Patrick Méchain (HAS) : “La certification joue un rôle de levier et non de sanction, visant à améliorer les pratiques au sein des établissements de santé”

Quels sont les premiers résultats des audits de certification réalisés en 2025 ? 

Patrick Méchain : Nous sommes en train de clôturer les résultats de la certification pour l’année en cours, marquant ainsi la fin du cinquième cycle de certification. Les visites liées à ce cycle se sont terminées le 12 juillet. Depuis le 1er septembre, nous avons entamé le 6e cycle. Nous n’avons pas encore toutes les décisions du 5e cycle de certification. Les délibérations des commissions de certification concernant les derniers établissements visités en mai, juin et juillet sont en cours. Les dernières décisions de certification pour ce 5e cycle seront rendues en décembre (cf. encadré). Les critères numériques ont été introduits dans la certification du 5e cycle à partir du 1er janvier 2024. Par conséquent, tous les établissements relevant de ce cycle ne sont pas concernés par ces nouveaux critères numériques. Nous avons constaté que les établissements visités entre le 1er janvier 2024 et le 12 juillet 2025 se sont déjà saisis de ce sujet.

Qu’est-ce qui a motivé l’intégration des critères numériques dans le référentiel de certification ? 

P. M. : Auparavant, les ingénieurs des systèmes d’information étaient isolés dans leurs activités, leurs alertes n’étant pas toujours prises en compte, faute de critères établis. L’introduction de ces critères dans la certification a donc permis de mobiliser les gouvernances sur ce sujet. Parallèlement, les cyberattaques ont également touché les établissements de santé, avec des piratages paralysant l’ensemble de leurs activités. Nous avions d’ailleurs demandé au  centre hospitalier de Versailles de témoigner de leur expérience sur leur cyberattaque qui avait paralysé l’ensemble de leurs activités.

Ces témoignages et ces expériences vécues par nos collègues ont permis une meilleure prise en compte de cette problématique. Par conséquent, à partir de janvier 2024, nous avons commencé à auditer des établissements de santé pour évaluer leur gestion du risque numérique dans leurs activités. Pour ce faire, nous avons recruté des experts visiteurs spécialisés dans le numérique, dont le profil a été élaboré en collaboration avec la Délégation du numérique en santé (DNS). Les critères ont également été élaborés en partenariat avec la DNS et la mission numérique en santé de la HAS, notamment avec Corinne Collignon et son équipe. Les experts visiteurs ont été recrutés sur des profils non pas d’auditeurs de sécurité, mais de professionnels intéressés par la manière dont les établissements s’organisent pour gérer ce sujet. Il est important de souligner que nous ne réalisons pas d’audits de sécurité des systèmes d’information à proprement parler.

Quel est le bilan de vos premières démarches ?

P. M. : Cette démarche a permis une forte sensibilisation. Nous avons interrogé des établissements sur leur préparation face à une cyberattaque, notamment la protection de leur système d’information. Les résultats sont très contrastés d’un établissement à l’autre. Ces différences observées sont souvent attribuables à la taille des établissements. Les établissements qui font partie de groupes très structurés, par exemple les cliniques privées, affichent généralement une meilleure préparation que les cliniques isolées, qui manquent fréquemment de ressources.

Nous avons également évalué la sensibilisation des équipes et des professionnels aux risques d’intrusion et d’attaque. Cela inclut la gestion des mots de passe, des e-mails et, plus globalement, l’hygiène informatique quotidienne, essentielle pour sécuriser l’exercice professionnel. Certains établissements rencontraient des difficultés pour être aux attendus du référentiel de certification, notamment en ce qui concerne la gestion des mots de passe et la mise en place de plans de continuité ou de reprise des activités en cas d’attaque, des éléments pourtant importants. 

À la suite de ces premières observations, pourquoi avez-vous décidé d’intensifier votre contrôle sur les outils d’IA et les DMN à usage professionnel ? 

