IA pour GHT et CHU : HDS, PGSSI-S et souveraineté des données de santé publique

Cadre réglementaire complet pour l'IA en milieu hospitalier

Le déploiement d'un système d'IA dans un GHT ou un CHU s'inscrit dans un cadre réglementaire multi-couches exceptionnellement dense, qui combine droit européen, droit national et référentiels sectoriels.

Le RGPD et les données de santé (article 9)

L'article 9 du RGPD range les données de santé parmi les catégories spéciales de données dont le traitement est en principe interdit, sauf exceptions limitativement énumérées. Pour les établissements hospitaliers, les bases légales applicables sont principalement :

• L'article 9(2)(h) : traitement nécessaire à des fins de médecine préventive ou curative, sous réserve de garanties appropriées (notamment le secret médical).
• L'article 9(2)(i) : traitement nécessaire pour des raisons d'intérêt public dans le domaine de la santé publique.
• L'article 9(2)(j) : traitement à des fins de recherche scientifique, sous réserve du respect de garanties appropriées.

Ces exceptions sont étroites et conditionnelles. Elles ne permettent pas un traitement de données de santé par des systèmes d'IA sans cadre juridique précis, sans mesures de sécurité adéquates, et certainement pas vers des infrastructures non certifiées HDS.

La loi informatique et libertés et les actes réglementaires CNIL

En droit français, le traitement de données de santé est soumis à des régimes d'autorisation spécifiques :

• Référentiel CNIL : la CNIL a publié des référentiels sectoriels pour la recherche médicale et la prise en charge des patients qui définissent les conditions de conformité pour les systèmes d'information de santé.
• L'entrepôt de données de santé (EDS) : les CHU qui constituent des EDS pour la recherche doivent obtenir une autorisation spécifique de la CNIL et respecter le référentiel applicable.
• Le Health Data Hub : la plateforme nationale de données de santé gérée par la CNAM impose ses propres règles d'accès et de sécurité pour les projets d'IA utilisant des données du SNDS.

L'AI Act et les systèmes d'IA à haut risque en santé

Le règlement européen sur l'IA (AI Act), applicable depuis août 2024 pour ses dispositions principales, classe en haut risque les systèmes d'IA utilisés dans les secteurs critiques de la santé, notamment :

• Les systèmes d'aide au diagnostic médical.
• Les systèmes d'aide à la décision thérapeutique.
• Les systèmes de surveillance des patients.
• Les systèmes de priorisation des soins ou de triage.

Pour ces systèmes à haut risque, l'AI Act impose des obligations renforcées : évaluation de conformité, documentation technique détaillée, systèmes de gestion des risques, transparence, supervision humaine effective, enregistrement dans la base de données EU. Les établissements hospitaliers qui déploient de tels systèmes sont considérés comme « déployeurs » au sens de l'AI Act et supportent des obligations spécifiques.

HDS : la certification obligatoire pour héberger des données de santé

La certification HDS (Hébergement de Données de Santé) est définie par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique. Elle est légalement obligatoire pour tout organisme qui héberge des données de santé à caractère personnel pour le compte de producteurs, d'utilisateurs ou de gestionnaires de données de santé.

Qu'est-ce que la certification HDS ?

La certification HDS est délivrée par des organismes de certification accrédités par le COFRAC, sur la base d'un référentiel publié par le ministère de la Santé. Elle comprend deux niveaux :

• Hébergeur d'infrastructure physique : datacenter fournissant l'infrastructure matérielle (serveurs, stockage, réseau). Certification exigée pour les datacenters hébergeant physiquement les données.
• Hébergeur infogérant : prestataire gérant les systèmes d'exploitation, middlewares et applications. Certification exigée pour les prestataires qui opèrent les systèmes traitant les données.

Pour qu'un système d'IA soit conforme, l'ensemble de la chaîne d'hébergement doit être certifiée HDS : le datacenter physique ET l'opérateur du service IA.

La PGSSI-S : le référentiel de sécurité sectoriel

La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S), publiée par la DSSIS (Direction des Systèmes d'Information de Santé), définit un ensemble de référentiels et de guides que les établissements de santé doivent suivre pour sécuriser leurs systèmes d'information.

Les référentiels PGSSI-S pertinents pour l'IA incluent :

• Le référentiel d'authentification des acteurs de santé (RPPS, cartes CPS).
• Le guide de gestion des habilitations dans les SIH.
• Le référentiel de sécurité pour les applications mobiles de santé.
• Le guide pratique spécifique aux systèmes d'IA en santé (publié en 2025).

Pourquoi les LLM cloud américains sont exclus des établissements hospitaliers

La question est souvent mal posée dans les établissements : « Est-ce que nous avons le droit d'utiliser ChatGPT ou GPT-4 pour analyser des dossiers patients ? ». La réponse juridique est claire et sans nuance : non. Les raisons sont multiples et cumulatives.

