HDS, RGPD, AI Act : le vrai guide de conformité pour votre logiciel de CR en radiologie
Les données de santé en radiologie : un cadre juridique strict
Les comptes rendus radiologiques contiennent des données de santé au sens du RGPD et de la loi de santé française. Dès le premier mot dicté, vous franchissez le seuil légal : les données personnelles liées à la santé d'une personne physique sont protégées par un cadre réglementaire renforcé.
Qu'est-ce qu'une donnée de santé en radiologie ?
C'est toute information relative à l'état de santé d'un patient contenue dans un compte rendu : résultats d'examens, diagnostics, mesures anatomiques, conclusion clinique. Elle inclut également l'audio de la dictation si celui-ci est conservé.
Trois normes encadrent cette réalité :
- La loi Informatique et Libertés (française, transposant le RGPD)
- Le RGPD (niveau européen)
- La loi santé française (Code de la Santé Publique, notamment l'HDS)
Ces trois niveaux s'empilent : vous ne respectez le cadre que si vous êtes conforme à tous les trois à la fois.
HDS : l'hébergeur de données de santé, premier pilier
Qu'est-ce que l'HDS ?
HDS signifie « Hébergeur de Données de Santé ». C'est une certification délivrée par l'ANS (Agence du Numérique en Santé), l'autorité française qui certifie les prestataires autorisés à stocker et traiter des données de santé.
Dois-je absolument choisir un logiciel avec certification HDS ?
Oui, si vous stockez les données en ligne (cloud). L'hébergement cloud de données de santé exige une certification HDS. C'est une obligation légale en France. Les logiciels 100 % hors ligne (comme Dictadoc) échappent à cette exigence car aucune donnée ne quitte le serveur de votre établissement.
Qui délivre et gère l'HDS ?
L'ANS (Agence du Numérique en Santé) est l'autorité compétente. Elle audite les prestataires et émet les certificats. La certification est valide 3 ans et doit être renouvelée régulièrement. Vous pouvez vérifier la liste officielle des hébergeurs certifiés sur le site de l'ANS : esante.gouv.fr.
Quels logiciels radiologiques affirment avoir l'HDS ?
Plusieurs acteurs du secteur revendiquent la certification HDS :
- Mata Flow : annonce une certification HDS
- Zenidoc : HDS souverain (données hébergées en France)
- Milvue : dispose de la certification
- Incepto : certifié HDS
- Gleamer : claim HDS (à vérifier)
- Doctreen : HDS certifié
Comment vérifier la certification HDS d'un logiciel ?
Demandez le certificat délivré par l'ANS. Ne vous contentez pas d'une affirmation verbale. Un éditeur sérieux peut produire le document officiel. Allez aussi consulter la liste publique de l'ANS : si l'éditeur est certifié, il y figure.
Que garantit l'HDS ?
La certification HDS implique :
- Chiffrement en transit et au repos des données
- Localisation des serveurs en France ou en UE selon le contrat
- Audits de sécurité réguliers et respect de normes ISO 27001
- Plan de continuité et reprise d'activité en cas sinistre
- Responsabilité légale de l'hébergeur en cas de fuite
- Respect des délais de conservation définis par la loi
Attention : l'HDS ne garantit pas le respect du RGPD seul, ni la conformité à l'AI Act. C'est un socle. Vous devez vérifier les trois piliers en parallèle.
RGPD et CNIL : la conformité donnée par donnée
Base légale : pourquoi vous pouvez traiter les données de santé
Le RGPD interdit en principe le traitement des données de santé. C'est l'article 9 du RGPD. Mais des exceptions existent :
Quelle base légale autorise le traitement des données de santé en radiologie ?
En France, la base légale est l'intérêt public et la mission de santé publique (article 9.2.h du RGPD). Vous traitez les données car c'est nécessaire à la prise en charge médicale. Vous devez documenter cette base dans une Analyse d'Impact relative à la Protection des Données (AIPD).