P. M. : Ces observations ont formé le point de départ de nos travaux. L’enjeu étant que les outils numériques évoluent vite et l’intelligence artificielle arrive à grand pas dans ces outils, ce qui nous a conduits à renforcer nos exigences. Ces enjeux sont bien entendu aussi portés par le programme CaRE. Pour la certification des établissements de santé, il fallait aussi que l’on puisse en même temps faire en sorte que les établissements de santé se saisissent de ces thématiques là, notamment car le risque évolue et grandit. C’est pourquoi nous avons demandé aux établissements de santé de cartographier leurs dispositifs médicaux numériques, qu’ils utilisent ou non l’intelligence artificielle. L’objectif de cette certification est d’encourager les établissements à faire preuve d’une vigilance accrue sur cette thématique.

En définitive, il s’agit aussi d’un rappel des obligations de NIS 2 concernant la cartographie du périmètre de sécurité des DSI hospitaliers…

P. M. : Tout à fait. L’autre aspect essentiel de la certification concerne la reconnaissance que les établissements de santé ne sont pas des entités isolées. Ils opèrent au sein d’un écosystème territorial et collaborent avec d’autres acteurs de la santé. Il est souvent bénéfique d’agir collectivement pour mettre en place des dispositifs et des organisations, par exemple, pour éviter les passages inutiles des personnes âgées aux urgences. Nous privilégions l’utilisation de la télésanté dans le cadre de la certification, nous allons promouvoir ces outils auprès des professionnels pour les usagers.

Comment avez-vous travaillé pour fixer les critères d’évaluation de la prise en compte des risques liés au numérique et à l’IA au sein des établissements ?

P. M. : Ces critères ont été développés en collaboration avec l’équipe de Corinne Collignon et la DNS, qui répondent à des attentes communes. L’objectif est de vérifier l’organisation des établissements. Les critères d’évaluation portent sur la manière dont l’établissement est structuré. 

Corinne Collignon : Le point de départ est l’existence d’une cartographie. Il est essentiel qu’un établissement identifie tous ses outils d’IA, qu’il s’agisse de dispositifs médicaux intégrant l’IA ou de technologies non médicales embarquant également de l’IA. Les critères couvrent ces deux catégories. La première étape consiste à déterminer si l’établissement dispose ou met en place une cartographie afin d’éviter le phénomène de “Shadow IT”, très préoccupant pour les établissements, notamment en termes de sécurité. Ensuite, il s’agit de s’assurer que les établissements se structurent pour se mettre en conformité. C’est dans cette optique que nous avons proposé d’intégrer des critères sur l’IA dans la certification, en préparation de l’introduction de la réglementation européenne. L’objectif n’est pas de créer une surréglementation nationale, mais plutôt de préparer les établissements à la réglementation progressive qui s’imposera au fil des mois. En effet, l’IA Act, qui vise les établissements de santé en tant que “déployeurs”, prévoit des mesures qui se déploient jusqu’en 2027 et dont certaines sont entrées en application dès cet été. Au-delà des aspects de sécurité numérique, il y a également un volet lié à la qualité des soins, à la conformité et à la transformation des organisations par l’IA. Pour cela, la première étape est de comprendre ce qu’est l’IA et comment elle est utilisée au sein des établissements, puis de former les professionnels et d’accompagner les usages. 

Que se passe-t-il après qu’un établissement a reçu sa certification et que l’avis a été rendu ? Si un établissement n’est pas jugé au niveau ou est insuffisamment mature en matière d’IA et de numérique, comment est-il accompagné ?

P. M. : Lorsqu’une décision de certification est prise, un établissement est soit certifié, soit il ne l’est pas (avec quelques nuances). Si un établissement n’est pas certifié et que les sujets identifiés concernent le numérique (ce qui est rarement le seul facteur), il peut collaborer avec son agence régionale de santé. Dans ce cas, le GRADeS, une structure régionale d’appui, l’accompagne spécifiquement sur les aspects numériques. Par ailleurs, des échanges annuels sont organisés avec la DNS et l’ANS (Agence du Numérique en Santé, ndlr) pour évaluer la performance des établissements de santé par rapport à la certification et au suivi du Ségur numérique.

