top of page

Mettre sur le marché un DM avec IA : le "Tetris" réglementaire

L’intelligence artificielle (IA) progresse dans le monde médical. Aide au diagnostic, médecine personnalisée, optimisation des flux hospitaliers : ses promesses sont nombreuses. Mais derrière l’enthousiasme, une réalité s’impose aux fabricants : le chemin réglementaire est complexe, voire labyrinthique.


Désormais, un dispositif médical (DM) intégrant de l’IA doit répondre à une double exigence : celle du MDR/IVDR et celle de l’IA Act. Un défi majeur qui demande anticipation, rigueur et stratégie.


Une double conformité incontournable


Le MDR (Règlement (UE) 2017/745) et l’IVDR (Règlement (UE) 2017/746) fixent déjà un cadre exigeant : sécurité, performance clinique, gestion des risques, surveillance post-marché. En parallèle, l’ IA Act, (Règlement (UE) 2024/1689) vise à apporter un cadre juridique uniforme destiné à favoriser une utilisation de l’IA qui soit éthique et responsable. Si le système IA est un composant de sécurité ou le produit lui-même, et si le dispositif est soumis à une évaluation de conformité par un organisme notifié, alors l’ensemble des exigences du MDR et de l’IA Act s’appliquent simultanément. Les entreprises doivent donc construire une stratégie réglementaire unifiée.

Afin de favoriser une mise en œuvre et une conformité cohérentes entre les fabricants, des normes européennes et internationales harmonisées sont en cours d’élaboration.


Dossier technique : le nerf de la guerre


Le guide MDCG 2025-6 recommande l’élaboration d’un dossier unifié qui couvre à la fois le MDR et l’IA Act pour simplifier l’évaluation par les organismes notifiés (ON) et éviter les doublons dans la documentation technique.

Le dossier technique doit couvrir a minima :

  • la description fonctionnelle et technique du système d’IA et du DM,

  • l’architecture logicielle, les configurations, les interfaces et l’environnement d’exploitation,

  • la réponse aux exigences essentielles de sécurité et performance,

  • la gestion des risques selon l’ISO 14971, incluant les risques IA spécifiques (biais algorithmiques, robustesse, explicabilité, sécurité des données),

  • la gouvernance des données : qualité, représentativité, minimisation, traçabilité,

  • les preuves de validation technique et clinique (IEC 62304, IEC 82304, IEC 62366, MDR Annexe XIV). Pour les IA auto-apprenantes, les modèles adaptatifs doivent être encadrés par des gardefous (seuils de modification, processus de re-certification),

  • la cybersécurité selon les exigences du MDR et l’IA Act. Les cybermenaces spécifiques à l’IA sont à prendre en compte telles que les attaques adversariales, l’empoisonnement des données d’entraînement, ou l'altération des performances après mise à jour,

  • les dispositifs de transparence et de supervision humaine, avec documentation des algorithmes et instructions d’utilisation compréhensibles,

  • un plan de surveillance post-marché (PMS) robuste. La traçabilité complète des modèles (entraînement, validation, mises à jour) devient cruciale pour assurer une surveillance effective après mise sur le marché,

  • la déclaration UE de conformité. Ce dossier est ensuite soumis à un ON pour évaluation selon le MDR ou l'IVDR et l’IA Act.


    Lorsque le dispositif s'intègre dans un écosystème numérique (Dossier Patient Informatisé, Espace Européen des Données de Santé), l’interopérabilité devient elle aussi un critère de conformité.

ree

Gouvernance et gestion de la qualité


Répondre aux exigences techniques ne suffit pas. L’organisation doit aussi être structurée et pilotée par un Système de Management de la Qualité (SMQ) solide. L’ISO 13485 reste la pierre angulaire, mais elle doit désormais être enrichie des spécificités IA. La nouvelle norme ISO/IEC 42001, bien qu’encore non harmonisée, fournit un cadre précieux pour instaurer une gouvernance IA responsable : cycle de vie clair, traçabilité des décisions techniques, politique d’amélioration continue.

À cela s’ajoutent :

  • l'ISO/IEC 27001 pour la sécurité de l’information,

  • le référentiel HDS pour l’hébergement des données de santé,

  • et le RGPD, Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).


    La cohérence entre ces référentiels est cruciale pour éviter les redondances et sécuriser le dispositif dans toutes ses dimensions.


Vers une stratégie réglementaire proactive


Naviguer dans le labyrinthe réglementaire de la mise sur le marché des dispositifs médicaux à base d’IA impose une stratégie réglementaire proactive.

Au-delà de la conformité, il s’agit d’intégrer dès la conception une gouvernance responsable, une veille normative et réglementaire efficace et une anticipation des risques durant tout le cycle de vie.

Le respect des cadres (MDR, IA Act, normes ISO/ IEC, MDCG …) et le dialogue régulier avec les organismes notifiés sont essentiels. Les entreprises qui transformeront ces contraintes en leviers seront mieux armées pour instaurer la confiance auprès des autorités, des professionnels de santé et des patients. Loin d’être un frein, la rigueur réglementaire peut devenir un atout stratégique, en favorisant une innovation responsable et durable.


Cet article, rédigé par Vanessa Bensoussan, Directrice Générale de Compliance et Consultante Qualité et Affaires Réglementaires a été publié dans le numéro de Septembre-Octobre de DeviceMed à retrouver ici




 
 
bottom of page