DPIA (Analyse d'Impact)
Avant de déployer un logiciel de CR avec IA, vous devez réaliser une DPIA (Data Protection Impact Assessment), appelée AIPD en français.
Cette analyse couvre :
- Quel type de données est collecté (texte du CR, audio de dictation, métadonnées)
- Combien de patients sont concernés
- Pendant combien de temps les données sont conservées
- Qui a accès (médecins, administrateurs, tiers intégrateurs)
- Les risques : fuite, accès non autorisé, utilisation secondaire
- Les mesures mises en place pour atténuer les risques
Suis-je obligé de faire une DPIA pour chaque logiciel de CR ?
Oui, si le logiciel contient une composante IA et traite des données de santé. La CNIL le recommande fortement. C'est votre preuve de conformité auprès des inspections.
Sous-traitants et contrats
Si votre éditeur héberge les données (cloud), il devient sous-traitant au sens du RGPD. Vous (l'établissement de santé) restez responsable du traitement.
Obligations :
- Un contrat de sous-traitance doit formaliser les obligations de l'éditeur
- L'éditeur ne peut pas utiliser vos données pour ses propres fins
- L'éditeur doit vous permettre des audits et inspections
- L'éditeur doit notifier rapidement toute fuite de données
- L'éditeur ne peut pas sous-traiter à un tiers sans votre accord explicite
Vérifiez que votre contrat contient une clause de Données Personnelles complète. Sinon, demandez-la à l'éditeur.
Politique de conservation et l'audio de dictation
C'est un enjeu majeur : la CNIL pose une question critique : combien de temps l'éditeur conserve-t-il l'audio de dictation ?
Pourquoi l'audio de dictation pose problème ?
L'audio contient la voix du radiologue et potentiellement des bruits d'arrière-plan. C'est une donnée personnelle additionnelle. Beaucoup d'éditeurs la conservent « au cas où » pour l'audit ou l'entraînement de l'IA. La CNIL dit : cette rétention doit être justifiée et limitée dans le temps. Idéalement, l'audio devrait être supprimé après génération du texte, sauf si vous l'autorisez explicitement.
Questions à poser :
- L'audio est-il supprimé automatiquement après extraction du texte ?
- Si non, quelle est la durée de conservation ?
- Est-il utilisé pour entraîner le modèle IA ?
- Peut-on demander la suppression immédiate de l'audio ?
AI Act européen : le nouveau paysage de 2024
Timeline : application progressive depuis août 2024
Le Règlement européen sur l'Intelligence Artificielle (AI Act) est entré en application progressive le 2 août 2024. Il ne s'applique pas d'un coup ; les obligations arrivent par étapes :
- Août 2024 : interdiction des usages d'IA à risque excessif (ex. manipulations cognitives massives)
- Début 2025 : obligations pour les systèmes d'IA « high-risk »
- 2026 : entrée en force complète (probablement avec périodes transitoires)
Comment l'AI Act classifie-t-il les logiciels de CR radiologique ?
L'IA en radiologie est classée « high-risk » (risque élevé) car elle impacte la santé humaine. Cela signifie que vous (et l'éditeur) devez respecter des exigences strictes de documentation, de qualité et de transparence.
Obligations pour un système IA high-risk en radiologie
Si vous utilisez un logiciel d'IA high-risk (ce qui s'applique à la quasi-totalité des CR IA en radiologie), l'éditeur doit fournir :
- Documentation technique complète : architecture du modèle, données d'entraînement, performances
- Système de gestion de la qualité : procédures pour valider et améliorer le modèle
- Contrôle des versions : suivi des changements du modèle et de ses impacts
- Monitoring post-déploiement : suivi de la performance sur vos données réelles
- Traçabilité : logs des décisions prises par l'IA
- Transparence vis-à-vis de l'utilisateur : clarté sur le rôle de l'IA et les risques
- Documentation des tests : preuves que le système fonctionne de façon fiable
Que dois-je demander à mon éditeur pour vérifier l'AI Act compliance ?