La certification joue un rôle de levier et non de sanction, visant à améliorer les pratiques au sein des établissements de santé. Cette démarche s’applique aussi bien aux enjeux numériques qu’aux aspects cliniques. Notre objectif est d’aider les établissements à appréhender ces défis. Un accompagnement, notamment par les GRADeS, est essentiel pour les soutenir dans cette démarche. D’ailleurs, certains experts visiteurs ont été recrutés dans les GRADeS.

C. C. : Au-delà de la certification, notre objectif est d’accompagner les établissements à se conformer aux critères établis. À cette fin, nous avons entrepris, en partenariat avec la Cnil, l’élaboration de recommandations de bonnes pratiques, visant à clarifier le cadre légal et réglementaire des obligations relatives à l’utilisation de l’IA dans la pratique médicale. À partir de ce point sur les aspects légaux et réglementaires, nous fournirons des recommandations modulables aux divers contextes d’exercice. L’enjeu est de favoriser et de sécuriser l’usage de l’IA, sans pour autant freiner son intégration dans les établissements. L’IA représente en effet un levier important pour améliorer la qualité, la pertinence et la performance des soins, et notre rôle est d’accompagner son déploiement. De nombreuses questions pratiques découlent de cette réglementation. C’est sur ces différents points que nous allons nous concentrer. Idéalement, nous aurions souhaité publier ces recommandations dès l’entrée en vigueur du référentiel [à savoir début septembre, ndlr]. Cependant, cela prend un peu plus de temps, et il est crucial de bien faire les choses, car les thématiques sont importantes. Nous aborderons notamment les questions relatives à la contractualisation, l’acquisition d’une technologie, ainsi que le contrôle de ses performances sur le long terme. Comment concrètement mettre en œuvre le contrôle humain dans différents contextes d’utilisation, en tenant compte des divers objectifs d’utilisation des systèmes d’information automatisés (SIA) ? Cela soulève des questions concernant l’information et la traçabilité d’utilisation, ainsi que la maintenance et la gestion de la qualité.

Nous travaillons activement avec nos collègues de la Cnil pour publier dans les prochains mois ces recommandations visant à faciliter la mise en pratique des critères de certification. Nous avons déjà établi des critères pour donner la voie aux acteurs, et nous développons en parallèle ces recommandations pour les aider à se conformer aux exigences réglementaires. Nous collaborons avec de nombreuses parties prenantes dans le cadre de nos travaux, notamment des acheteurs publics tels que le Resah ou UniHA. Nous interagissons régulièrement avec eux sur différents projets, notamment pour l’élaboration de nouveaux cadres d’évaluation et pour guider les choix des professionnels des établissements.

Quand devraient tomber les premières évaluations pour le 6e cycle ?

P. M. : Les visites ont commencé le 1er septembre dans le cadre du 6e cycle. Les premières décisions devraient être prises en janvier. Dans les 15 jours suivant la visite, l’établissement reçoit le rapport, il dispose d’un mois pour formuler ses observations. Ensuite, un délai d’analyse et de présentation à la commission de certification est nécessaire. Ce processus prend généralement entre trois et quatre mois.

Quels dispositifs et usages sont devenus essentiels dans les établissements aujourd’hui ? Je pense notamment à la synthèse vocale et à l’IA ambiante.

