IA Act et santé en Suisse : ce règlement européen va-t-il vraiment changer la médecine helvétique ?
On franchit un tournant majeur en 2026 en matière de réglementation de l'IA dans le secteur médical. L'IA Act européen (Règlement UE 2024/1689) — officiellement en vigueur depuis le 1er août 2024 et dont l'application se déploie progressivement jusqu'en 2026 — est en train de redéfinir en profondeur ce que signifie développer ou utiliser de l'intelligence artificielle dans un contexte médical. La Suisse, qui n'est pourtant pas membre de l'UE, ne peut pas se permettre de regarder tout ça de loin : ses hôpitaux, ses entreprises medtech et ses éditeurs de logiciels médicaux sont imbriqués dans un tissu de partenariats européens, de flux de données transfrontaliers et de dispositifs marqués CE. Autrement dit, la vraie question n'est plus de savoir si l'IA Act va affecter la médecine suisse — elle le fera, c'est acquis — mais comment et à quel rythme cela va se concrétiser.
Dans cet article, on décortique les obligations réelles que ce règlement impose, ce que cela change pour les établissements de soins suisses, les bénéfices potentiels pour les patients — et les nombreuses zones grises qui demeurent. Que vous soyez directeur d'hôpital, médecin, infirmier, développeur ou simplement patient curieux de savoir comment l'IA va continuer à s'inviter dans votre prise en charge, ce texte vous concerne directement.
L'IA Act en quelques mots — et pourquoi la santé est en première ligne
Premier grand cadre législatif mondial dédié à l'intelligence artificielle, l'IA Act a été adopté par le Parlement européen le 13 mars 2024, au terme de trois années de négociations souvent tendues. Son principe structurant ? Une classification par niveaux de risque : risque inacceptable (interdit purement et simplement), haut risque (très encadré), risque limité (quelques obligations de transparence) et risque minimal (globalement libre). Et devinez quel secteur concentre la majorité des applications classées « haut risque » dans l'Annexe III du texte ? La santé, évidemment.
Parmi les systèmes d'IA médicaux explicitement désignés comme relevant du régime haut risque, on trouve notamment :
- Les outils d'aide au diagnostic en radiologie, pathologie ou cardiologie
- Les systèmes de triage et de priorisation des patients aux urgences
- Les logiciels de surveillance continue des constantes vitales
- Les moteurs de recommandation thérapeutique automatisée
- Les dispositifs médicaux intégrant de l'IA (combinaison du Règlement MDR 2017/745 et de l'IA Act)
Concrètement : un algorithme qui analyse un scanner thoracique pour repérer un nodule suspect, ou qui aide un anesthésiste à calibrer une dose de médicament, tombe automatiquement sous le régime le plus strict du règlement. Transparence totale sur les données d'entraînement, audits réguliers, supervision humaine obligatoire, et enregistrement dans la base de données européenne de l'EU AI Office à partir d'août 2026 — voilà le programme.
Pour aller plus loin sur les dimensions éthiques de l'IA dans les milieux médicaux, notamment en contexte de formation, je vous invite à lire notre analyse sur l'IA générative dans la formation des professionnels de santé : opportunités et limites éthiques.
La Suisse et l'IA Act : une contrainte de fait, même sans adhésion formelle
Techniquement, la Suisse n'est pas soumise à l'IA Act comme l'est un État membre. Mais en pratique ? Son exposition est massive, et ce pour au moins trois raisons concrètes.
L'effet extraterritorial : ce que beaucoup oublient
Dès lors qu'un système d'IA est mis sur le marché européen ou utilisé dans l'UE, le règlement s'applique — peu importe où se trouve le fournisseur. Une startup zurichoise qui commercialise un outil de détection de mélanome en Allemagne ou en Italie doit s'y conformer intégralement. Or, selon les données de Swiss Medtech 2024, plus de 60 % des exportations medtech suisses sont destinées à l'espace européen. Difficile, dans ces conditions, de traiter l'IA Act comme un problème d'Européens.
