Chaque semaine, des praticiens posent la même question avant de s'équiper d'une assistante IA : "est-ce que j'ai le droit ?". La question est légitime. Le secteur médical est encadré par des textes exigeants, et la seule évocation des mots "RGPD", "données de santé" ou "AI Act" suffit parfois à provoquer une prudence excessive, voire un blocage injustifié.
Ce que la loi dit, dans sa version la plus précise et la plus à jour, est pourtant plus nuancé que ce que laissent entendre les craintes générales. Tout dépend du type d'IA déployé et de ce qu'elle fait réellement dans le cabinet. Une assistante conversationnelle administrative n'est pas un dispositif médical. Elle ne formule pas de diagnostic. Elle ne consulte pas de dossier patient. Et ce positionnement change fondamentalement le régime juridique qui lui est applicable.
Cet article passe en revue les textes qui comptent vraiment : le RGPD, l'AI Act européen, le Code de déontologie médicale, le régime HDS et les recommandations de la CNIL. Sans raccourci, sans alarmisme, et sans approximation.
Le RGPD et les professionnels de santé : ce qui change réellement
Le Règlement (UE) 2016/679, dit RGPD, est entré en application en mai 2018. Il s'applique à toute organisation qui traite des données à caractère personnel de résidents européens, y compris les cabinets médicaux, dentaires et de médecine esthétique. Ce n'est pas une nouveauté. Ce que beaucoup de praticiens ignorent, en revanche, c'est que le RGPD ne soumet pas toutes les données au même régime de protection.
Données de santé vs données administratives : une distinction fondamentale
L'article 4 du RGPD, paragraphe 15, définit les données de santé comme "les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne". L'article 9 les classe parmi les données dites "sensibles", dont le traitement est en principe interdit sauf exceptions listées, notamment le soin médical ou la gestion de la santé.
Mais une assistante IA configurée pour gérer des échanges administratifs ne touche pas à cette catégorie. Lorsqu'elle collecte le prénom d'un patient, son numéro de téléphone et le motif général de sa demande de rendez-vous ("je souhaite prendre un rendez-vous pour un bilan" ou "j'ai une question sur vos horaires"), elle traite des données administratives ordinaires. Ces données relèvent du droit commun du RGPD, non du régime spécial des données de santé. La base légale mobilisable est l'intérêt légitime du responsable de traitement (article 6, §1, f) ou le consentement de la personne concernée (article 6, §1, a).
La CNIL souligne elle-même cette distinction dans ses guides à destination des professionnels de santé disponibles sur cnil.fr : le traitement administratif et le traitement médical ne sont pas soumis aux mêmes règles, et cette différence de nature est déterminante pour apprécier le niveau d'obligations applicables.
📌 Repère légal clé
Une assistante IA qui collecte le nom, le numéro de téléphone et le motif général d'une demande de contact traite des données administratives ordinaires. Elle ne traite pas de données de santé au sens de l'article 4 §15 du RGPD, sauf si la conversation fait apparaître des informations médicales précises. La configuration de l'outil conditionne la qualification juridique.
Les obligations concrètes du praticien responsable de traitement
Qu'il déploie une assistante IA ou tout autre outil numérique, le praticien est, au sens de l'article 4 §7 du RGPD, le responsable de traitement. C'est lui qui détermine les finalités et les moyens du traitement. Cette qualification emporte des obligations précises : tenir un registre des activités de traitement (article 30), informer les personnes de l'usage de leurs données (articles 13 et 14), garantir leurs droits (accès, rectification, effacement), et s'assurer que les prestataires auxquels il recourt présentent des garanties suffisantes via un contrat de sous-traitance (article 28).
Ces obligations ne sont pas propres à l'IA. Elles existaient déjà pour chaque logiciel de gestion de cabinet, chaque formulaire de contact en ligne, chaque système de prise de rendez-vous. L'assistante IA n'ajoute pas une couche supplémentaire de contrainte : elle s'inscrit dans un cadre existant que le cabinet doit déjà respecter.
