L'intelligence artificielle occupe une place de plus en plus importante dans le secteur de la santé, qu'il s'agisse de l'aide au diagnostic, de l'automatisation des processus, des outils d'aide à la décision ou de la surveillance des patients. À mesure que ces applications passent du stade des projets pilotes à celui d'une utilisation clinique courante, les implications réglementaires prennent de plus en plus d'importance pour les fabricants de dispositifs médicaux et leurs utilisateurs.
La question centrale n’est plus de savoir si l’IA sera utilisée dans le secteur de la santé, mais comment garantir que les dispositifs intégrant l’IA soient développés, validés et surveillés de manière à répondre aux attentes tant des autorités de réglementation que des organismes notifiés. Dans l’Union européenne et aux États-Unis, cela implique de comprendre comment l’IA s’intègre dans les cadres réglementaires existants relatifs aux dispositifs médicaux, tout en tenant compte des exigences nouvelles et en constante évolution qui reflètent les risques spécifiques liés à l’IA et à l’apprentissage automatique.
Le contexte de la conformité dans l’UE
Dans l’UE, le RDM et le RDI restent les fondements de la mise sur le marché des dispositifs médicaux intégrant l’IA. Cela signifie que les principes fondamentaux habituels s’appliquent : destination, classification, évaluation clinique ou évaluation des performances, gestion des risques, contrôle du cycle de vie des logiciels, cybersécurité et surveillance post-commercialisation. Le fait que le dispositif intègre l’IA rend plus exigeante la manière dont les fabricants doivent démontrer de manière convaincante qu’ils maîtrisent le comportement du système, en particulier lorsque le modèle dépend d’entrées de données, d’ensembles de données d’apprentissage et de mises à jour algorithmiques.
Dans le contexte actuel, le questionnaire TEAM-NB sur l’IA dans les dispositifs médicaux constitue un outil de préparation utile, car il oblige les équipes à se poser les bonnes questions dès le début. Comment le modèle a-t-il été entraîné ? Quelles données ont été utilisées ? Comment les biais ont-ils été évalués ? Quelle validation étaye la destination d’utilisation ? Comment les mises à jour sont-elles contrôlées ? Quel est le plan de surveillance une fois le dispositif mis en service ? Il ne s’agit pas là de questions théoriques. Ce sont précisément ces aspects qui déterminent si la documentation technique présente un tableau cohérent en matière de sécurité, de performances et de contrôle.
La loi sur l’IA ajoute un niveau supplémentaire pour les systèmes d’IA à haut risque, ce qui inclut tous les dispositifs médicaux et dispositifs de diagnostic in vitro (IVD) nécessitant une évaluation par un organisme notifié, ainsi que de nombreux dispositifs médicaux intégrant l’IA. La question clé ici est de savoir comment les exigences de la loi sur l’IA s’articulent avec les obligations existantes en matière de dispositifs médicaux (voir MDCG 2025-6). C’est là que la rigueur de mise en œuvre prend toute son importance : en transposant les exigences spécifiques à l’IA dans le système de qualité existant du RDM/RDI, il est souvent possible de constituer un dossier plus efficace et plus solide. Outre le questionnaire Team-NB, des thèmes tels que la supervision humaine, les considérations éthiques et les effets sur l’environnement doivent être intégrés.
Le récent accord «Digital Omnibus» accorde un peu plus de marge de manœuvre aux fabricants de dispositifs médicaux, l’entrée en vigueur de la loi sur l’IA pour les dispositifs médicaux étant reportée d’un an, au 2 août 2028. Les tentatives visant à supprimer l’applicabilité directe de la loi sur l’IA aux produits déjà réglementés (liste A de l’annexe I) ont échoué, à l’exception de la directive sur les machines, ce qui maintient les dispositifs médicaux et les dispositifs de diagnostic in vitro (IVD) dans le champ d’application complet (voir également l’article de Team-NB sur l’accord « Digital Omnibus »). Si votre dispositif médical basé sur l’IA est déjà commercialisé avant le 2 août 2028, il n’est pas tenu de se conformer aux obligations applicables aux systèmes d’IA à haut risque de l’annexe I, comme le précise la question 31 du document MDCG 2025-6[i], à moins que des modifications significatives ne soient apportées à sa conception (à noter que la notion de « modification significative » n’est pas définie).
La voie réglementaire aux États-Unis
L’approche américaine diffère dans sa structure, mais pas dans sa logique sous-jacente. La FDA a clairement indiqué que les fonctions logicielles des dispositifs médicaux basés sur l’IA doivent être évaluées dans le contexte de leur cycle de vie. Cela signifie que les autorités de réglementation examineront non seulement les données pré-commercialisation, mais également la manière dont le fabricant gère les mises à jour, la dérive des performances, ainsi que la sécurité et l’efficacité à long terme.
