À compter du 2 août 2026, tout système d'IA intégré dans un dispositif médical réglementé au titre du RDM UE 2017/745 ou du RDIV 2017/746 devra se conformer à l'ensemble des obligations applicables aux systèmes à haut risque prévues par la loi européenne sur l'IA 2024/1689. Cette réglementation s'applique en parallèle du RDM, et non en remplacement. Les fabricants doivent satisfaire aux deux cadres réglementaires dans le cadre d'une seule évaluation de conformité.
Pourquoi les dispositifs médicaux à base d'IA sont automatiquement à haut risque
L'article 6(1) de la loi sur l'IA classe les systèmes d'IA comme étant à haut risque lorsqu'ils constituent des composants de sécurité de produits couverts par la législation d'harmonisation de l'UE énumérée à l'annexe I. Le RDM 2017/745 et le RDIV 2017/746 figurent tous deux dans cette annexe.
Cela signifie que tout logiciel en tant que dispositif médical (SaMD) des classes de risque IIa, IIb ou III est automatiquement un système d'IA à haut risque au titre de la loi sur l'IA. Aucune analyse de classification distincte n'est nécessaire. Les dispositifs de classe I peuvent également être concernés s'ils intègrent un composant d'IA agissant comme composant de sécurité.
| Classe RDM | Classification loi sur l'IA | Justification |
|---|---|---|
| III | Haut risque (automatique) | Législation d'harmonisation listée à l'annexe I |
| IIb | Haut risque (automatique) | Idem |
| IIa | Haut risque (automatique) | Idem |
| I | Potentiellement à haut risque | Si l'IA agit comme composant de sécurité |
Ce que la loi sur l'IA ajoute au delà du RDM
Le RDM exige déjà un système de gestion de la qualité, une évaluation clinique et une surveillance après commercialisation. La loi sur l'IA ajoute des exigences spécifiques au composant d'IA qui vont au delà de ce que le RDM impose :
Gestion des risques pour l'IA (article 9 de la loi sur l'IA) : un processus de gestion des risques spécifique à l'IA, documenté et maintenu tout au long du cycle de vie du système d'IA. Celui ci doit être intégré à votre dossier de gestion des risques ISO 14971 existant, tout en traitant les risques propres à l'IA tels que les biais, la dérive distributionnelle et les modes de défaillance dans les cas limites.
Gouvernance des données (article 10 de la loi sur l'IA) : les jeux de données d'entraînement, de validation et de test doivent répondre à des critères de qualité. Vous devez documenter les méthodes de collecte de données, traiter les biais potentiels et vous assurer que les jeux de données sont pertinents, représentatifs et complets pour la finalité prévue.
Transparence (article 13 de la loi sur l'IA) : les utilisateurs (déployeurs) doivent être en mesure d'interpréter les résultats du système d'IA et de comprendre ses limites. Les instructions d'utilisation doivent préciser le niveau d'exactitude, de robustesse et de cybersécurité que le système atteint.
Surveillance humaine (article 14 de la loi sur l'IA) : le système doit être conçu de manière à ce qu'un être humain puisse superviser efficacement son fonctionnement, comprendre ses capacités et ses limites, et intervenir ou passer outre si nécessaire.
Exactitude, robustesse, cybersécurité (article 15 de la loi sur l'IA) : le système doit atteindre des niveaux d'exactitude appropriés, être résilient face aux erreurs et incohérences, et être protégé contre les manipulations non autorisées.
Documentation technique : double exigence
Votre dossier technique est évalué au regard des exigences du RDM et de la loi sur l'IA. En pratique, cela signifie que votre documentation technique existante conforme aux annexes II/III du RDM doit être complétée par la documentation technique prévue à l'annexe IV de la loi sur l'IA.