L'AI Act européen : ce que le règlement dit vraiment pour les cabinets
Le Règlement (UE) 2024/1689, dit "AI Act" ou Règlement européen sur l'intelligence artificielle, a été adopté le 13 juin 2024 et est entré en vigueur le 1er août 2024. Son application est progressive : les dispositions relatives aux systèmes d'IA à haut risque deviennent pleinement applicables à partir du 2 août 2026. C'est le premier texte au monde à établir un cadre juridique global et contraignant pour l'IA, et il a une portée géographique extraterritoriale : tout fournisseur d'IA dont les systèmes sont utilisés dans l'Union européenne y est soumis.
Le classement par niveau de risque : où se situe une assistante conversationnelle ?
L'architecture centrale de l'AI Act est une classification par niveau de risque. L'article 6 et l'Annexe III désignent les systèmes d'IA à haut risque dans le domaine de la santé : il s'agit notamment des systèmes destinés à appuyer des diagnostics médicaux, à prédire des pathologies, à gérer des dispositifs médicaux implantables ou à orienter des décisions thérapeutiques. Ces systèmes sont soumis à des exigences strictes : documentation technique, enregistrement dans une base de données européenne, évaluation de conformité préalable.
Une assistante IA administrative, elle, n'entre dans aucune de ces catégories. Elle ne formule pas de diagnostic, n'oriente pas de traitement, n'interagit pas avec des dispositifs médicaux. Elle relève de la catégorie dite à risque limité, définie à l'article 50 du règlement. Cette catégorie ne soumet les opérateurs qu'à des obligations de transparence : l'utilisateur doit être informé qu'il interagit avec un système d'IA, et non avec un être humain. C'est une obligation simple à satisfaire, que les solutions sérieuses intègrent par défaut dans la configuration de l'outil.
Ce que le texte interdit réellement
L'article 5 de l'AI Act établit une liste de pratiques d'IA purement interdites dans l'Union européenne, quels que soient le secteur ou les précautions prises. Ces interdictions couvrent les systèmes de manipulation comportementale subliminale, les systèmes d'identification biométrique en temps réel dans des espaces publics (avec des exceptions limitées), les systèmes de notation sociale des individus par des autorités publiques, et les systèmes d'IA exploitant des vulnérabilités de groupes spécifiques. Une assistante conversationnelle de cabinet médical n'est concernée par aucune de ces interdictions.
Source : Règlement (UE) 2024/1689, article 5, article 50 et Annexe III. Entrée en vigueur le 1er août 2024.
Secret médical et IA : où se situe la frontière
Le secret médical est l'un des piliers de l'éthique professionnelle médicale. Il est inscrit à l'article R.4127-4 du Code de déontologie médicale, lui-même codifié dans le Code de la santé publique. Il impose au médecin de ne divulguer aucune information reçue dans le cadre de la relation de soin. Ce principe est d'ordre public : aucune clause contractuelle, aucune instruction donnée par un outil tiers ne peut y déroger.
Ce que l'assistante IA administrative ne fait pas
Une assistante IA configurée pour des fonctions administratives n'accède pas au dossier médical du patient. Elle ne consulte pas les antécédents, les prescriptions, les comptes rendus de consultation ou les résultats d'examens. Elle ne reçoit donc pas d'informations couvertes par le secret médical au sens de l'article R.4127-4. La relation qu'elle noue avec le patient est analogue à celle qu'entretient une standardiste ou une secrétaire médicale en première ligne : collecte du motif général de contact, orientation vers l'équipe compétente, transmission d'un résumé structuré.
Cette analogie est juridiquement importante. La secrétaire médicale qui répond au téléphone et note "Monsieur Dupont appelle pour un rendez-vous de suivi" ne viole pas le secret médical. Elle transmet une information administrative. L'assistante IA fait exactement de même, à condition que sa configuration l'empêche de solliciter ou de stocker des informations médicales précises.
