations « avancées » constituent des pistes d'amélioration pour les organisations souhaitant dépasser les exigences minimales
    • Les « réflexes à adopter systématiquement » définissent les lignes rouges à ne jamais franchir

    RSE et réinterrogation organisationnelle

    Le guide recommande l'adoption d'une démarche RSE structurée. Le déploiement responsable de l'IA ne se limite pas au respect formel de la réglementation, mais implique une réflexion sur les impacts sociétaux et écologiques.

    L'introduction d'un système d'IA implique de réinterroger : la responsabilité (qui est responsable en cas d'erreur ?), l'information du patient, l'interprétation des résultats et l'articulation humain-technologie.

    → Méthodologie applicable : Les 8 étapes pour réussir votre projet IA

    4. L'attention extrême du régulateur : analyse des positions de la CNIL

    Vigilance maximale sur les données de santé

    La CNIL a accompagné plusieurs projets d'IA en santé : algorithmes d'aide à la décision pour l'admission en réanimation (GENIALLY), prédiction des crises de décompensation cardiaque (HYDRO 1 et HYDRO 2), aide à la détection d'AVC (PREDISTROKE et AI-STROKE).

    Analyse d'impact obligatoire

    La CNIL détaille comment réaliser une analyse d'impact sur la protection des données (AIPD). Cette analyse sera présumée requise pour le fournisseur et le déployeur de systèmes d'IA à haut risque. L'AIPD prévue par le RGPD complète les exigences de l'article 27 du RIA, créant une synergie entre les deux textes.

    Recommandations sur l'IA générative

    La CNIL préconise de privilégier le déploiement de solutions « sur site » (on premise) lorsque l'utilisation implique des données personnelles ou de la documentation sensible. Pour les solutions cloud, il sera nécessaire de sécuriser le recours par un contrat de sous-traitance avec l'hébergeur et le fournisseur du système d'IA.

    Contrôle européen coordonné

    La CNIL coordonne activement ses actions avec ses homologues européens au sein du CEPD. Les géants technologiques ne peuvent plus arbitrer entre juridictions pour échapper à la surveillance.

    → Checklist applicable : Les 12 points de vigilance RGPD avant d'adopter une IA juridique

    5. Parallèle avec les professions juridiques : les mêmes enjeux

    Secret médical et secret professionnel : des protections comparables

    Le secret médical (article L.1110-4 du Code de la santé publique) trouve son équivalent direct dans le secret professionnel de l'avocat (article 66-5 de la loi du 31 décembre 1971). Dans les deux cas, la violation est sanctionnée par l'article 226-13 du Code pénal : un an d'emprisonnement et 15 000 euros d'amende.

    Le Conseil National des Barreaux a publié en septembre 2024 son premier guide pratique sur l'IA générative. Le premier principe fondamental : ne jamais soumettre de données couvertes par le secret professionnel à une IA générative sans pseudonymisation préalable.

    Le partenariat CNIL-CNB renouvelé en juillet 2025

    Le 17 juillet 2025, la CNIL et le CNB ont renouvelé leur partenariat pour mener des actions communes de sensibilisation et de formation à la protection des données dans un contexte d'essor de l'IA.

    « Ce partenariat renouvelé avec le Conseil national des barreaux s'inscrit dans une démarche de long terme pour répondre aux défis concrets que posent le numérique et l'IA au sein des cabinets d'avocats. » — Marie-Laure Denis, présidente de la CNIL

    Les mêmes risques de violation

    En 2024, un avocat a été suspendu pour avoir stocké ses dossiers clients sur Google Drive. Le Conseil de discipline a jugé que l'absence de garanties européennes constituait une atteinte directe au secret protégé par la loi de 1971 et l'article 226-13 du Code pénal.

    Selon une enquête du CNB (2025), 68 % des cabinets français utilisent des outils IA, mais 42 % craignent des violations de confidentialité dues à des transferts non sécurisés. Plus préoccupant : 67 % des cabinets de moins de 5 avocats déclarent manquer de compétences techniques pour évaluer la fiabilité des outils.

    L'AI Act : un cadre commun pour tous les secteurs

    Le calendrier de l'AI Act s'applique uniformément :

    ÉchéanceObligation
    2 février 2025Interdiction des pratiques d'IA à risque inacceptable
    2 août 2025Règles pour les modèles d'IA à usage général
    2 août 2026Toutes les dispositions applicables, y compris administration de la justice
    2 août 2027Systèmes d'IA à haut risque de l'annexe I (dispositifs médicaux)

    → Analyse complète : L'EU AI Act : ce que les avocats doivent savoir

    Solutions souveraines

    La CNIL recommande de privilégier des solutions hébergées en Europe. Pour les professions juridiques, il faut vérifier : certification ISO 27001, présence d'un DPO, réalisation d'une AIPD, clauses de non-réutilisation des données, Privacy by Design et Privacy by Default.

    → Guide pratique : Comment choisir votre IA juridique en 5 étapes

    Conclusion : un cadre qui préfigure l'avenir de toutes les professions réglementées

    Le guide HAS-CNIL établit un cadre réglementaire d'une exigence exceptionnelle. Les douze fiches, structurées selon trois niveaux de recommandations, couvrent l'intégralité du cycle de vie des systèmes d'IA. L'obligation de gouvernance dédiée, de cartographie des systèmes et de surveillance continue témoigne d'une vigilance réglementaire sans précédent.

    Le parallèle avec les professions juridiques s'impose naturellement. Le partenariat renouvelé entre la CNIL et le CNB en juillet 2025 confirme la convergence des enjeux. L'entrée en vigueur progressive de l'AI Act, avec son application à l'administration de la justice dès août 2026, confirme que toutes les professions réglementées devront se conformer aux mêmes exigences.

    Le guide HAS-CNIL ne constitue pas seulement un cadre pour la santé. Il préfigure l'avenir de la régulation de l'IA pour toutes les professions réglementées. Les professionnels du droit qui anticipent dès maintenant ces évolutions se positionnent favorablement pour l'avenir.

    Prochaines lectures

    Sources :

    À propos de Gaius : Notre équipe de formateurs en IA juridique accompagne les avocats et juristes dans leur transformation numérique. Retrouvez nos analyses et formations sur www.gaius-tech.com et sur notre page LinkedIn.