C. C. : L’IA offre un levier considérable, notamment pour sécuriser le circuit du médicament dans certains établissements. Je pense que dans les années à venir nous allons assister à l’émergence de “pépites technologiques” qui optimiseront ce circuit. C’est un sujet auquel nous sommes très attentifs. Pour l’heure, notre référentiel intègre des éléments d’évaluation par petites touches, mais la sécurisation du circuit du médicament est une préoccupation grandissante pour les établissements, et des outils d’IA commencent à apparaître dans ce domaine. Bien que l’évaluation de ces outils ne relève pas directement de notre périmètre, nous nous efforçons de construire un cadre d’aide au choix pour révéler le plus rapidement possible la valeur des technologies utiles. Dans ce cadre, nous élaborons actuellement un guide d’analyse financière. L’objectif est de généraliser ce type d’approche afin de faciliter les choix des établissements, d’éclairer leurs démarches et d’optimiser leurs stratégies en fonction de leurs besoins spécifiques. 

Quel est le cap à donner sur l’évaluation de ces dispositifs innovants ?

P. M. : L’évaluation des nombreux logiciels disponibles aujourd’hui est un enjeu majeur. Des études ont prouvé que l’intelligence artificielle, notamment en imagerie, permet d’éviter des erreurs de diagnostic, constituant ainsi une avancée significative. Cependant, il est essentiel de maintenir un contrôle sur ces outils. L’intelligence artificielle représente une source potentielle de progrès, mais il est impératif d’exercer un contrôle rigoureux sur son déploiement. Nous ne devons pas laisser proliférer les outils numériques basés sur l’IA sans un niveau de maîtrise suffisant pour sécuriser leur utilisation. Une vigilance constante et une démarche de contrôle sont donc essentielles face à ces nouvelles technologies.

À ce jour, il n’existe pas d’outils d’IA 100 % fiables. L’objectif serait de fiabiliser et de sécuriser davantage les actes d’imagerie et la prise en charge médicamenteuse. Parallèlement, il est crucial de sécuriser les usages, de former les professionnels et de s’assurer que ces pratiques soient bien intégrées dans un avenir proche, compte tenu de la rapidité de leur déploiement.

C.C. : L’enjeu est de trouver le bon outil pour le bon usage, avec la bonne organisation. C’est tout cela qu’il nous faut accompagner. Certaines technologies peuvent être un vrai levier, il faut accompagner leur introduction dans des usages et des parcours de soins. C’est cela que l’on essaie de construire. 

Comment lutter contre le Shadow IT et freiner ces usages informatiques “dans l’ombre” au sein des établissements et pousser les gouvernances à déployer une stratégie d’IA globale ?

P.M. : Nous avons introduit un critère dans le processus de certification exigeant que les établissements cartographient les nouveaux systèmes utilisant l’intelligence artificielle, car c’est un enjeu crucial. Cependant, pour la période allant jusqu’en 2027, cette démarche ne sera pas sanctionnée. L’objectif est d’encourager les gouvernances à prendre en main ce sujet et à définir une stratégie ou une politique claire en la matière au niveau institutionnel. Il est impératif de maîtriser ces risques, car des logiciels peuvent être déployés dans divers services (bloc opératoire, imagerie, médecine, etc.) sans que leur présence ne soit connue, cela peut être un problème institutionnel qui engendre des risques. Il faut que l’on soit absolument en maîtrise de l’ensemble de ces risques.

Cette cartographie ne risque-t-elle pas de figer les cas d’usage, ce qui pourrait freiner l’innovation et l’exploration de nouveaux PoC ?  

P.M. : Pour contrer ce risque, une mise à jour annuelle de la cartographie est demandée. L’objectif n’est pas de freiner l’utilisation de ces outils, mais plutôt d’en assurer le contrôle et la transparence. Une approche transparente dans leur utilisation permet de mieux les appréhender, de gérer les risques associés et d’éviter les mésusages. Il est essentiel de définir des usages appropriés pour ces outils, en écartant les applications pour lesquelles ils ne sont pas adaptés. Ces cartographies appartiendront à l’établissement de santé, car il n’est pas prévu pour l’instant de les partager plus largement. Cependant, lors des visites de certification, ces documents seront mis à la disposition des experts visiteurs.