Intelligence artificielle et secret médical
Le secret médical est un droit fondamental du patient. Lorsqu'un cabinet utilise un assistant IA, quelles sont les obligations légales, les garanties exigibles et les sanctions encourues ? Ce guide fait le point, textes à l'appui.
Le secret médical en droit français
Trois textes fondateurs protègent les informations confiées par le patient au médecin. Ils s'appliquent intégralement aux outils numériques utilisés par le cabinet, y compris l'IA.
Article L1110-4 du Code de la santé publique
Toute personne prise en charge par un professionnel de santé a droit au respect de sa vie privée et du secret des informations la concernant. Ce secret couvre l'ensemble des informations venues à la connaissance du professionnel de santé : ce qui lui a été confié, mais aussi ce qu'il a vu, entendu ou compris. Il s'impose à tous les professionnels intervenant dans le système de santé, y compris les prestataires techniques agissant pour le compte du médecin.
Article 226-13 du Code pénal
La violation du secret professionnel est un délit pénal puni de 1 an d'emprisonnement et 15 000 euros d'amende. Le mode de révélation est indifférent : verbal, écrit ou informatisé. Cela signifie qu'une fuite de données via un outil numérique mal sécurisé engage la même responsabilité qu'une indiscrétion orale.
Articles R4127-4 et R4127-72 du Code de déontologie médicale
Le secret professionnel s'impose à tout médecin dans l'intérêt des patients (art. R4127-4). L'article R4127-72 étend cette obligation aux collaborateurs du médecin : secrétaires, infirmières, techniciens et toute personne l'assistant dans son exercice. Le médecin doit veiller à ce que chaque collaborateur soit instruit de ses obligations et s'y conforme. Il est personnellement responsable de toute indiscrétion commise par son entourage professionnel.
Conséquence directe pour l'IA
Un assistant téléphonique IA qui traite des appels de patients est un collaborateur technique du médecin au sens de l'article R4127-72. Le médecin a l'obligation de s'assurer que ce prestataire respecte le secret médical avec le même niveau d'exigence que tout membre de son équipe humaine.
RGPD et hébergement de données de santé
Le Règlement Général sur la Protection des Données et la certification HDS forment le socle réglementaire qui encadre tout traitement de données de santé par un tiers, y compris un assistant IA.
Article 9 du RGPD : données sensibles
Les données de santé sont des données sensibles dont le traitement est interdit par principe. Seules des exceptions limitatives autorisent leur traitement, notamment l'article 9.2.h (gestion des systèmes de santé) et l'article 9.2.a (consentement explicite). Un assistant IA qui traite des appels de patients manipule nécessairement des données de santé : motifs de consultation, symptômes évoqués, traitements mentionnés.
Article 28 du RGPD : sous-traitant
Le prestataire d'IA agit comme sous-traitant au sens du RGPD. L'article 28 impose un contrat écrit (DPA) précisant l'objet, la durée, la nature et la finalité du traitement. Le sous-traitant ne peut traiter les données que sur instruction documentée du responsable (le médecin), doit garantir la confidentialité, et doit permettre les audits. Le non-respect expose à des sanctions jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial.
Article L1111-8 du CSP : certification HDS
Toute personne hébergeant des données de santé pour le compte de tiers doit disposer de la certification Hébergeur de Données de Santé (HDS), obligatoire depuis le 1er avril 2018. Le référentiel, défini par l'Agence du Numérique en Santé (ANS), repose sur la norme ISO 27001 et garantit disponibilité, intégrité, confidentialité et auditabilité (DICA). En 2024, seuls 302 hébergeurs en France disposent de cette certification (source : ANS).
Articles 15 à 20 du RGPD : droits des patients
Chaque patient dispose d'un droit d'accès, de rectification, d'effacement, de limitation et de portabilité de ses données. Le responsable de traitement (le médecin) doit pouvoir répondre à ces demandes dans un délai d'un mois (article 12 du RGPD). L'assistant IA doit fournir les outils techniques permettant au médecin d'exercer ces droits pour le compte de ses patients.
Le règlement européen sur l'IA (AI Act)
Entré en vigueur en août 2024, le règlement (UE) 2024/1689 impose des obligations graduées selon le niveau de risque. Les systèmes d'IA en santé sont concernés au premier chef.
