• AI Act : obligations pour les modèles d’IA à usage général effectives depuis le 2 août 2025.
• Apps médicales : l’UE impose aux plateformes d’identifier et encadrer les logiciels dispositifs médicaux.
• CNIL : checklists et arbre de décision obligatoires dès nov. 2025 dans les demandes via Health Data Hub.
• Biogroup & Agoria Santé : autorisation inédite de croiser données de biologie médicale avec le SNDS.

⚖️AI Act : les obligations pour les modèles d’IA à usage général sont officiellement entrées en vigueur dans l’UE

Depuis le 2 août, les fournisseurs de modèles d’IA à usage général doivent se conformer à des obligations strictes, notamment en matière de transparence, de droits d’auteur et de documentation technique.

Après une première entrée en vigueur en février 2024, l’AI Act franchit une nouvelle étape. Depuis le 2 août 2025, les obligations spécifiques aux modèles d’intelligence artificielle à usage général (GPAI) s’appliquent dans l’Union européenne. Ces modèles, conçus sans finalité précise et pouvant être intégrés dans divers contextes (santé, éducation, industrie…), sont désormais soumis à un ensemble de règles visant à encadrer leur déploiement et leur utilisation. Selon les lignes directrices publiées par la Commission européenne le 18 juillet, un modèle est considéré comme GPAI s’il mobilise une capacité de calcul supérieure à 10²³ FLOPs lors de l’entraînement. Pour les modèles dépassant le seuil de 10²⁵ FLOPs cumulés, un régime renforcé s’applique : ils sont classés comme à risque systémique.

Dans tous les cas, les fournisseurs doivent désormais fournir :

• Une documentation technique exhaustive destinée aux intégrateurs et, sur demande, aux autorités nationales ou au Bureau européen de l’IA.
• Un résumé standardisé des données d’entraînement.
• Une politique de respect des droits d’auteur, conforme au droit européen.

Toute entreprise mettant un modèle d’IA sur le marché européen est considérée comme fournisseur, même si le développement initial a eu lieu hors UE. Les entités modifiant un modèle avec plus d’un tiers de la puissance de calcul utilisée lors de son entraînement d’origine entrent elles aussi dans ce statut réglementaire. Les modèles en open source bénéficient de certaines exemptions (notamment en cas d’absence de monétisation et de collecte de données personnelles), mais ces dérogations ne s’appliquent pas si le seuil de risque systémique est franchi.

Les fournisseurs d’IA auront jusqu’à 2027 pour s’adapter aux nouvelles obligations

Malgré leur entrée en vigueur en août 2025, les obligations ne seront effectives qu’en août 2026 pour les nouveaux modèles, et en août 2027 pour ceux déjà commercialisés. Cette progressivité vise à laisser aux acteurs le temps d’adapter leurs processus et leur documentation. Un code de bonnes pratiques a été publié en parallèle, proposant un cadre de conformité allégé pour les fournisseurs qui choisissent d’y adhérer. Plusieurs acteurs majeurs, dont Google, Microsoft, OpenAI ou Mistral, y ont souscrit. Meta, en revanche, a décliné, évoquant des incertitudes juridiques.

Chaque État membre doit désigner une autorité nationale chargée de superviser la mise en œuvre du règlement. En France, la CNIL est pressentie pour jouer un rôle, en lien avec des régulateurs sectoriels comme l’Arcom ou l’Anssi. Les sanctions prévues en cas de non-conformité peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial des entreprises concernées.

🇪🇺 L’Union européenne encadre la mise à disposition des logiciels médicaux sur les plateformes d’applications

Les plateformes d’apps doivent désormais distinguer clairement les logiciels qualifiés dispositifs médicaux, assurer la conformité réglementaire de leurs contenus et faciliter les obligations d’information prévues par le MDR, l’IVDR et le DSA.

La Medical Device Coordination Group (MDCG) a publié une nouvelle guidance destinée à encadrer la mise à disposition des applications de logiciels dispositifs médicaux (MDSW) sur les plateformes numériques. Ce document clarifie les responsabilités des fournisseurs de plateformes au regard des règlements MDR, IVDR et du Digital Services Act (DSA), et détaille les obligations d’information à respecter. Deux configurations réglementaires possibles. Selon la nature des services proposés, un fournisseur de plateforme d’apps peut être considéré :

• Soit comme un simple intermédiaire au sens du DSA, hébergeant des contenus tiers sans les modifier.
• Soit comme distributeur ou importateur de dispositifs médicaux, notamment s’il héberge et distribue des logiciels qu’il détient ou importe depuis un pays tiers.

Les plateformes doivent trier, informer et se conformer : L’UE impose d’identifier clairement les logiciels à visée médicale

Dans le premier cas, les fournisseurs ne sont pas considérés comme opérateurs économiques, mais doivent répondre à plusieurs obligations issues du DSA, telles que :

• Un mécanisme de notification et de retrait des contenus illégaux.
• La mise à disposition transparente d’informations sur les fabricants.
• Et, pour les très grandes plateformes, la mise en œuvre d’évaluations annuelles de risques systémiques, notamment en lien avec les contenus illégaux ou non conformes.

