ISO/IEC 42001 par secteur

ISO/IEC 42001 pour la santé et l'IA médicale

L'IA appuie le diagnostic, le triage, l'imagerie, les décisions cliniques et l'administration des patients — là où une erreur est un événement de sécurité du patient, pas un ticket de bug. ISO/IEC 42001 donne aux établissements de santé et aux développeurs d'IA médicale un système de gouvernance auditable qui s'articule avec MDR/IVDR, la sécurité du patient et les obligations relatives aux données de santé.

Pourquoi c'est à haut risque

EU AI Act — Annex I & Annex III, à haut risque

L'IA médicale porte la charge de conformité la plus stricte

Une IA qui est un composant de sécurité d'un dispositif médical ou d'un diagnostic in vitro relève de la voie produit de l'EU AI Act (Annex I), liée à la conformité MDR/IVDR — ces obligations s'appliquent à partir du 2 août 2028. L'IA utilisée pour trier ou orienter les soins d'urgence est à haut risque au titre de l'Annex III. Au-dessus de l'AI Act s'ajoutent la documentation technique et l'évaluation clinique MDR/IVDR, les attentes des agences du médicament et de la FDA pour les logiciels dispositifs médicaux, les obligations de sécurité du patient et les règles du GDPR sur les données de santé de catégorie particulière. ISO 42001 complète la voie dispositif — il ne la remplace pas — en gouvernant le système de management de l'IA qui l'entoure.

Les risques

Là où l'IA médicale crée de l'exposition

En santé, le coût d'une mauvaise gouvernance de l'IA se mesure en préjudice pour le patient :

Préjudice pour le patient dû à une erreur du modèle

Une prédiction erronée ou manquée peut affecter directement le diagnostic et le traitement — le mode de défaillance aux plus lourds enjeux de tous.

Biais démographique dans les modèles cliniques

Des jeux de données sous-représentant certains groupes produisent des modèles moins performants pour eux, aggravant les inégalités de santé.

Provenance et qualité des données

Des données d'entraînement cliniques d'origine, de base de consentement ou de qualité incertaines compromettent à la fois la sécurité et la licéité.

Excès de confiance du clinicien

Le biais d'automatisation — des cliniciens s'en remettant à l'IA sans revue significative — érode la supervision humaine exigée par la loi.

Dérive post-commercialisation

La performance du modèle se dégrade à mesure que les populations, les dispositifs et les pratiques changent ; sans surveillance, cela passe inaperçu.

Explicabilité aux cliniciens et aux patients

Des décisions inexplicables sont difficiles à approuver, à mettre en œuvre ou à défendre.

Comment ISO/IEC 42001 le couvre

Les mesures et modèles qui comptent le plus ici

Le toolkit associe chaque risque à une mesure précise de l'Annex A et à un document prêt à l'emploi :

Annex A controlToolkit documentWhy it matters
A.5 — Évaluation des impactsAI Impact Assessment (RISK-TPL-01)Évaluez les effets sur les patients et les cliniciens avant le déploiement — alimente directement la documentation clinique et de risque MDR.
A.6 — Cycle de vie et validationV&V Plan and Report + Model Card + Technical Documentation Pack (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05 / LIFE-TPL-04)Validation et documentation rigoureuses qui s'alignent sur les fichiers techniques des dispositifs.
A.7 — Qualité, provenance et biais des donnéesData Quality Assessment + Provenance Log + Bias and Fairness Record (DATA-TPL-03 / DATA-TPL-02 / DATA-TPL-05)Démontrez des données cliniques représentatives, bien sourcées et licites, et une équité surveillée entre les groupes.
A.9.3 — Supervision humaineHuman Oversight Plan (USE-PLN-01)Gardez un clinicien véritablement dans la boucle et prémunissez-vous contre le biais d'automatisation.
A.6.2 / Chapitre 9 — SurveillanceMonitoring Plan & KPI Register (MON-PLN-01)Surveillance de la performance post-commercialisation et détection de la dérive — attendues à la fois par l'AI Act et les régulateurs des dispositifs.
A.8.4 — Réponse aux incidentsAI Incident Response Procedure (INC-PRO-01)Un flux défini de sévérité et d'escalade pour les événements d'IA pertinents pour la sécurité, avec conservation des preuves.

Comment y parvenir

De l'IA clinique à un système auditable et sûr

  1. 1

    Enregistrez chaque système d'IA clinique et administratif, avec un propriétaire et un lien vers tout fichier de conformité de dispositif.

  2. 2

    Menez des évaluations d'impact, de biais et de qualité des données ; validez et documentez chaque modèle.

  3. 3

    Intégrez la supervision du clinicien, la transparence et un processus d'incident de niveau sécurité.

  4. 4

    Surveillez la performance post-commercialisation et la dérive, et alignez l'AIMS avec les preuves MDR/IVDR.

Questions

Santé et IA médicale — réponses rapides

ISO 42001 remplace-t-il MDR/IVDR ou l'autorisation de la FDA ?

Non. L'IA de dispositif médical a toujours besoin de sa voie réglementaire. ISO 42001 gouverne le système de management de l'IA autour du dispositif — évaluation des impacts et des biais, gouvernance des données, supervision, surveillance et réponse aux incidents — et ses preuves complètent la documentation technique exigée par ces voies.

Quand les obligations de l'AI Act s'appliquent-elles à l'IA médicale ?

L'IA qui est un composant de sécurité d'un dispositif sous MDR/IVDR suit la voie produit avec des obligations à partir du 2 août 2028 ; l'IA de triage d'urgence relève de l'Annex III avec des obligations à partir du 2 décembre 2027. Les exigences de fond sont inchangées — le délai sert à construire le système.

Nous sommes un hôpital utilisant une IA clinique achetée, pas un fabricant — cela s'applique-t-il ?

Oui. En tant que déployeur, vous êtes responsable de la supervision humaine, de la surveillance et de l'usage de l'IA dans sa destination prévue. ISO 42001 donne aux établissements les mesures côté déployeur pour le faire de façon défendable.

Gouvernez l'IA médicale au niveau de la sécurité du patient

Le toolkit livre les mesures d'impact, de validation, de qualité des données, de supervision, de surveillance et d'incident qu'exige l'IA médicale — prêtes à adapter et à s'articuler avec votre documentation de dispositif.