Le praticien conserve la maîtrise de la chaîne décisionnelle
L'article R.4127-32 du Code de déontologie médicale rappelle que "dès lors qu'il a accepté de répondre à une demande, le médecin s'engage à assurer personnellement au patient des soins consciencieux, dévoués et fondés sur les données acquises de la science". Cette responsabilité personnelle du praticien est non-transférable et non-délégable à une machine. L'assistante IA ne prescrit pas, ne conseille pas sur un traitement, ne se substitue pas au jugement clinique. Elle collecte et transmet. Le praticien reste le seul décideur médical, et cette séparation des rôles est précisément ce qui garantit la conformité déontologique du dispositif.
Hébergement des données de santé : quand la certification HDS s'applique
La certification Hébergeur de Données de Santé (HDS), encadrée par l'Agence du Numérique en Santé (ANS) et fondée sur l'article L.1111-8 du Code de la santé publique, est l'une des exigences les plus souvent citées dans le débat autour de l'IA en cabinet médical. Il est essentiel d'en comprendre le périmètre exact pour ne pas surestimer son champ d'application.
La certification HDS est obligatoire pour tout hébergeur qui stocke, traite ou transporte des données de santé à caractère personnel pour le compte d'un professionnel ou d'un établissement de santé. Cette obligation vise les logiciels de dossier patient informatisé (DPI), les plateformes de téléconsultation, les systèmes d'imagerie médicale, les outils de prescription électronique. Ces systèmes hébergent des informations médicales précises : diagnostics, ordonnances, résultats biologiques, imageries.
Une assistante IA administrative qui collecte uniquement le nom, le numéro de téléphone et le motif général d'une demande de contact ne stocke pas de données de santé au sens de l'article L.1111-8. Elle ne déclenche donc pas l'obligation de certification HDS. Cette conclusion n'est pas une interprétation extensive : elle découle directement de la définition légale des données concernées et du périmètre explicitement délimité par l'ANS dans ses guides publiés sur esante.gouv.fr.
⚠️ Point de vigilance
La qualification juridique des données dépend de ce que l'outil est configuré pour recevoir et stocker. Si, à un moment de la conversation, un patient évoque spontanément des symptômes précis ou des antécédents médicaux, et que l'outil les enregistre, ces données peuvent basculer dans la catégorie des données de santé. La configuration de l'assistante IA doit être paramétrée pour ne pas solliciter ce type d'information et pour ne pas les conserver lorsqu'elles apparaissent incidemment.
Ce que la CNIL attend concrètement d'un cabinet en 2026
La Commission Nationale de l'Informatique et des Libertés (CNIL) est l'autorité de contrôle française compétente pour l'application du RGPD. Elle dispose d'un pouvoir de sanction et peut prononcer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel d'une organisation (article 83 du RGPD). Pour les cabinets libéraux, le risque financier réel est naturellement plus modeste, mais la CNIL a manifesté un intérêt croissant pour le secteur de la santé depuis 2022, notamment à travers ses thématiques de contrôle annuelles.
Le registre des activités de traitement
L'article 30 du RGPD oblige tout responsable de traitement à tenir un registre documentant l'ensemble de ses activités de traitement de données personnelles. Ce registre doit mentionner, pour chaque traitement : la finalité (pourquoi ces données sont collectées), les catégories de données concernées, les destinataires (qui y a accès), les durées de conservation et les mesures de sécurité mises en place. Pour un cabinet qui déploie une assistante IA, cela se traduit par l'ajout d'une ligne dédiée dans ce registre, documentant spécifiquement l'outil, ses finalités et son périmètre de données.
