IA et santé : conformité HDS et choix d'architecture en 2026
Quick Answer : IA dans la santé en 2026 — conformité HDS et choix d’architecture
Toute IA traitant des données de santé à caractère personnel identifiantes en France doit respecter cumulativement trois cadres :
- Certification HDS (Hébergeur de Données de Santé — la qualification française obligatoire pour héberger des données de patients) pour l’hébergement, encadrée par le Code de la santé publique (article L1111-8 CSP) et délivrée par l’ANS (Agence du Numérique en Santé) via des organismes agréés.
- RGPD (article 9 — données sensibles), avec analyse d’impact (AIPD) obligatoire dans la quasi-totalité des cas.
- AI Act (règlement UE 2024/1689, article 6) — l’IA santé est généralement classée « à risque élevé » avec obligations renforcées.
Hébergeurs HDS en 2026 : OVHcloud, Outscale, Scaleway (cloud français), AWS / Azure / Google Cloud avec leur entité dédiée HDS, Hivelocity, plusieurs spécialistes santé (Dedalus, Maincare).
Architectures possibles pour l’IA médicale :
- Installation locale (« on-premise », sur les serveurs de l’établissement) sur infrastructure HDS interne (CHU, gros groupes santé) : maximum de contrôle.
- Cloud HDS souverain : Mistral via OVHcloud HDS, Llama via Scaleway HDS — option recommandée pour la majorité.
- Cloud HDS chez un hyperscaler (les géants américains AWS / Azure / GCP avec leurs entités HDS) : fonctionnel mais avec un risque résiduel lié au Cloud Act américain.
Cas d’usage qui fonctionnent en 2026 : transcription de consultation, aide à la rédaction de comptes rendus médicaux, RAG (recherche assistée par IA) sur la documentation médicale interne, automatisation des factures de soins (mutuelles), pré-analyse d’imagerie (IA dédiée, qualifiée Dispositif Médical).
Cas d’usage à éviter en autonomie : diagnostic, prescription, décision thérapeutique. Toujours supervision humaine sur les actes médicaux.
Pourquoi le sujet IA santé explose en 2026
Trois bascules cumulées.
Bascule 1 — La maturité des LLM en santé. Les modèles 2026 (Mistral Large, GPT-4o, Claude) atteignent des performances exploitables sur la documentation médicale française. Les benchmarks médicaux (sur lesquels ils ne sont pas entraînés) montrent une qualité d’extraction et de synthèse comparable à un médecin junior sur la majorité des tâches non décisionnelles.
Bascule 2 — La pression productivité dans la santé. Pénurie de soignants, charge administrative croissante, délais d’attente patients. L’IA est perçue comme un levier — non pour remplacer le médecin, mais pour libérer du temps soignant en automatisant la documentation.
Bascule 3 — La clarification du cadre légal. Entre 2024 et 2026, la CNIL et l’ANS ont publié plusieurs recommandations sectorielles sur l’IA en santé. Le cadre est devenu lisible. Avant 2024, beaucoup d’acteurs hésitaient par incertitude juridique.
Concrètement : les CHU, cliniques, laboratoires et acteurs de la santé numérique déploient massivement des projets IA en 2026. Ceux qui ne le font pas perdent un avantage concurrentiel mesurable.
Le triangle conformité IA santé : HDS + RGPD + AI Act
Certification HDS — l’hébergement
Tout système d’information manipulant des données de santé à caractère personnel doit être hébergé chez un hébergeur HDS-certifié (sauf exceptions très limitées). En 2026, la certification HDS est délivrée par six organismes agréés par l’ANS, sur la base de la norme ISO/IEC 27001 enrichie d’exigences spécifiques santé.
Hébergeurs HDS principaux :
- OVHcloud (français, qualifié HDS pour Public Cloud, Hosted Private Cloud, Bare Metal)
- Outscale (français, qualifié)
- Scaleway (français, certaines offres HDS)
- AWS / Azure / Google Cloud (entités dédiées HDS, avec risque résiduel Cloud Act)
- Spécialistes santé : Dedalus, Maincare, Cegedim, Hivelocity, Equadis
Pour un projet IA santé en 2026, le choix dépend du compromis souveraineté / fonctionnalités : OVHcloud + Outscale offrent souveraineté + HDS, AWS/Azure offrent richesse fonctionnelle + risque Cloud Act résiduel.
RGPD article 9 — les données de santé
Les données de santé sont catégorisées comme données sensibles par l’article 9 du RGPD. Leur traitement est en principe interdit, sauf exceptions :
- Consentement explicite de la personne
- Soins / diagnostic / gestion des systèmes de santé
- Recherche médicale (avec encadrement renforcé)
- Intérêt public en santé publique
Pour la quasi-totalité des projets IA santé : AIPD obligatoire. Voir notre guide AIPD pour projet IA.