Le rapprochement bilatéral, accélérateur silencieux
Dans le cadre des négociations Bilatérales III entre la Suisse et l'UE — dont les grandes lignes ont été précisées fin 2024 — la Confédération s'est engagée à maintenir une équivalence réglementaire dans plusieurs domaines techniques, dont celui des dispositifs médicaux. L'Office fédéral de la santé publique (OFSP) a mis sur pied en janvier 2025 un groupe de travail interministériel chargé d'évaluer les ajustements nécessaires du droit helvétique, avec un rapport attendu pour le troisième trimestre 2026. Le train est lancé.
Ce que le droit suisse prévoit déjà
La Suisse n'arrive pas les mains vides : la Loi sur les produits thérapeutiques (LPTh), l'Ordonnance sur les dispositifs médicaux (ODim, RS 812.213) — qui s'aligne déjà sur le MDR européen — et la nLPD (nouvelle Loi sur la protection des données, en vigueur depuis septembre 2023) constituent un socle existant. En mars 2025, Swissmedic a publié une guidance préliminaire sur les logiciels à fonction médicale (SaMD) intégrant de l'IA, insistant sur la nécessité d'une classification de risque cohérente avec les principes de l'IA Act. Ce texte n'a pas encore force obligatoire — mais il dit clairement dans quelle direction on va.
Ce que l'IA Act impose concrètement aux établissements de santé suisses
Pour les hôpitaux et cliniques suisses qui utilisent des systèmes d'IA haut risque — qu'ils les aient achetés à un fournisseur ou développés en interne — le règlement introduit des obligations très pratiques qu'il vaut la peine de détailler.
La supervision humaine : pierre angulaire du règlement
L'article 14 de l'IA Act est sans ambiguïté : tout système d'IA à haut risque doit être conçu et déployé de façon à permettre une supervision humaine effective. Dans un contexte médical, ça signifie qu'un médecin ou un professionnel qualifié doit être capable de comprendre les limites du système, de contredire ses recommandations si nécessaire, et de le mettre hors ligne en cas de dysfonctionnement. Cette exigence fait directement écho à la problématique des erreurs algorithmiques et des hallucinations de l'IA médicale, un phénomène de mieux en mieux documenté et qui justifie précisément ce type de garde-fou.
Documentation et transparence : le devoir de traçabilité
Les fournisseurs de systèmes haut risque sont tenus de produire une documentation technique complète comprenant :
- Une description précise du système et de son architecture technique
- Les données d'entraînement, de validation et de test utilisées
- Les indicateurs de performance mesurés (sensibilité, spécificité, valeur prédictive positive)
- Les procédures de surveillance après déploiement
- Des journaux d'activité (logs) conservés au minimum pendant six mois
Pour un hôpital universitaire suisse qui s'appuie sur un outil d'IA en radiologie, cela implique de vérifier que les contrats conclus avec les fournisseurs prévoient l'accès effectif à cette documentation — et probablement de renégocier certains d'entre eux. Notre dossier sur l'IA en radiologie et son impact sur le diagnostic médical en Suisse montre à quel point ces outils sont déjà profondément enracinés dans le quotidien des radiologues.
Les biais algorithmiques : une obligation, pas une option
L'IA Act exige explicitement que les jeux de données servant à entraîner les systèmes haut risque soient « suffisamment représentatifs » et exempts de biais susceptibles d'engendrer des discriminations. C'est une réponse directe à de nombreuses études montrant que certains algorithmes médicaux produisent des résultats différents selon le sexe, l'origine ethnique ou l'âge des patients. Cette question est analysée en détail dans notre article sur les biais algorithmiques en IA médicale et la reproduction des inégalités. Les établissements suisses devront auditer les systèmes qu'ils utilisent — au risque sinon de se retrouver eux-mêmes impliqués dans une discrimination systémique, fût-elle involontaire.
Cybersécurité : désormais une exigence réglementaire à part entière
L'article 15 du règlement impose que les systèmes à haut risque soient résistants aux manipulations des données d'entrée (ce qu'on appelle les adversarial attacks) et aux cyberattaques. Cette disposition rejoint directement les problématiques de cybersécurité des données de santé et des objets connectés ainsi que la protection des dispositifs médicaux connectés. En Suisse, où le secteur de la santé a subi plusieurs incidents de ransomware particulièrement sévères ces dernières années — dont l'attaque contre le CHUV en 2023 — cette exigence tombe loin d'être anodine. À lire aussi : comment les cliniques peuvent se prémunir contre les ransomwares.