Les systèmes d'IA utilisés comme composants de sécurité dans la gestion de dispositifs médicaux sont classés haut risque
Date d'application des obligations pour les systèmes d'IA à haut risque (articles 9 à 15)
Amende maximale ou 7 % du CA mondial pour non-conformité aux obligations de l'AI Act
Gestion des risques (article 9)
Un système de gestion des risques doit être établi, documenté et opérationnel tout au long du cycle de vie du système d'IA. Il inclut l'identification des risques pour la santé et la sécurité, les mesures d'atténuation et les tests de validation.
Supervision humaine (article 14)
Les systèmes d'IA à haut risque doivent être conçus pour permettre une supervision humaine effective. Les utilisateurs cliniques doivent pouvoir comprendre les capacités et limites du système, interpréter ses résultats et les contourner si nécessaire.
Transparence (article 13)
Le patient doit savoir quand une IA intervient dans une décision le concernant. Le fournisseur doit documenter le fonctionnement du système de manière suffisamment claire pour que le déployeur puisse l'utiliser de façon éclairée.
Caresquad et l'AI Act
L'assistant téléphonique Caresquad ne prend aucune décision médicale : il ne pose pas de diagnostic, n'interprète pas de résultats et ne prescrit pas. Son rôle se limite à l'accueil téléphonique, la prise de rendez-vous et la qualification des demandes selon les consignes du praticien. De plus, chaque action concernant un patient (prise de RDV, message, tâche) est systématiquement vérifiée et validée par un humain au sein du cabinet, le plus souvent la secrétaire médicale. L'IA propose, l'humain dispose. Ce positionnement fonctionnel et cette supervision humaine systématique ne sont pas imposés par la réglementation actuelle : c'est un choix proactif. Nous considérons qu'un human-in-the-loop permanent est indispensable pour tout outil qui interagit avec des patients, indépendamment de la classification réglementaire.
Ce qu'il faut exiger d'un prestataire IA
Checklist des garanties minimales qu'un médecin doit vérifier avant de confier l'accueil téléphonique de son cabinet à un assistant IA, d'après les recommandations de la CNIL (mars 2026) et le guide conjoint HAS-CNIL "IA en contexte de soins" (2026).
Hébergement certifié HDS
Vérifiez que le prestataire héberge les données chez un hébergeur certifié HDS (référentiel ANS, ISO 27001). Exigez le certificat et vérifiez sa validité sur le site de l'ANS. Aucune donnée ne doit transiter hors UE.
DPA conforme article 28
Un Accord de Traitement des Données (DPA) doit être signé avant toute mise en production. Il doit préciser les finalités, les catégories de données, les mesures de sécurité et les modalités d'audit.
Chiffrement de bout en bout
Les données doivent être chiffrées en transit (TLS 1.3) et au repos (AES-256 minimum). Les clés de chiffrement doivent être renouvelées régulièrement et séparées de l'infrastructure d'hébergement.
Pas d'accès aux dossiers médicaux
L'IA ne doit accéder à aucun dossier médical. Son périmètre doit être limité à la gestion des appels, la prise de RDV et la transmission de messages, sur la base des seules consignes du praticien.
Traçabilité infalsifiable
Chaque action (consultation, modification, suppression) doit être consignée dans un journal d'audit inaltérable. La CNIL recommande une conservation minimale de 3 ans pour les journaux d'accès aux données de santé.
Portabilité et droit à l'oubli
Le médecin doit pouvoir exporter ses données à tout moment (CSV, audio) et obtenir la suppression complète en cas de résiliation, conformément aux articles 17 et 20 du RGPD.
Questions fréquentes
Tableau récapitulatif des textes applicables
| Texte | Objet | Sanction maximale |
|---|---|---|
| Art. 226-13 Code pénal | Violation du secret professionnel | 1 an + 15 000 € |
| Art. L1110-4 CSP | Secret des informations de santé | 1 an + 15 000 € |
| Art. L1111-8 CSP | Hébergement données de santé (HDS) | 225 000 € (personne morale) |
| Art. 83 RGPD | Non-conformité données sensibles | 20 M€ ou 4 % CA mondial |
| AI Act (UE) 2024/1689 | IA haut risque non conforme | 35 M€ ou 7 % CA mondial |
Un assistant IA conçu pour respecter le secret médical
Hébergement HDS en France, chiffrement AES-256, DPA conforme, traçabilité infalsifiable, aucun accès aux dossiers médicaux. Vérifiez par vous-même.