Normes, standards et réglementations de l’IA en santé, où en est-on sur les principaux marchés ?

Quelles sont les tendances mondiales en matière de réglementation de l’IA ? Face à l’évolution rapide des technologies de l’IA, la gouvernance dans le domaine de la santé évolue aussi, avec l’émergence de nombreuses politiques et normes ces dernières années sur les principaux marchés. Rien qu’en 2020, il existait plus de 160 ensembles de principes de gouvernance de l’IA aux niveaux organisationnel, national et international, selon le baromètre publié par l’agence mondiale HealthAI en 2024 qui présente une cartographie mise à jour des réglementations de l’IA en santé. Les normes constituent le mécanisme le plus courant pour la gouvernance de l’IA, et la plupart des institutions internationales, comme l’OMS, ont publié des recommandations, qui permettent de lister un certain nombre de critères communs, comme la transparence, notamment en matière de documentation, qui est aussi largement évoquée dans l’IA Act.

Aujourd’hui, les marchés qui dominent la course à l’IA ont tous déjà posé les bases d’une réglementation locale. Le niveau de développement de l’IA demeure toutefois hétérogène, 61% des brevets d’IA enregistrés provenant de Chine, 21% des États-Unis et seuls 2% d’Union européenne et du Royaume-Uni compris. “Si rien ne change, nous nous dirigerons vers une réalité bipolaire concernant l’IA, qui peut être le plus grand facteur de division de notre époque” a souligné Ricardo Baptista Leite, PDG de HealthAI, qui a présenté à HIMSS Europe les principaux éléments de ces réglementations sur les principaux marchés que sont les États-Unis, la Chine, l’Union européenne et le Royaume-Uni.

La frontière entre les DM et les autres IA

Ricardo Baptista Leite observe d’emblée que la “dualité de l’IA” qui s’installe entre les dispositifs médicaux et les dispositifs non médicaux intégrant de l’intelligence artificielle se reflète dans les standards appliqués. “Lorsque nous parlons de réglementation, de nombreuses technologies d’IA relèvent des DM, qui est clairement une catégorie réglementée” dit-il. A contrario, les modèles d’IA conçus à des fins générales, comme l’aide à la décision ou le traitement du langage, peuvent être appliqués dans des contextes médicaux sans être formellement classés comme dispositifs médicaux. De même, les innovations en matière d’IA utilisées pour la surveillance de la santé et les mesures préventives, ainsi que pour la promotion du bien-être du public, échappent souvent au champ d’application de la réglementation sur les dispositifs médicaux. À titre d’exemple, Ricardo Baptista Leite mentionne les outils d’aide à la découverte de médicaments, qui sont “de plus en plus utilisés, mais n’entrent pas dans la définition juridique des DM” explique-t-il.

États-Unis

Aux États-Unis, la régulation du marché de l’IA n’est pas un sujet nouveau, même si l’administration Trump a stoppé depuis quelques mois les velléités exprimées par son prédécesseur à la Maison Blanche d’augmenter davantage les efforts de régulation.

Depuis 2019, la FDA a publié des documents de discussion, des plans d’action et des principes directeurs, énonçant des considérations réglementaires pour les SaMD (logiciels en tant que dispositifs médicaux) basés sur l’IA/ML. Dix principes directeurs pour les bonnes pratiques d’apprentissage automatique dans le développement de dispositifs médicaux ont notamment été publiés conjointement avec Health Canada et l’Agence de réglementation des médicaments et des produits de santé (MHRA) du Royaume-Uni en 2021.

La FDA a harmonisé son cadre réglementaire pour les SaMD avec les directives du Forum international des régulateurs des dispositifs médicaux (International Medical Device Regulators Forum, IMDRF), tout en tenant compte de la législation et du contexte américains. 

Le décret présidentiel sur une IA sûre, sécurisée et digne de confiance (qui met l’accent sur la création de nouvelles normes de sécurité pour l’IA) a été abrogé par Donald Trump le 20 janvier 2025. Actuellement, aucune autre législation plus large sur l’IA n’est en vigueur et ne s’applique au secteur de la santé. “Pour l’instant, la FDA a pérennisé son cadre réglementaire. Elle a déjà approuvé environ 1000 outils, mais nombre d’entre eux sont en fait des réévaluations” constate Ricardo Baptista Leite.

Union européenne

Pour établir des règles communes pour une concurrence équitable au sein du marché européen, l’Europe s’est engagée sur la voie de la régulation, avec une prolifération de textes qui s’entrecroisent. Le 1er août 2024, le règlement sur l’intelligence artificielle (RIA) est entré en vigueur, visant à encadrer le développement et le déploiement des systèmes d’IA sur le marché européen. Complémentaire du règlement MDR, qui s’adresse aux DM dans leur ensemble, y compris l’IA/ML-SaMD, l’IA Act cible spécifiquement le composant IA de ces dispositifs.