Incompatibilité avec l'obligation HDS

OpenAI, Anthropic, Google et Microsoft ne sont pas certifiés Hébergeurs de Données de Santé au sens du Code de la santé publique français. Leurs services ne peuvent donc légalement recevoir des données de santé à caractère personnel issues de dossiers patients français. Cette interdiction est absolue et ne souffre d'aucune exception contractuelle.

Le Cloud Act et la souveraineté des données

Même si l'un de ces prestataires venait à obtenir la certification HDS (hypothèse non réalisée à ce jour), il resterait soumis au Cloud Act américain. Cette loi fédérale autorise les autorités américaines à exiger l'accès à toute donnée contrôlée par une entreprise américaine. Un dossier médical transmis à un LLM cloud américain pourrait théoriquement être accessible aux agences fédérales américaines, ce qui est incompatible avec le secret médical et le RGPD.

L'absence de maîtrise des modèles et des données d'entraînement

Les LLM commerciaux sont des « boîtes noires » dont le fonctionnement interne est opaque. Les établissements hospitaliers ne peuvent pas :

• Vérifier que les données patients ne servent pas à améliorer les modèles (même si les contrats l'excluent, la vérification technique est impossible).
• Obtenir des explications sur les décisions ou recommandations produites (problème d'explicabilité requis pour l'IA médicale).
• Auditer la sécurité du modèle et de son infrastructure (exigé par la PGSSI-S et l'ANSSI).

Cas d'usage hospitaliers à fort impact

Aide à la codification PMSI

La codification PMSI (Programme de Médicalisation des Systèmes d'Information) est une tâche critique et chronophage pour les équipes hospitalières. Chaque séjour doit être codé selon la Classification Internationale des Maladies (CIM-10) et les actes selon la Classification Commune des Actes Médicaux (CCAM). Une erreur de codification entraîne une sous ou sur-facturation à l'Assurance Maladie.

Une IA souveraine formée sur les règles de codification PMSI peut :

• Analyser automatiquement les comptes-rendus d'hospitalisation et proposer les codes CIM-10 et CCAM appropriés.
• Détecter les incohérences de codification et alerter le médecin DIM (Département d'Information Médicale).
• Identifier les GHM (Groupes Homogènes de Malades) correspondants et vérifier la conformité avec les groupes saisis.
• Réduire les délais de clôture des séjours et améliorer la précision de la valorisation des activités.

Les gains observés dans les établissements ayant déployé des outils d'aide à la codification sont de l'ordre de 20 à 35 % de réduction du temps de codification, avec une amélioration de la précision de 15 à 25 %.

Résumé et synthèse de dossiers patients

Dans un CHU universitaire, un patient complexe peut avoir des dossiers épars sur plusieurs années, plusieurs spécialités et plusieurs établissements. Un médecin prenant en charge ce patient en urgence doit assimiler rapidement un historique volumineux.

Une IA souveraine peut :

• Générer en quelques secondes une synthèse structurée du dossier médical : antécédents pertinents, allergies, traitements en cours, hospitalisations récentes.
• Alerter sur les contre-indications potentielles entre le traitement envisagé et les antécédents ou médicaments actuels.
• Préparer les dossiers de présentation en réunion de concertation pluridisciplinaire (RCP) en oncologie ou autres spécialités.
• Générer les lettres de sortie et les courriers de suivi à partir du dossier, en respectant les modèles de l'établissement.

Planification et gestion des lits

La gestion des capacités hospitalières est un défi permanent, particulièrement dans les CHU où les services sont souvent sous pression. Une IA peut :

• Prévoir la demande en lits sur les 24 à 72 heures suivantes en analysant les admissions programmées, les tendances saisonnières et les flux d'urgences.
• Optimiser les flux de patients entre services et identifier les goulots d'étranglement.
• Anticiper les besoins en personnel soignant en fonction de la charge prévisionnelle.
• Aider à la planification des blocs opératoires en optimisant l'utilisation des salles et du matériel.

Aide au diagnostic documentaire

L'IA n'a pas vocation à remplacer le médecin dans le diagnostic, mais elle peut considérablement enrichir l'information disponible :

• Synthèse de la littérature médicale sur une pathologie rare ou un tableau clinique inhabituel.
• Identification des diagnostics différentiels à considérer à partir des signes cliniques documentés.
• Alertes sur les protocoles de l'établissement applicables à la situation clinique du patient.
• Aide à la rédaction des prescriptions en vérifiant les posologies et les interactions médicamenteuses.

Appels d'offres IA en établissements publics de santé

Les GHT et CHU sont des établissements publics soumis au Code de la commande publique. Tout achat de système d'IA d'un montant supérieur aux seuils européens (220 000 € HT pour les marchés de services) doit faire l'objet d'une procédure formalisée.