Dans le second cas, les plateformes endossent des responsabilités renforcées au titre du MDR et de l’IVDR : elles doivent s’assurer de la conformité des logiciels mis en ligne, coopérer avec les autorités compétentes et, si nécessaire, être considérées comme importateur en l’absence d’un fabricant basé dans l’UE.

La guidance détaille les informations que les plateformes doivent rendre accessibles aux utilisateurs finaux lorsque des MDSW sont proposés à la vente ou en téléchargement. Celles-ci incluent notamment :

• Les données d’identification du fabricant (nom, adresse, contact, SRN).
• Les caractéristiques du dispositif (nom, finalité, avertissements, lien vers les instructions d’utilisation, UDI-DI).
• Les éléments de conformité réglementaire (représentant autorisé, numéro de l’organisme notifié, certificat).
• Et les conditions d’utilisation techniques (prérequis matériels, connexions, sécurité…).

Les plateformes doivent également veiller à distinguer clairement les applications relevant d’un usage médical de celles destinées au bien-être ou à la santé générale, via une catégorisation explicite dans leurs interfaces.

Les très grandes plateformes d’apps soumises à des audits annuels de risques systémiques

En tant qu’intermédiaires numériques, les plateformes sont tenues de vérifier la présence et la fiabilité des informations fournies par les fabricants avant toute mise en ligne. Une vérification aléatoire régulière via des bases de données officielles est également attendue. Pour les plateformes désignées comme “Très Grandes”, une obligation supplémentaire s’ajoute : évaluer les risques systémiques liés à leur fonctionnement et mettre en œuvre des mesures d’atténuation efficaces. La MDCG rappelle que toute application mise à disposition sur le marché européen doit être conforme à l’ensemble des législations européennes applicables. Ce document d’orientation vise donc à harmoniser les pratiques des plateformes et à sécuriser l’accès des patients à des outils numériques médicaux sûrs et réglementairement conformes.

📜CNIL : la checklist devient obligatoire dans les demandes d’autorisation dès novembre 2025

Un arbre de décision et des checklists intégrées au starter kit doivent désormais être joints aux dossiers soumis au Health Data Hub. Leur absence sera un motif de rejet à compter du 6 novembre 2025.

Le starter kit destiné à accompagner les porteurs de projets dans leurs démarches d’accès aux données de santé auprès de la CNIL intègre désormais de nouveaux outils : des checklists détaillées et un arbre de décision. Ces documents ont pour objectif de faciliter l’évaluation de l’éligibilité d’un projet à une procédure simplifiée (MR-004, MR-007 ou MR-008), évitant ainsi, dans certains cas, le dépôt d’une demande d’autorisation formelle.

La non-fourniture d’une checklist entraînera le rejet du dossier

Plusieurs procédures simplifiées permettent aux chercheurs, organismes ou entreprises d’accéder à des données de santé sans autorisation préalable, à condition de respecter des conditions strictes. En l’absence d’éligibilité à l’une de ces procédures, les porteurs doivent déposer une demande d’autorisation auprès du Health Data Hub, guichet unique, qui transmet le dossier au CESREES pour avis, avant instruction par la CNIL. Pour sécuriser cette étape, le starter kit mis à disposition a été enrichi de documents pédagogiques. Les nouvelles checklists permettent d’identifier rapidement les exigences réglementaires applicables à un projet et de vérifier leur conformité. Elles constituent aussi un appui à l’analyse de la CNIL en cas de non-conformité partielle, en mettant en évidence les écarts à documenter.

Un arbre de décision complète le dispositif afin d’aider les porteurs de projet à choisir la checklist la plus adaptée aux caractéristiques de leur étude ou évaluation. Dès à présent, la checklist correspondante doit être complétée et jointe à tout dossier soumis au Health Data Hub. Toutefois, une période de tolérance est prévue jusqu’à la séance du CESREES du 6 novembre 2025. Les dossiers transmis avant la date limite du 15 octobre pourront encore être examinés sans cette pièce, mais après cette échéance, son absence constituera un motif de non-complétude, entraînant le rejet du dossier.

Réaliser sa demande d’autorisation auprès de la CNIL | Health Data Hub

📊Biogroup et Agoria Santé autorisés à croiser données de biologie médicale et SNDS : une première pour la CNIL

La CNIL valide pour la première fois l’appariement de données issues de dossiers de biologie médicale avec le SNDS, dans le cadre de la plateforme Agoria Santé, élargissant ainsi les possibilités de recherche académique et industrielle.

Par délibération du 12 juin 2025, la CNIL autorise le consortium Agoria Santé (Docaposte, AstraZeneca, Impact Healthcare, Takeda) à enrichir sa plateforme de données avec celles de 28 laboratoires du réseau Biogroup. Centralisées par BPO-Bioépine, ces données issues des dossiers médicaux de biologie seront pseudonymisées, versées dans l’entrepôt, puis appariées avec le SNDS.

C’est la première autorisation d’un tel croisement en France. Les données concernées couvrent notamment les identifiants internes, données démographiques, résultats d’analyses, actes NABM, et lieux de soin (code FINESS).