Les deux textes adoptent une approche fondée sur les risques, mais appliquent des critères de classification différents. Pour rappel :

• Le règlement MDR utilise des critères médicaux spécifiques basés sur l’utilisation prévue et le risque potentiel de préjudice pour les utilisateurs, tandis que la loi sur l’IA utilise des critères plus larges qui prennent en compte l’impact des systèmes d’IA sur les droits fondamentaux et la sécurité.
• Les IA/ML-SaMD qui relèvent des classes de risque IIa, IIb ou III selon le règlement MDR sont automatiquement classées comme systèmes d’IA à haut risque selon la loi sur l’IA.

“Si le MDR porte davantage sur la surveillance post-commercialisation, la question éthique et l’approche d’une IA responsable sont plutôt abordées dans l’AI Act”, commente Ricardo Baptista Leite. Aujourd’hui, précise-t-il, “la plupart des pays sont encore assez en retard sur l’adaptation de ces règles au secteur de la santé”. 

Il existe des chevauchements entre les deux législations dans des domaines tels que la gestion des risques, la documentation technique et la surveillance post-commercialisation. Cependant, l’évaluation clinique est obligatoire en vertu du règlement MDR, tandis que l’AI Act impose des exigences supplémentaires en matière de gouvernance des données, de supervision humaine, de transparence, d’exactitude, de robustesse et de cybersécurité.

Royaume-Uni

Sous l’égide du MHRA, le “Programme de changement des logiciels et de l’IA en tant que dispositif médical” a été créé en 2021. Il reflète l’effort de la MHRA pour adapter son cadre réglementaire aux défis présentés par les SaMD et l’IA en tant que DM (AIaMD). En outre, le Regulatory Horizons Council du Royaume-Uni, qui fournit des conseils d’expert au gouvernement britannique sur l’innovation technologique, a publié “La réglementation de l’IA en tant que dispositif médical” en novembre 2022, qui complète le programme de la MHRA.

Dans le cadre d’une réforme de la réglementation relative aux DM, la MHRA a également lancé en mai 2024 un bac à sable réglementaire pilote (AI-Airlock for AlaMD).

En juillet 2024, le gouvernement britannique dirigé par le Premier ministre Keir Starmer a présenté des plans de réglementation de l’IA, déclarant que le gouvernement “cherchera à établir la législation appropriée pour imposer des exigences à ceux qui travaillent au développement des modèles d’IA les plus puissants”. Selon HealthAI, cette nouvelle direction s’écarte potentiellement de “l’approche agile et non contraignante précédente”.

Chine

En Chine aussi, le dynamisme sur les brevets s’accompagne d’une évolution réglementaire “rapide”, note Ricardo Baptista Leite. Le Centre d’évaluation des dispositifs médicaux (CMDE) de l’Administration nationale des produits médicaux (NMPA) est chargé de réglementer et d’enregistrer tous les DM entrant sur le marché chinois. L’accent est mis sur la gestion des normes, les processus d’assurance qualité et la gestion de risques post-commercialisation. Dans le domaine de l’IA, le CMDE a publié plusieurs directives réglementaires. En 2019, notamment, il a publié un rapport sur les “Éléments pour l’examen des logiciels d’aide à la décision assistée par apprentissage profond pour les DM”. En 2021, le CMDE a également publié les “Principes directeurs pour la définition de la classification des logiciels médicaux d’IA”, visant à orienter les stratégies de classification et de contrôle qualité des DM d’IA en fonction de leur utilisation clinique prévue, du type de données traitées, de ses principales caractéristiques et des risques potentiels pour les patients.

En termes de législation horizontale sur l’IA, applicable au secteur de la santé, l’Administration du cyberespace de Chine, ainsi que six autres régulateurs chinois, ont publié conjointement les “Mesures provisoires pour la gestion des services d’IA générative” en 2023. Enfin, toujours en 2023, le gouvernement chinois a lancé l’Initiative mondiale pour la gouvernance de l’IA, dans laquelle il appelle les pays du monde entier à collaborer sur la gouvernance de l’IA par le biais d’échanges de connaissances et de coopération technique.

Quels défis attendent ces régulations ?

“Nous entendons souvent dire que la régulation freine l’innovation. Si nous voulons développer la technologie à grande échelle, nous devons trouver un moyen de l’évaluer et de la rembourser. Nous manquons encore de confiance fondamentale dans la technologie pour adopter les outils d’IA au-delà des cas d’usage pilotes” indique Ricardo Baptista Leite.

Les défis identifiés sont de plusieurs natures : 

• Fragmentation mondiale : gérer les exigences différenciées selon les pays, les processus d’approbation et les délais variables ;
• évolution rapide de l’IA : créer les nouvelles réglementations et normes en réponse aux nouvelles technologies ;
• Préoccupations liées aux données : sécurité et confidentialité des données, fonctionnement interne opaque des méthodes d’IA ;
• Surveillance post-commercialisation : surveiller la sécurité et l’efficacité des dispositifs, gérer l’apprentissage adaptatif qui intègre davantage de données ;
• évaluation des technologies de la santé : modèles de tarification et de remboursements non définis.