Demandez : « Avez-vous une documentation d'AI Act compliance ? » Si l'éditeur dit « non, on verra en 2026 », c'est un signal d'alarme. Les bons éditeurs se préparent dès maintenant. Vous pouvez demander : documentation technique, plan de conformité AI Act, attestation de tests de performance, système de log des décisions IA.
Responsabilité légale : qui répond ?
Selon l'AI Act :
- Le fournisseur (éditeur) est responsable de la conformité du système
- Vous (l'utilisateur) êtes responsable de l'utilisation conforme du système
- En cas d'erreur diagnostique liée à un mauvais fonctionnement de l'IA, responsabilité partagée
Point clé : l'AI Act renforce les obligations de l'éditeur mais n'élimine pas votre responsabilité. C'est un partage.
Offline vs Cloud : le grand choix
Dictadoc : 100 % offline, zéro transit de données
Dictadoc est le seul logiciel du marché français qui fonctionne en 100 % offline. Les dictations ne quittent jamais votre serveur. Aucune donnée ne va en cloud.
Avantages :
- Pas d'exposition à une fuite cloud
- Pas de dépendance à Internet (robustesse locale)
- Pas de certification HDS requise (puisque aucune donnée n'est hébergée à l'extérieur)
- Maîtrise totale des données
- RGPD simplifié (données strictement internes)
Inconvénients :
- Moins de scalabilité : gérer la puissance de calcul localement
- Moins de sauvegarde automatique (vous gérez les backups)
- Moins d'intégration cloud avec d'autres services
- Maintenance locale plus exigeante
Solutions cloud : convenances et certifications
La plupart des solutions modernes sont cloud :
- Dragon Medical One (Nuance) : Cloud Microsoft Azure. HDS requis.
- Philips SpeechLive : Cloud Philips. HDS requis.
- Zenidoc : Cloud souverain (France). HDS certifié.
- Gleamer : Cloud avec HDS.
- Incepto : Cloud HDS.
- Milvue : Cloud HDS.
- Mata Flow : Cloud HDS.
- RadReport : Cloud.
- Loquii : Cloud avec options de souveraineté.
Le cloud est-il vraiment plus simple que l'offline ?
Pour l'infrastructure, oui : sauvegardes automatiques, mises à jour gérées, scalabilité illimitée. Mais juridiquement et en conformité, non : vous devez vérifier HDS, RGPD, AI Act, clauses de sous-traitance. L'offline (Dictadoc) demande moins de vérifications légales mais plus de gestion technique locale.
Table comparative : les outils et leur positionnement
| Outil | Infra | HDS | Audio conservé ? | Localisation données | DPA RGPD |
|---|---|---|---|---|---|
| Dictadoc | 100% Local | N/A (offline) | Rare (local) | Serveur établissement | Simplifié |
| Dragon Medical One | Cloud Azure | Oui | À vérifier | Datacenters Microsoft | Standard |
| Philips SpeechLive | Cloud Philips | Oui | À vérifier | Infrastructure Philips | Standard |
| Zenidoc | Cloud (France) | Oui | Court délai | France (souverain) | Strict |
| Gleamer | Cloud | Oui | À vérifier | EU | Standard |
| Incepto | Cloud | Oui | À vérifier | EU/US | Standard |
| Milvue | Cloud | Oui | À vérifier | EU | Standard |
| Mata Flow | Cloud | Oui | À vérifier | EU | Standard |
| RadReport | Cloud | À vérifier | À vérifier | À confirmer | Standard |
| Doctreen | Cloud | Oui | À vérifier | EU | Standard |
| Loquii | Cloud/Hybrid | À vérifier | À vérifier | Options | Standard |
Note : Cette table synthétise les positions publiques de chaque éditeur au 2026. Pour les informations précises, demandez une mise à jour de leur documentation actuelle.