L'information des patients et les droits exercables
Les articles 13 et 14 du RGPD imposent d'informer les personnes concernées du traitement de leurs données, au moment où elles les fournissent. En pratique, cela se traduit par une mention dans la politique de confidentialité du site du cabinet, et idéalement par un message introductif affiché dès le début de l'échange avec l'assistante IA. Cette mention doit indiquer l'identité du responsable de traitement, la finalité de la collecte, la base légale, la durée de conservation et les droits de la personne (accès, rectification, suppression, opposition). La CNIL a publié des modèles de mentions d'information disponibles sur son site officiel qui permettent à tout praticien de rédiger ce document sans compétence juridique particulière.
🗂️ Synthèse : ce que doit faire un cabinet qui déploie une assistante IA administrative
| Obligation | Texte de référence | Action concrète |
|---|---|---|
| Registre de traitement | Art. 30 RGPD | Ajouter une ligne "Assistante IA administrative" au registre existant |
| Information des patients | Art. 13-14 RGPD | Mention dans la politique de confidentialité + message intro de l'IA |
| Transparence IA | Art. 50 AI Act (UE) 2024/1689 | Informer l'utilisateur qu'il interagit avec une IA |
| Contrat de sous-traitance | Art. 28 RGPD | Signer un DPA avec le fournisseur de l'IA |
| Durée de conservation | Art. 5 §1 e) RGPD | Définir et appliquer une durée maximale de stockage des conversations |
| Droits des personnes | Art. 15 à 22 RGPD | Garantir l'accès, la rectification et la suppression sur demande |
Ce que l'Ordre des médecins dit de l'IA
Le Conseil National de l'Ordre des Médecins (CNOM) a pris position à plusieurs reprises sur l'intelligence artificielle en médecine. Dans ses orientations publiées sur conseil-national.medecin.fr, l'Ordre distingue clairement deux usages : l'IA d'aide au diagnostic, qui soulève des questions déontologiques complexes sur la responsabilité médicale, et l'IA administrative, qui relève de la modernisation des outils de gestion du cabinet.
Pour la seconde catégorie, l'Ordre ne formule pas d'opposition de principe. Il rappelle que la responsabilité médicale reste entièrement portée par le praticien et que tout outil numérique déployé dans le cabinet doit respecter la confidentialité due aux patients. Ces deux conditions, la séparation des rôles et la protection des données, sont précisément celles que satisfait une assistante IA administrative correctement configurée et hébergée sur une infrastructure conforme.
L'Ordre des chirurgiens-dentistes (ONCD) et le Conseil National de l'Ordre des Médecins partagent sur ce point la même logique déontologique : l'outil ne doit jamais se substituer au professionnel de santé dans l'acte clinique. Ce principe est non-négociable. Il constitue le socle sur lequel toute intégration d'IA en cabinet doit reposer.
En résumé : ce que la loi dit vraiment
Le droit applicable à l'IA en cabinet médical en France n'est pas une zone d'ombre. Il est composé de textes précis, hiérarchisés, dont la lecture sérieuse conduit à des conclusions claires. Une assistante IA administrative n'est pas un dispositif médical. Elle n'est pas classée à haut risque par l'AI Act. Elle ne traite pas de données de santé si elle est correctement configurée. Elle ne viole pas le secret médical si elle ne reçoit et ne stocke aucune information médicale. Et elle s'intègre dans un cadre RGPD que le cabinet respectait déjà, ou devait déjà respecter, avant même de déployer un quelconque outil d'IA.
Ce qui compte, en définitive, ce n'est pas le mot "IA" sur l'étiquette d'un produit. C'est ce que l'outil fait réellement, avec quelles données, dans quelle finalité, sous la responsabilité de qui. Ces questions ont des réponses précises. Et pour une assistante IA configurée pour des fonctions administratives, ces réponses ne font pas obstacle à une conformité complète et vérifiable.
Votre cabinet, votre spécialité
Voyez comment une assistante IA conforme RGPD fonctionne dans votre cabinet
Solution 100% française, hébergée en France. Données administratives uniquement. Aucun dossier médical. Accédez à la démo interactive en 30 secondes, sans engagement.