AI Act — risque élevé
L’AI Act (règlement UE 2024/1689) classe la majorité des systèmes IA en santé comme « à risque élevé » (annexe III, article 6). Conséquences :
- Système de gestion des risques documenté
- Documentation technique exhaustive
- Transparence vis-à-vis des utilisateurs (médecins, patients)
- Supervision humaine effective
- Robustesse, précision, cybersécurité documentées
L’articulation pratique : on rédige une AIPD étendue qui couvre RGPD + AI Act + HDS, plutôt que trois documents séparés.
Cas d’usage IA santé qui marchent en production en 2026
1. Transcription et rédaction de comptes rendus médicaux
Whisper (transcription) + Mistral / GPT-4o (rédaction structurée). Le médecin enregistre l’entretien patient, le système produit un CR formaté en quelques minutes. Gain : 20-40 % du temps de documentation.
Architecture HDS : Whisper on-premise (Mistral peut tourner localement aussi) sur cluster GPU CHU, ou via OVHcloud HDS + service Whisper dédié.
2. Recherche documentaire (RAG)
Indexer la documentation médicale interne (procédures, protocoles, base scientifique) et permettre aux soignants d’interroger en langage naturel. Voir notre guide RAG entreprise.
Architecture HDS : LLM + vectordb (Qdrant) chez un hébergeur HDS souverain.
3. Aide à la pré-analyse d’imagerie (IA médicale dédiée)
Pas un LLM générique mais des modèles IA spécialisés pour l’imagerie (radiologie, pathologie, dermatologie). Ces outils sont des Dispositifs Médicaux au sens du règlement DM 2017/745, donc certifiés CE médical en plus du HDS.
4. Automatisation administrative
Tri des courriers patients entrants, classification des demandes, extraction d’informations depuis les courriers de tiers. Voir notre guide tri automatique des mails par IA et notre guide automatisation factures par IA pour les factures de soins.
5. Aide à la décision (avec supervision)
L’IA propose des hypothèses diagnostiques, des protocoles, des interactions médicamenteuses — toujours avec validation humaine systématique. Jamais en autonomie sur des actes médicaux.
Cas à éviter en autonomie
- Diagnostic médical autonome : interdit en pratique, IA = aide au médecin, pas remplaçant
- Prescription automatique : idem
- Décision thérapeutique : idem
- Communication directe au patient sur son état sans médiation médicale
L’AI Act et le code de déontologie médicale convergent : l’IA augmente le médecin, ne le remplace pas.
Architecture-type pour un CHU ou une grosse organisation santé
Pour une organisation santé qui veut déployer plusieurs cas d’usage IA en 2026 :
Couche 1 — Infrastructure HDS : OVHcloud Hosted Private Cloud HDS, ou cloud privé interne HDS-certifié. Pour les OIV ou exigences fortes, ajouter SecNumCloud (voir notre guide SecNumCloud).
Couche 2 — Modèles IA : Mistral Large ou Mistral Small 3 déployés via vLLM sur cluster GPU HDS. Pour l’imagerie : modèles dédiés certifiés DM. Pour la transcription : Whisper Large v3 on-premise.
Couche 3 — Vectordb pour RAG : Qdrant ou pgvector self-hosted en infrastructure HDS.
Couche 4 — Orchestration : LangChain ou implémentation custom + API interne sécurisée.
Couche 5 — Interface utilisateur : intégration aux outils métier existants (dossier patient, CRM, ERP). Authentification SSO + journalisation détaillée.
Couche 6 — Gouvernance : DPO + comité IA + procédure de gestion des incidents + plan de revue annuelle.
Pour cadrer un tel projet, DPLIANCE intervient via nos solutions IA sur mesure avec respect des cadres HDS / RGPD / AI Act.
Ce qu’on refuse de promettre
Trois antiPatterns récurrents qu’on évite chez DPLIANCE quand on cadre une IA santé.
« On va déployer ChatGPT Enterprise dans notre CHU. » Faux. ChatGPT Enterprise n’est pas certifié HDS. Pour traiter des données de santé identifiantes, le déploiement on-premise sur infrastructure HDS, ou Mistral via une offre HDS partenaire (OVHcloud notamment), sont les seules options défendables. Tout autre choix expose à une sanction RGPD + Code de la santé publique cumulative.
« L’IA peut diagnostiquer, on a vu des démos. » Faux pour la pratique réelle. L’IA propose, le médecin décide. Toujours. AI Act article 14 (supervision humaine), code de déontologie médicale, jurisprudence convergent : un acte médical ne peut pas être délégué à un système automatisé. La promesse « IA qui diagnostique » est juridiquement et éthiquement non tenable en France en 2026.