Avant et après l'IA Act : ce qui change pour la santé suisse
| Domaine | Situation en 2024 (avant l'IA Act) | Horizon 2026–2027 (après l'IA Act) |
|---|---|---|
| Audit des algorithmes | Recommandé, sans caractère obligatoire | Obligatoire pour les systèmes classés haut risque |
| Documentation technique | Variable d'un fournisseur à l'autre | Standardisée et communicable aux autorités |
| Supervision humaine | Fonction des protocoles internes de chaque établissement | Exigence légale explicite dans le règlement |
| Gestion des biais | Bonne pratique, sans force contraignante | Obligation avec preuves documentées à l'appui |
| Cybersécurité de l'IA | Partiellement couvert par RGPD et nLPD | Exigences propres à l'IA Act, cumulées au RGPD |
| Enregistrement officiel | Non requis pour les logiciels SaMD | Inscription obligatoire dans la base EU AI Office |
| Sanctions encourues | Limitées au droit des dispositifs médicaux | Jusqu'à 30 M€ ou 6 % du chiffre d'affaires mondial |
L'IA Act, levier de confiance pour les patients — une opportunité à ne pas rater
Au-delà des contraintes — et il y en a, soyons honnêtes — cette vague réglementaire offre une vraie chance de reconstruire la confiance des patients vis-à-vis des outils numériques médicaux. Une confiance qui reste pour l'heure particulièrement fragile : selon le Baromètre santé numérique PubliForumSuisse 2025, seulement 38 % des Suisses déclarent faire confiance aux diagnostics assistés par IA. C'est peu.
Un cadre clair peut paradoxalement accélérer l'adoption
C'est contre-intuitif, mais c'est réel : une réglementation bien construite peut débloquer des situations figées. Les établissements qui peinent à convaincre leurs comités d'éthique — ou leurs patients — d'adopter tel ou tel outil d'IA disposeront désormais d'un repère objectif. Un système conforme à l'IA Act a passé des validations rigoureuses. C'est un argument solide. Cela vaut particulièrement pour des domaines sensibles comme l'IA appliquée à la santé mentale et aux thérapies numériques ou les chatbots thérapeutiques, où la question de la fiabilité est au cœur de toutes les inquiétudes.
Les jumeaux numériques : un cas emblématique sous haute surveillance
Parmi les applications les plus prometteuses — et les plus directement concernées par le règlement — on trouve les jumeaux numériques en santé. Ces répliques virtuelles d'organes ou de patients complets, qui permettent de simuler l'effet d'un traitement avant de l'administrer, combinent des données hautement sensibles, des modèles prédictifs complexes et une capacité d'influence directe sur les décisions thérapeutiques. Ils cochent quasiment toutes les cases de la définition « haut risque ». Leur développement en Suisse — notamment à l'EPFL et au CHUV — devra intégrer les exigences du règlement dès les premières phases de conception (privacy by design, auditabilité native). Pas question de remettre ça à plus tard.
Les deepfakes médicaux dans le collimateur du règlement
L'IA Act interdit explicitement les pratiques trompeuses via des systèmes d'IA — ce qui inclut directement le problème des deepfakes médicaux. Fausses ordonnances, faux résultats d'analyses, images médicales falsifiées… ces contenus représentent une menace sérieuse et grandissante pour la sécurité des patients. Le règlement contraint les fournisseurs de systèmes génératifs à marquer clairement les contenus synthétiques — une disposition qui pourrait substantiellement réduire ce risque encore trop peu médiatisé.
Les zones d'ombre qui inquiètent l'écosystème médical suisse
Malgré ses ambitions affichées, l'IA Act laisse plusieurs questions importantes sans réponse satisfaisante — et elles concernent directement les acteurs suisses.
Le flou juridique pour les entreprises hors UE
L'effet extraterritorial du règlement est reconnu en principe. Mais son application concrète aux sociétés suisses sans établissement dans l'Union reste nébuleuse. L'EU AI Office — créé en février 2024 au sein de la Commission européenne — n'a toujours pas publié de guidance spécifique pour les pays tiers. Pour les PME suisses de la medtech, nombreuses dans le tissu économique romand comme alémanique, cette incertitude juridique a un effet très concret : elle freine les investissements.