Sans engagement · Sans carte bancaire · Démo interactive en conditions réelles
Questions fréquentes sur l'IA et la conformité en cabinet médical
-
Oui, sous conditions. Une assistante IA qui gère les échanges administratifs (demandes de contact, informations générales, collecte de coordonnées) est légale dès lors que les obligations RGPD sont respectées : information des patients, registre de traitement, base légale identifiée. Elle n'entre pas dans la catégorie des dispositifs médicaux et n'est pas soumise à la certification HDS si elle ne traite pas de données de santé au sens du RGPD.
-
Pas nécessairement. Le RGPD (article 4, §15) définit les données de santé comme des données relatives à l'état physique ou mental d'une personne. Une assistante IA qui collecte uniquement le nom, le numéro de téléphone et le motif général d'une demande de rendez-vous traite des données administratives ordinaires, non des données de santé. La CNIL distingue clairement ces deux catégories dans ses publications à destination des professionnels de santé.
-
Le règlement (UE) 2024/1689 classe comme IA à haut risque les systèmes utilisés pour des diagnostics, des décisions thérapeutiques ou la gestion de dispositifs médicaux. Une assistante conversationnelle administrative relève de la catégorie IA à risque limité (article 50), soumise uniquement à des obligations de transparence : l'utilisateur doit savoir qu'il interagit avec une IA.
-
La certification Hébergeur de Données de Santé (HDS), encadrée par l'Agence du Numérique en Santé (ANS), est obligatoire uniquement pour les systèmes qui hébergent des données de santé à caractère personnel au sens du Code de la santé publique (article L.1111-8). Si l'IA ne collecte que des données administratives (nom, coordonnées, motif général de contact), la certification HDS n'est pas requise.
-
Le praticien, en tant que responsable de traitement au sens de l'article 4 du RGPD, doit : tenir un registre des activités de traitement (article 30 RGPD), informer les patients de l'existence de l'outil et de l'usage de leurs données, identifier une base légale (intérêt légitime ou consentement), définir une durée de conservation des données, et garantir les droits d'accès, de rectification et de suppression. Ces obligations s'appliquent à tout outil numérique traitant des données, et non à l'IA spécifiquement.
-
Le secret médical, inscrit à l'article R.4127-4 du Code de déontologie médicale, protège les informations confiées au praticien dans le cadre d'une relation de soin. Une assistante IA administrative n'accède pas au dossier médical du patient, ne formule aucun diagnostic et ne traite aucune information médicale. Elle ne peut donc pas violer le secret médical, à condition que sa configuration l'empêche explicitement de solliciter ou de traiter ce type d'information.
-
Le Conseil National de l'Ordre des Médecins (CNOM) a publié des orientations favorables à l'adoption de l'IA, sous réserve que la responsabilité médicale reste entièrement assumée par le praticien et que les outils utilisés respectent le cadre déontologique. L'IA peut assister le cabinet dans ses fonctions administratives sans interférer avec la relation médecin-patient ni avec l'acte médical lui-même.
📚 Sources et références
Textes réglementaires
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) : eur-lex.europa.eu
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (AI Act) : eur-lex.europa.eu
Code de la santé publique, article L.1111-8 (hébergement de données de santé) : legifrance.gouv.fr
Code de déontologie médicale, articles R.4127-4 et R.4127-32 (secret médical, responsabilité personnelle) : legifrance.gouv.fr
Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (modifiée) : legifrance.gouv.fr
Autorités de régulation et institutions
CNIL : Guide "Professionnels de santé et RGPD" : cnil.fr
Agence du Numérique en Santé (ANS) : Certification HDS, périmètre et obligations : esante.gouv.fr
Conseil National de l'Ordre des Médecins (CNOM) : Orientations sur l'intelligence artificielle : conseil-national.medecin.fr
Conseil National de l'Ordre des Chirurgiens-Dentistes (ONCD) : oncd.org