« On peut sauter l’AIPD parce que c’est un POC. » Faux. L’IA santé est par défaut classée à risque élevé (AI Act article 6 + annexe III). L’AIPD est obligatoire avant la mise en œuvre, pas après. Faire un POC sans AIPD documentée, c’est s’exposer à un manquement direct article 35 RGPD + article 9 AI Act, qui se paie cher en cas de contrôle.
DPLIANCE est un éditeur de logiciels. Quand on conçoit une solution IA santé sur mesure, on s’occupe de la stack complète : choix de l’hébergeur HDS (OVHcloud, Outscale, Scaleway), architecture Mistral on-premise ou via partenariat HDS, intégration au SIH (Système d’Information Hospitalier), supervision humaine intégrée, documentation technique pour l’AIPD du DPO.
FAQ
Qu’est-ce que la certification HDS et qui la délivre ?
HDS (Hébergeur de Données de Santé) est une certification française délivrée par des organismes agréés par l’ANS (Agence du Numérique en Santé), encadrée par le Code de la santé publique. Elle est obligatoire pour tout hébergeur traitant des données de santé à caractère personnel (article L1111-8 CSP). En 2026, les principaux hébergeurs HDS sont OVHcloud, Outscale, Scaleway, Hivelocity (filiale Société Générale), AWS et Azure (avec leur entité française dédiée), Google Cloud.
Une IA médicale a-t-elle besoin d’être hébergée HDS ?
Oui, dès qu’elle traite ou produit des données de santé identifiantes. Cela inclut : un LLM qui lit des comptes rendus médicaux, une IA d’analyse d’images médicales, un assistant qui lit les dossiers patients. Le LLM, le vectordb et l’orchestration doivent tous être chez un hébergeur HDS. Voir aussi notre guide IA et RGPD.
Peut-on utiliser ChatGPT ou Mistral SaaS sur des données médicales ?
ChatGPT Enterprise n’est pas certifié HDS en 2026. Mistral Le Chat Enterprise non plus à date — vérifier les certifications à jour. Pour traiter des données de santé identifiantes, il faut soit : (1) un déploiement on-premise sur infrastructure HDS interne, (2) Mistral via une offre HDS partenaire (OVHcloud propose des partenariats), (3) un service IA dédié certifié HDS. Pas d’usage SaaS générique.
Quel est le risque de sanction pour un usage IA non conforme HDS ?
Très élevé. Les sanctions cumulent : amende RGPD (jusqu’à 4 % du CA mondial ou 20 M€), amende article L1115-1 CSP (300 000 €), perte de la certification HDS s’il y en a une, exclusion potentielle des marchés publics santé, atteinte réputationnelle majeure. Un seul incident sur des données patients peut être destructeur pour un acteur santé.
Quels cas d’usage IA fonctionnent en santé en 2026 ?
Plusieurs cas matures : transcription de consultation (Whisper local), aide à la rédaction de comptes rendus médicaux, recherche dans la documentation médicale interne (RAG), pré-analyse d’imagerie (IA spécialisée DM dispositifs médicaux), tri administratif des courriers patients, automatisation comptable des factures de soins. Cas à éviter en autonomie : diagnostic, prescription, décision thérapeutique — toujours décision humaine.
Comment articuler IA + HDS + AI Act ?
Trois cadres se cumulent en 2026 : RGPD (article 9 — données de santé sensibles), HDS (Code santé publique), AI Act (article 6 — IA classée à risque élevé pour usage médical). Une AIPD étendue couvre les trois. Le système doit être documenté techniquement (article 11 AI Act), supervisé humainement (article 14), et le hébergement HDS-certifié. Voir notre guide AIPD pour projet IA.
Faut-il du SecNumCloud en plus du HDS ?
Pas systématiquement. HDS et SecNumCloud sont deux qualifications distinctes. HDS est obligatoire pour les données de santé. SecNumCloud apporte une garantie supplémentaire de souveraineté juridique (immunité Cloud Act). Pour des établissements OIV (CHU, certains acteurs santé classés OIV) ou des données ultra-sensibles (recherche médicale stratégique), le cumul HDS + SecNumCloud devient pertinent. Voir notre guide SecNumCloud.
Sources : Code de la santé publique, articles L1111-8 et L1115-1 ; ANS, certification HDS et organismes certificateurs (esante.gouv.fr) ; Règlement (UE) 2016/679 (RGPD), notamment article 9 ; Règlement (UE) 2024/1689 (AI Act), notamment article 6 et annexe III ; CNIL, recommandations sur l’IA en santé ; règlement (UE) 2017/745 sur les Dispositifs Médicaux.
Pour cadrer un projet IA santé conforme HDS — choix d’hébergeur, architecture LLM/RAG, AIPD, AI Act — voir notre guide IA souveraine, notre guide IA et RGPD, notre guide LLM local en entreprise, ou contactez-nous via nos solutions IA sur mesure.