Checklist : 10 questions à poser à votre éditeur avant signature
Avant de signer un contrat avec un nouvel éditeur de CR avec IA, imposez ce questionnaire :
- Certification HDS ? Avez-vous un certificat valide délivré par l'ANS ? Sur quel serveur exact sont stockées nos données (France, EU, autre) ?
- Audio de dictation : Conservez-vous l'audio ? Si oui, combien de temps ? Est-il utilisé pour entraîner votre modèle IA ?
- Chiffrement : Avez-vous du chiffrement bout-en-bout (E2E) ou seulement en transit et au repos ?
- Politique de rétention : Avez-vous écrit quelle est la durée de conservation de nos données ? Comment supprimer en masse à la fin du contrat ?
- DPIA/AIPD : Pouvez-vous nous fournir une analyse d'impact RGPD complète et à jour ? Avez-vous une attestation DPIA ?
- Sous-traitants : Qui sont tous vos sous-traitants (cloud provider, intégrateurs) ? Avez-vous un contrat de sous-traitance à nous proposer ?
- AI Act compliance : Avez-vous une documentation d'AI Act compliance ? Que faites-vous pour respecter les exigences high-risk ?
- Tests et traçabilité : Pouvez-vous montrer des résultats de tests de performance du modèle ? Avez-vous un système de log des décisions IA ?
- Notifications de fuite : Quels sont vos délais de notification en cas de fuite de données ?
- Droits de l'utilisateur : Pouvons-nous demander l'accès à toutes nos données ? Pouvons-nous les exporter ? Pouvez-vous les supprimer à la demande ?
Et si l'éditeur refuse de répondre ?
C'est un signal d'alarme majeur. Un éditeur sérieux répond. S'il refuse ou élude la question, c'est qu'il cache quelque chose. Continuez vos investigations ou passez à un autre éditeur.
Cas d'usage : trois scénarios réalistes
Scénario 1 : Petit établissement sans expertise IT
Contexte : Vous avez 2-3 radiologues, pas de CIL (Correspondant Informatique et Libertés) dédié, peu de ressources IT.
Recommandation : Optez pour une solution cloud certifiée HDS avec support francophone. Zenidoc ou Doctreen. Pourquoi ? Parce que vous déléguez la charge de conformité à un éditeur responsable. Vous devez juste vérifier l'HDS et signer le contrat de sous-traitance.
Procédure :
- Demander le certificat HDS
- Faire signer une DPIA basique avec l'éditeur
- Signer le contrat DPA (Data Protection Agreement)
- Documenter tout dans votre registre RGPD
Scénario 2 : Hôpital avec exigences de souveraineté
Contexte : Vous êtes un hôpital universitaire ou publique avec obligations de données souveraines. Les autorités de santé exigent que vos données ne quittent pas la France.
Recommandation : Privilégiez les solutions cloud souveraines (Zenidoc) ou l'offline complet (Dictadoc). Pour Zenidoc, vérifiez la localisation exacte des serveurs (Paris Île-de-France est idéal). Pour Dictadoc, évalutez la charge IT pour les mises à jour et sauvegardes.
Procédure :
- Exiger la preuve de localisation France des serveurs
- Incluere une clause de souveraineté dans le contrat
- Pour Dictadoc : établir un plan de maintenance et backup local
Scénario 3 : Réseau multi-site avec intégration globale
Contexte : Vous avez 5-10 sites (cliniques, hôpitaux), vous avez une architecture PACS centralisée, des besoins d'interopérabilité élevés.
Recommandation : Dragon Medical One (via Azure) ou Philips SpeechLive offrent la scalabilité. Exigez l'HDS. Exigez aussi des SLA (Service Level Agreements) élevés et des audits réguliers.
Procédure :
- Validation HDS et DPA au niveau groupe
- Audit trimestriel des performances IA
- Configuration centralisée du retrait de l'audio
- Intégration avec votre DSI pour logging des accès
FAQ : les questions brûlantes
L'IA générative (GPT-like) est-elle autorisée en radiologie ?