Critères obligatoires dans les CCTP

Les cahiers des charges techniques (CCTP) pour les marchés d'IA en santé doivent impérativement inclure :

• Certification HDS obligatoire : exiger la certification HDS de l'hébergeur (infrastructure physique ET infogérant) comme condition de recevabilité de l'offre. Demander le certificat en cours de validité.
• Localisation des données : les données de santé doivent rester sur le territoire français (ou au minimum UE avec garanties renforcées). Toute traitement par des sous-traitants hors UE doit être exclu.
• Conformité PGSSI-S : le soumissionnaire doit démontrer la conformité de son système aux référentiels PGSSI-S applicables.
• Explicabilité du modèle : pour les usages en aide à la décision clinique (systèmes à haut risque AI Act), le modèle doit pouvoir expliquer ses recommandations de manière compréhensible pour le professionnel de santé.
• Interopérabilité : le système doit s'interfacer avec les standards du secteur (HL7 FHIR, DICOM pour l'imagerie) et le DPI (Dossier Patient Informatisé) en place.
• Réversibilité : le cahier des charges doit inclure des dispositions de réversibilité permettant à l'établissement de récupérer ses données et de changer de prestataire sans dépendance excessive.

Critères d'évaluation recommandés

• 40 % : valeur technique (conformité, sécurité, performance du modèle sur données de test).
• 30 % : prix (coût total de possession sur 3 à 5 ans).
• 20 % : qualité du service (SLA, support, formation, documentation).
• 10 % : références et retours d'expérience d'établissements similaires.

Budget et modèles économiques pour établissements publics de santé

Le déploiement d'une IA souveraine dans un GHT ou CHU nécessite une approche budgétaire structurée, tenant compte des contraintes de la commande publique et des enveloppes disponibles.

Enveloppes de financement disponibles

• Ségur du numérique en santé : le volet numérique du Ségur de la santé finance la modernisation des SIH, y compris les outils d'IA conformes. Certaines enveloppes sont spécifiquement dédiées à la mise à niveau des outils de codification et de DPI.
• Appels à projets ANS (Agence du Numérique en Santé) : l'ANS finance régulièrement des projets pilotes d'IA en santé via des appels à projets dédiés. Les projets sélectionnés bénéficient d'un co-financement pouvant atteindre 50 à 80 % du coût.
• Fonds FIR (Fonds d'Intervention Régional) : les ARS (Agences Régionales de Santé) peuvent mobiliser le FIR pour financer des projets innovants répondant aux objectifs régionaux de santé.
• Budget propre de l'établissement : pour les achats inférieurs aux seuils de procédure formalisée, les établissements peuvent mobiliser leur budget d'investissement ou leur budget de fonctionnement informatique.

Ordres de grandeur budgétaires

Pour un GHT de taille moyenne (10 à 20 établissements, 3 000 à 8 000 agents) :

• Déploiement initial : 150 000 à 500 000 € selon le périmètre fonctionnel et l'intégration avec les systèmes existants.
• Hébergement et exploitation annuels : 50 000 à 150 000 €/an.
• Formation et accompagnement : 20 000 à 50 000 € la première année.

Pour un CHU universitaire :

• Déploiement initial : 500 000 à 2 000 000 € pour un périmètre étendu (codification, DPI, recherche).
• Exploitation annuelle : 100 000 à 400 000 €/an.

Questions fréquentes

Un CHU peut-il utiliser ChatGPT pour des tâches administratives sans données patients ?

Pour des tâches strictement administratives ne faisant intervenir aucune donnée de santé à caractère personnel (rédaction de communications institutionnelles génériques, recherche bibliographique sur des sujets publics, aide à la rédaction de procédures internes générales), l'utilisation de services IA cloud est techniquement possible mais doit être encadrée par une politique d'usage précise. La frontière entre données administratives et données de santé est souvent ténue : un agent ne doit jamais saisir de noms de patients, de numéros de dossiers ou de données cliniques dans un service non HDS, même indirectement.

La certification HDS couvre-t-elle automatiquement la conformité RGPD ?

Non. La certification HDS atteste que l'hébergeur respecte les exigences techniques et organisationnelles pour héberger des données de santé. Elle ne se substitue pas à la conformité RGPD, qui est une obligation distincte portant sur l'ensemble des traitements de données. L'établissement reste responsable de traitement et doit réaliser ses AIPD, tenir son registre, gérer les droits des personnes concernées et respecter toutes les obligations RGPD, indépendamment de la certification HDS de son hébergeur.

Comment intégrer une IA souveraine avec un DPI (Dossier Patient Informatisé) existant ?

L'intégration se fait généralement via des API standardisées, notamment HL7 FHIR qui est le standard d'interopérabilité recommandé par l'ANS pour les échanges de données de santé. L'IA souveraine se connecte au DPI via ces API en lecture (pour accéder aux données du dossier) et en écriture (pour insérer les synthèses ou suggestions générées). Cette intégration nécessite une qualification de l'interface et une validation clinique préalable à la mise en production.