L’une des évolutions les plus importantes aux États-Unis est l’importance croissante accordée à la planification prédéterminée du contrôle des changements pour les fonctions basées sur l’IA. Cela est particulièrement pertinent pour les produits censés apprendre, s’adapter ou être mis à jour après leur déploiement. Concrètement, cela signifie que la FDA ne demande pas aux fabricants de geler l’innovation. Elle leur demande de définir à l’avance les limites dans lesquelles l’innovation s’exercera. Cela inclut les types de modifications attendues, l’approche de validation de ces modifications et les contrôles permettant de préserver la sécurité et l’efficacité.
Aux États-Unis, les dispositifs médicaux basés sur l’IA ne sont pas soumis à un cadre réglementaire distinct pour leur mise sur le marché. Ils doivent s’inscrire dans la classification existante des dispositifs de la FDA et suivre les procédures de mise sur le marché en vigueur, ce qui signifie que l’usage prévu, le profil de risque et les fonctionnalités logicielles restent le point de départ de l’analyse réglementaire. Les principales procédures de la FDA sont les procédures 510(k), De Novo et PMA, la plupart des dispositifs intégrant l’IA s’inscrivant dans les deux premières, sauf si leur profil de risque est élevé.
Dans les deux régimes réglementaires, la conformité des dispositifs médicaux dotés d’IA repose de plus en plus sur la démonstration d’une bonne gestion des données, d’une rigueur en matière de conception et d’une discipline face aux changements. Le dossier de demande doit expliquer l’utilisation prévue, le rôle de l’algorithme, le cadre de validation, les considérations relatives aux facteurs humains et la stratégie de surveillance post-commercialisation, de manière à rendre le produit compréhensible et gérable. La FDA ne pose pas nécessairement les mêmes questions qu’un organisme notifié de l’UE, mais les thèmes centraux sont les mêmes : traçabilité, preuves, maîtrise des risques et responsabilité tout au long du cycle de vie.
Par où commencer ?
Pour les organisations qui se demandent où lancer leur produit, la stratégie initiale ne diffère pas beaucoup. Quelle que soit la voie choisie, il faut commencer par définir avec précision l’usage prévu et les allégations de performance de l’IA. L’IA crée une ambiguïté en matière de conformité lorsque les équipes restent vagues sur ce que fait le dispositif, pour qui et dans quelles conditions. Une destination d’utilisation précise et solidement étayée rend la classification, la validation et l’évaluation des risques beaucoup plus faciles à gérer.
Deuxièmement, l’architecture du système doit être cartographiée et les dépendances des données identifiées. Il est essentiel de comprendre d’où proviennent les données, comment elles sont gérées, si elles sont utilisées pour l’entraînement ou l’inférence, et comment les modifications apportées aux entrées peuvent affecter les sorties. Cela constitue un élément fondamental tant pour les demandes d’autorisation dans l’UE qu’aux États-Unis. Troisièmement, les contrôles tout au long du cycle de vie doivent être intégrés. Cela inclut les contrôles de conception, la vérification et la validation, la cybersécurité, la surveillance des modèles, la gestion des mises à jour et la surveillance post-commercialisation. Si ces contrôles ne sont pas documentés dès le début, ils risquent de se transformer ultérieurement en travaux de mise en conformité coûteux.
Ce n’est qu’au quatrième niveau que les différences géographiques entrent en jeu, car les dossiers de justification doivent être identifiés et harmonisés entre les différentes juridictions si plusieurs marchés sont visés. Une bonne stratégie visant deux marchés ne consiste pas à rédiger deux dossiers techniques ou deux demandes d’autorisation complètement différents. Elle consiste à développer une architecture de justification centrale, puis à l’adapter aux attentes réglementaires spécifiques de chaque région.
Choisir votre ou vos marchés
En termes d’efforts, de délais et de coûts, le choix d’un marché pour un lancement prioritaire pourrait privilégier les États-Unis lorsqu’il existe un dispositif de référence adapté. Si aucun dispositif de référence n’est disponible, les différences entre l’UE et les États-Unis sont bien moindres et pourraient même faire pencher la balance en faveur de l’UE, car les États-Unis sont plus stricts quant à l’utilisation de données américaines, tandis que l’UE fait preuve de plus de souplesse dès lors que l’utilisation de données provenant de l’extérieur de l’UE peut être justifiée.
Une fois le marquage CE ou l’autorisation de la FDA obtenus, les portes du reste du monde s’ouvriront, car de nombreux pays accordent un accès rapide au marché aux produits portant le marquage CE ou disposant d’une autorisation de la FDA. Si vous souhaitez en savoir plus sur l’enregistrement de votre dispositif médical basé sur l’IA dans le reste du monde, participez à notre webinaire le 25 juin.
[i] Corrigé pour tenir compte de l’accord « Digital Omnibus ».