Techniquement, oui, mais avec prudence. L'AI Act et la CNIL restent muets sur la GenAI. Cependant, si vous utilisez une GenAI pour reformuler des comptes rendus radiologiques (données de santé), vous devez : (1) vous assurer que la GenAI est sous contrat de sous-traitance, (2) que les données ne sont pas utilisées pour l'entraînement du modèle, (3) qu'il n'y a pas de fuite vers d'autres utilisateurs. Grosse barrière : les GenAI cloud type ChatGPT stockent et apprennent potentiellement de vos prompts. Donc bannissez les solutions GenAI grand public pour données de santé. Préférez des solutions privatisées ou fine-tuned sur vos données.
Peut-on entraîner une IA sur nos données radiologiques ?
Oui, mais sous conditions strictes. Vous devez : (1) avoir le consentement explicite des patients (ou une base légale alternative documentée), (2) anonymiser complètement les données avant utilisation, (3) avoir un contrat séparé qui encadre l'entraînement, (4) audit régulier du modèle pour bias. C'est complexe. La plupart des éditeurs font cet entraînement sur des données poolées (plusieurs hôpitaux). Exigez transparence.
Que faire en cas de fuite de données ?
Démarche obligatoire : (1) Alerter votre DPO ou CIL, (2) Notifier l'éditeur et exiger un rapport détaillé en 72h, (3) Évaluer si vous devez notifier la CNIL, (4) Si fuite grave (accès non autorisé à données de santé), notification CNIL est obligatoire, (5) Si patients à risque, notifier les patients. Documentez tout.
Est-ce qu'une audit par un tiers externe (audit HAS, cabinet conseil) renforce la conformité ?
Oui fortement. Un audit externe montre à la CNIL et à vos patients que vous avez vraiment vérifiez la conformité. C'est un investissement. Pour un réseau multi-site, un audit annuel est recommandé. Pour un petit établissement, au minimum une revue semestrielle en interne.
L'AI Act s'applique-t-il aux modèles d'IA maison ?
Oui. Si vous entraînez une IA sur vos données radiologiques localement, c'est toujours un système d'IA high-risk au sens de l'AI Act. Vous êtes responsable de la conformité. Vous devez avoir documentation, système de qualité, monitoring. Implicitement, vous devenez fournisseur IA responsable. Charge très élevée. À ne pas prendre à la légère.
Synthèse et prochaines étapes
La conformité pour un logiciel de CR radiologique avec IA repose sur trois piliers imbriqués :
- HDS : Si cloud, exigez la certification ANS. Sinon (offline), inutile.
- RGPD : DPIA obligatoire. Contrat de sous-traitance requis. Politique de rétention audio à clarifier.
- AI Act : Documentation technique, qualité et transparence. Obligations croissantes jusqu'en 2026.
Prochaines étapes :
- Auditez votre outils actuel : appliquez les 10 questions. Documentez les réponses.
- Mappez votre conformité : créez un registre des certifications, contrats, DPIA.
- Formez vos équipes : médecins, administratifs, IT. Qui est responsable de quoi ?
- Préparez l'AI Act 2026 : demandez à votre éditeur un plan d'action concrete.
- Auditez annuellement : la conformité n'est pas un one-shot. Elle évolue.
Qui contacter si j'ai des doutes sur ma conformité ?
CNIL : www.cnil.fr (listes de contacts, formulaires de demande). DPO national : si vous êtes public, un DPO régional peut vous conseiller. ANS : esante.gouv.fr pour l'HDS. Cabinet conseil spécialisé : si complexité haute, investissez dans un audit externe (coûte 2-5k€ en général).
Avertissement légal : Cet article est fourni à titre informatif. Il ne constitue pas un conseil juridique. Pour des questions légales précises, consultez un avocat spécialisé en droit de la santé ou en RGPD.