Le coût de la mise en conformité : un frein pour l'innovation ?
Une étude Deloitte publiée en novembre 2024 estimait le coût moyen de conformité d'un système d'IA haut risque entre 290 000 et 400 000 euros pour une PME — en comptant les audits tiers, la documentation technique et les ajustements nécessaires. Pour une startup HealthTech suisse encore en phase d'amorçage, c'est une barrière à l'entrée qui peut s'avérer rédhibitoire. L'IA Act prévoit certes des procédures allégées pour les PME et startups (article 55), mais leur mise en œuvre pratique reste à définir.
Le déficit de formation : un angle mort préoccupant
L'IA Act exige que les opérateurs de systèmes haut risque disposent d'une « compétence suffisante ». Problème : la formation des professionnels de santé suisses à l'évaluation critique des outils d'IA est encore largement embryonnaire. Une enquête conduite par la FMH (Fédération des médecins suisses) en 2025 révélait que moins de 12 % des médecins en exercice avaient suivi une formation formelle sur le sujet. Ce gap devra impérativement être comblé — et rapidement — pour espérer répondre aux exigences du règlement.
Les grands modèles de langage en santé : un angle mort réglementaire ?
L'IA Act prévoit un régime distinct pour les modèles d'IA à usage général (GPAI) — ces grands modèles de langage utilisés dans des applications médicales comme les chatbots de triage ou les assistants de documentation clinique. Les plus puissants d'entre eux (dépassant 10²⁵ FLOPs d'entraînement) sont soumis à des évaluations de risques systémiques. Cela concerne directement des outils déjà en service dans certains hôpitaux suisses, comme les assistants de rédaction clinique basés sur GPT-4 ou Mistral.
Ce que chaque acteur devrait faire dès maintenant
Face à un paysage réglementaire qui évolue à toute allure, voici les actions prioritaires pour les différents acteurs de l'écosystème santé suisse :
- Hôpitaux et cliniques : dresser un inventaire exhaustif des systèmes d'IA en usage et les classer selon la grille de risque de l'IA Act — l'idéal serait d'y être avant fin 2026.
- Responsables SI et DSI : intégrer les exigences de cybersécurité spécifiques à l'IA Act dans les politiques de sécurité informatique en place, en cohérence avec la nLPD.
- Médecins et soignants : se former à l'évaluation critique des recommandations algorithmiques, et documenter systématiquement les situations où la supervision humaine conduit à s'écarter du système.
- Startups et éditeurs medtech : adopter une logique de « conformité by design » dès la conception — rétrofit sur un produit existant, ça coûte toujours plus cher.
- Directions juridiques et compliance : suivre de près les travaux de l'EU AI Office et de Swissmedic pour anticiper les évolutions du droit suisse, notamment les modifications attendues de l'ODim.
Ce que tout cela signifie vraiment pour la médecine suisse
La réglementation de l'IA en santé incarnée par l'IA Act n'est pas un texte bruxellois qu'on pourrait commodément ignorer depuis Berne ou Zurich. C'est en train de devenir le standard mondial de référence pour une médecine de précision exercée de façon responsable. Les établissements qui s'y adaptent en avance de phase auront un avantage compétitif réel sur les marchés européens, une meilleure couverture juridique — et, ce qui compte sans doute le plus, une relation de confiance plus solide avec leurs patients.
L'enjeu n'est pas de mettre un frein à l'innovation. L'IA va continuer à transformer le diagnostic, la chirurgie robotique, la pharmacogénomique et la prévention à une vitesse que peu d'entre nous anticipent vraiment. L'enjeu, c'est de s'assurer que cette transformation se fasse avec les patients — dans la transparence et la sécurité — et non sur eux, dans l'opacité algorithmique la plus totale.
Vous êtes professionnel de santé, responsable informatique d'un établissement hospitalier ou développeur medtech, et vous vous demandez comment l'IA Act s'applique concrètement à votre situation ? L'équipe de CyberClinique est là pour vous accompagner dans cette démarche. Contactez nos experts dès aujourd'hui pour un audit de conformité IA personnalisé.