| Dossier technique RDM | Ajout annexe IV loi sur l'IA |
|---|---|
| Description du dispositif et destination | Description détaillée des éléments du système d'IA, processus de développement |
| Gestion des risques (ISO 14971) | Gestion des risques spécifique à l'IA avec analyse des biais et de la robustesse |
| Évaluation clinique (annexe XIV du RDM) | Documentation sur la gouvernance des données, jeux de données d'entraînement/validation |
| Cycle de vie logiciel (IEC 62304) | Conception de l'algorithme, méthodologie d'entraînement, métriques de performance |
| Vérification et validation | Tests spécifiques à l'IA incluant les cas limites et les entrées adverses |
| Plan de surveillance après commercialisation | Surveillance de la performance de l'IA, plan de détection de la dérive |
Évaluation de conformité : une procédure, deux cadres réglementaires
L'article 43(1) de la loi sur l'IA précise que l'évaluation de conformité des systèmes d'IA à haut risque intégrés dans des dispositifs médicaux suit la procédure déjà établie par le RDM. Votre Organisme Notifié évalue la conformité au RDM et à la loi sur l'IA dans un processus unique.
Cela ne signifie pas moins de travail. Cela signifie que votre Organisme Notifié évaluera les exigences supplémentaires de la loi sur l'IA lors du même audit. Prévoyez des cycles de revue plus longs et des questions supplémentaires sur la gouvernance des données, la validation des algorithmes et l'atténuation des biais.
Échéances clés
| Date | Exigence |
|---|---|
| 2 août 2026 | Les obligations relatives aux systèmes à haut risque s'appliquent pleinement aux nouveaux dispositifs médicaux à base d'IA mis sur le marché de l'UE |
| 2 août 2027 | Conformité complète requise pour les dispositifs médicaux à base d'IA déjà sur le marché avant août 2026 |
| En continu | La surveillance après commercialisation doit inclure le suivi de la performance de l'IA, la détection de la dérive et la notification des incidents |
Les fabricants mettant de nouveaux SaMD à base d'IA sur le marché de l'UE après le 2 août 2026 doivent démontrer leur conformité au RDM et à la loi sur l'IA dès le premier jour. Il n'existe aucune période de transition pour les nouveaux produits.
Comment se préparer dès maintenant
- Cartographier vos composants d'IA : identifier chaque élément d'IA/ML de votre dispositif et documenter son rôle dans la prise de décision clinique
- Étendre votre gestion des risques : ajouter une analyse des risques spécifique à l'IA (biais, dérive distributionnelle, robustesse adversariale) à votre dossier ISO 14971
- Documenter votre pipeline de données : enregistrer les sources de données, le prétraitement, l'étiquetage, les partitions et les critères de qualité pour toutes les données d'entraînement et de validation
- Définir des métriques de performance : établir des seuils d'exactitude, de sensibilité, de spécificité et de robustesse avec des critères d'acceptation clairs
- Planifier la surveillance : mettre en place un système de surveillance de la performance de l'IA après commercialisation capable de détecter la dérive et la dégradation du modèle dans le temps
- Contacter votre Organisme Notifié rapidement : discuter de la préparation à la loi sur l'IA avec votre ON dès maintenant, car les délais d'audit sont déjà allongés
Vous cherchez le bon outil de veille réglementaire ? Consultez notre guide pour évaluer les plateformes de veille réglementaire.
Points clés à retenir
- Tous les SaMD à base d'IA des classes IIa à III du RDM sont automatiquement à haut risque au titre de la loi européenne sur l'IA
- La loi sur l'IA s'applique en parallèle du RDM, et non en remplacement
- De nouvelles obligations couvrent la gouvernance des données, la transparence, la surveillance humaine et la gestion des risques spécifique à l'IA
- La documentation technique doit satisfaire aux annexes II/III du RDM et à l'annexe IV de la loi sur l'IA
- Une seule évaluation de conformité couvre les deux cadres, conduite par votre Organisme Notifié
- Les nouveaux dispositifs doivent être conformes à compter du 2 août 2026 ; les dispositifs existants au plus tard le 2 août 2027
- Commencez à vous préparer dès maintenant, car la capacité des Organismes Notifiés est déjà limitée
Comment RegAid vous aide
RegAid couvre le texte intégral de la loi européenne sur l'IA 2024/1689 ainsi que le RDM 2017/745 et toutes les orientations du MDCG sur les logiciels et l'IA. Posez la question « Quelles exigences de gouvernance des données s'appliquent à mon diagnostic par IA au titre de la loi sur l'IA ? » et obtenez une réponse sourcée reliant les exigences de l'article 10 à vos obligations de documentation technique du RDM.