Préjudice pour le patient dû à une erreur du modèle
Une prédiction erronée ou manquée peut affecter directement le diagnostic et le traitement — le mode de défaillance aux plus lourds enjeux de tous.
ISO/IEC 42001 par secteur
L'IA appuie le diagnostic, le triage, l'imagerie, les décisions cliniques et l'administration des patients — là où une erreur est un événement de sécurité du patient, pas un ticket de bug. ISO/IEC 42001 donne aux établissements de santé et aux développeurs d'IA médicale un système de gouvernance auditable qui s'articule avec MDR/IVDR, la sécurité du patient et les obligations relatives aux données de santé.
Pourquoi c'est à haut risque
Une IA qui est un composant de sécurité d'un dispositif médical ou d'un diagnostic in vitro relève de la voie produit de l'EU AI Act (Annex I), liée à la conformité MDR/IVDR — ces obligations s'appliquent à partir du 2 août 2028. L'IA utilisée pour trier ou orienter les soins d'urgence est à haut risque au titre de l'Annex III. Au-dessus de l'AI Act s'ajoutent la documentation technique et l'évaluation clinique MDR/IVDR, les attentes des agences du médicament et de la FDA pour les logiciels dispositifs médicaux, les obligations de sécurité du patient et les règles du GDPR sur les données de santé de catégorie particulière. ISO 42001 complète la voie dispositif — il ne la remplace pas — en gouvernant le système de management de l'IA qui l'entoure.
Les risques
En santé, le coût d'une mauvaise gouvernance de l'IA se mesure en préjudice pour le patient :
Une prédiction erronée ou manquée peut affecter directement le diagnostic et le traitement — le mode de défaillance aux plus lourds enjeux de tous.
Des jeux de données sous-représentant certains groupes produisent des modèles moins performants pour eux, aggravant les inégalités de santé.
Des données d'entraînement cliniques d'origine, de base de consentement ou de qualité incertaines compromettent à la fois la sécurité et la licéité.
Le biais d'automatisation — des cliniciens s'en remettant à l'IA sans revue significative — érode la supervision humaine exigée par la loi.
La performance du modèle se dégrade à mesure que les populations, les dispositifs et les pratiques changent ; sans surveillance, cela passe inaperçu.
Des décisions inexplicables sont difficiles à approuver, à mettre en œuvre ou à défendre.
Comment ISO/IEC 42001 le couvre
Le toolkit associe chaque risque à une mesure précise de l'Annex A et à un document prêt à l'emploi :
| Annex A control | Toolkit document | Why it matters |
|---|---|---|
| A.5 — Évaluation des impacts | AI Impact Assessment (RISK-TPL-01) | Évaluez les effets sur les patients et les cliniciens avant le déploiement — alimente directement la documentation clinique et de risque MDR. |
| A.6 — Cycle de vie et validation | V&V Plan and Report + Model Card + Technical Documentation Pack (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05 / LIFE-TPL-04) | Validation et documentation rigoureuses qui s'alignent sur les fichiers techniques des dispositifs. |
| A.7 — Qualité, provenance et biais des données | Data Quality Assessment + Provenance Log + Bias and Fairness Record (DATA-TPL-03 / DATA-TPL-02 / DATA-TPL-05) | Démontrez des données cliniques représentatives, bien sourcées et licites, et une équité surveillée entre les groupes. |
| A.9.3 — Supervision humaine | Human Oversight Plan (USE-PLN-01) | Gardez un clinicien véritablement dans la boucle et prémunissez-vous contre le biais d'automatisation. |
| A.6.2 / Chapitre 9 — Surveillance | Monitoring Plan & KPI Register (MON-PLN-01) | Surveillance de la performance post-commercialisation et détection de la dérive — attendues à la fois par l'AI Act et les régulateurs des dispositifs. |
| A.8.4 — Réponse aux incidents | AI Incident Response Procedure (INC-PRO-01) | Un flux défini de sévérité et d'escalade pour les événements d'IA pertinents pour la sécurité, avec conservation des preuves. |
Comment y parvenir
Enregistrez chaque système d'IA clinique et administratif, avec un propriétaire et un lien vers tout fichier de conformité de dispositif.
Menez des évaluations d'impact, de biais et de qualité des données ; validez et documentez chaque modèle.
Intégrez la supervision du clinicien, la transparence et un processus d'incident de niveau sécurité.
Surveillez la performance post-commercialisation et la dérive, et alignez l'AIMS avec les preuves MDR/IVDR.
Questions
Non. L'IA de dispositif médical a toujours besoin de sa voie réglementaire. ISO 42001 gouverne le système de management de l'IA autour du dispositif — évaluation des impacts et des biais, gouvernance des données, supervision, surveillance et réponse aux incidents — et ses preuves complètent la documentation technique exigée par ces voies.
L'IA qui est un composant de sécurité d'un dispositif sous MDR/IVDR suit la voie produit avec des obligations à partir du 2 août 2028 ; l'IA de triage d'urgence relève de l'Annex III avec des obligations à partir du 2 décembre 2027. Les exigences de fond sont inchangées — le délai sert à construire le système.
Oui. En tant que déployeur, vous êtes responsable de la supervision humaine, de la surveillance et de l'usage de l'IA dans sa destination prévue. ISO 42001 donne aux établissements les mesures côté déployeur pour le faire de façon défendable.
À lire aussi
Le calendrier complet du haut risque et la cartographie de la norme sur la loi.
Read moreStage 1 et Stage 2 expliquées, avec la séquence qui fonctionne.
Read moreUn autre secteur très réglementé, côte à côte.
Read moreLe toolkit livre les mesures d'impact, de validation, de qualité des données, de supervision, de surveillance et d'incident qu'exige l'IA médicale — prêtes à adapter et à s'articuler avec votre documentation de dispositif.