Gouvernance de l'IA dans les hôpitaux. Le modèle de contrôle pour 2026

L’IA n’est plus un projet à côté.

‍
Elle est déjà dans les notes cliniques, les parcours de triage, les autorisations, et les nmessages aux patients.

‍

‍
Quand l’IA influence les soins ou les opérations, elle devient auditable.

‍

‍
Les dirigeants doivent pouvoir expliquer ce qui s’est passé, qui en était responsable, et quels contrôles existaient. [1]

‍

‍
Cet article donne aux CEO, COO, CIO et CTO d’hôpitaux un modèle de contrôle clair pour 2026, valable en Suisse et dans l’Union européenne.

‍

‍
Il est conçu pour la vraie vie hospitalière, pas pour une présentation PowerPoint.

‍

‍

L’IA est déjà dans vos workflows, mais la plupart des hôpitaux n’ont pas encore la carte complète

‍

Beaucoup d’hôpitaux pensent qu’ils “pilotent l’IA”.

‍
En réalité, l’IA est déjà là.
‍

Elle est souvent intégrée dans des outils que vous payez déjà. Elle apparaît sous forme de fonctions “intelligentes”, de résumés automatiques, de suggestions d’aide à la décision, et d’étapes suivantes proposées automatiquement.
‍

Cela crée un écart.
‍

Les équipes utilisent l’IA tous les jours.
‍

Mais les directions ne peuvent pas toujours dire où elle tourne, quelles données elle utilise, ni ce qui se passe quand elle se trompe. Cet écart, c’est là que le risque grandit.

‍

Dans cet article, l’IA, c’est l’IA déjà utilisée au quotidien à l’hôpital

‍

Quand cet article dit “IA”, il parle de trois grands ensembles que beaucoup d’hôpitaux utilisent déjà :

‍

‍

Si votre équipe n’a pas “acheté un système IA”, mais que votre fournisseur a activé des fonctions IA, vous avez quand même besoin de gouvernance. [1]

‍

Quand l’IA devient une pièce du système, la gouvernance devient obligatoire

‍

BHM Healthcare Solutions est un cabinet de conseil santé aux États-Unis. Il accompagne des organisations de soins et des payeurs sur la stratégie, les opérations, et l’amélioration de la performance.
‍

Sa série “2025 in Review” partage ce que BHM observe sur des déploiements IA en conditions réelles dans la santé. 
‍

L’avertissement de BHM est simple : les dirigeants ont validé l’IA comme un petit outil de productivité.
‍
Dans les faits, l’IA est devenue une partie du système.
‍
Elle est entrée dans la documentation, l’analyse d’utilisation, la logique de couverture, et les workflows administratifs. [1]
‍

Cela crée de nouvelles dépendances, et de nouveaux modes d’échec.
‍

BHM décrit des schémas que les directions voient désormais [1] :
‍

• La dépendance opérationnelle augmente : si l’outil tombe, le workflow ralentit. 
  ‍
• La responsabilité devient floue : les équipes l’utilisent, mais personne ne “possède” le sujet.
  ‍
• Les rollouts vont plus vite que le contrôle : la validation et l’escalade arrivent après la mise en service. 
  ‍
• La dérive du modèle devient un vrai risque : une baisse progressive peut passer inaperçue. 
  ‍
• L’exposition du top management augmente : des résultats peuvent être revus par des auditeurs, des cliniciens, et des patients. 

‍

Test de leadership pour 2026 : arrêtez de mesurer “combien d’IA vous avez déployé”.
‍

Commencez à mesurer “à quel point vous pouvez expliquer, prouver, et documenter le contrôle”.

‍

UE : ce qui change concrètement avec le EU AI Act et l’EHDS

EU AI Act : la supervision devient un devoir [2]

‍

Le EU AI Act pose des règles pour les systèmes d’IA, avec des obligations pour certains usages plus risqués. 
‍

Il inclut des exigences liées à la gouvernance, la documentation, et la supervision humaine. 
‍

Vous n’avez pas besoin d’être juriste pour comprendre l’idée.
‍

Si un système d’IA peut affecter la santé, la sécurité, les droits, ou l’accès, vous devez montrer que vous le contrôlez.
‍

Vous avez besoin de rôles clairs, de limites documentées, de surveillance, et d’une capacité d’enquête. 

‍

‍

EHDS : votre programme IA devient un programme de données [3]

‍

La Commission européenne indique que le règlement EHDS est entré en vigueur le 26 mars 2025, et qu’il ouvre une phase de transition vers une mise en application par étapes. 
‍

L’EHDS compte parce que la montée en charge de l’IA dépend des données.
‍

Si vous ne pouvez pas montrer d’où vient la donnée, quelles autorisations s’appliquent, et comment elle circule entre systèmes, vous aurez du mal à déployer l’IA en toute sécurité.
‍

Vous aurez aussi du mal à défendre vos choix quand on vous questionnera. 

‍

‍

Suisse : les impacts immédiats pour la gouvernance de l’IA

Direction du Conseil fédéral : s’aligner, puis adapter [4]

‍

Le 12 février 2025, le Conseil fédéral a déclaré que la Suisse entend ratifier la Convention du Conseil de l’Europe sur l’IA et adapter le droit suisse si nécessaire. Il a aussi indiqué que le travail continue sur une régulation IA par secteurs, dont la santé. 
‍

La Suisse ne lancera peut-être pas une “loi IA” unique tout de suite.
‍

Mais la direction est claire : alignement international, puis règles par secteur. 

‍

‍

Protection des données en Suisse : les règles s’appliquent déjà [5]

‍

Le cadre suisse révisé de protection des données s’applique depuis le 1er septembre 2023. 

Cela touche des déploiements très concrets :

• messages aux patients
  ‍
• automatisation de la documentation
  ‍
• analytics sur données patients
  ‍
• tout outil IA qui traite des données personnelles
  ‍

Traduction pour les dirigeants : si l’IA touche des données patients, vous avez besoin de limites de finalité, de contrôles d’accès, et d’une approche “privacy by design”.
‍

Vous avez aussi besoin d’une position claire sur la transparence, et vous devez pouvoir la défendre. 

‍

‍

Ligne “dispositif médical” : une partie de l’IA devient une technologie régulée [6]

‍

L’Office fédéral de la santé publique indique que la Suisse a révisé ses règles sur les dispositifs médicaux en s’alignant sur les règlements européens MDR et IVDR, ce qui renforce les attentes en sécurité et en qualité. 
‍

En clair : si un outil IA fonctionne comme un logiciel de dispositif médical dans votre établissement, traitez-le comme une technologie régulée.
‍

Cela veut dire : gestion des risques, validation, contrôle des changements, et documentation que vous pouvez présenter lors d’une revue. 

‍

‍

DigiSanté : la piste d’atterrissage pour une montée en charge sûre [7]

‍

DigiSanté vise à introduire des standards, des spécifications, et une infrastructure pour faciliter l’échange de données. 
‍

Le programme pointe aussi vers une direction “espace suisse des données de santé”, avec une réutilisation secondaire responsable.

‍

Réalité transfrontalière. Pourquoi les normes de l'UE sont toujours importantes pour les fournisseurs suissesRéalité transfrontalière : pourquoi les standards UE comptent aussi pour les hôpitaux suisses

‍

Même hors UE, les règles européennes peuvent compter dans la pratique quand vous :
‍

• déployez des systèmes IA mis sur le marché UE par des fournisseurs que vous utilisez
  ‍
• fournissez des services transfrontaliers à des patients UE ou à des partenaires UE
  ‍
• participez à des réseaux de recherche UE ou à des dispositifs de réutilisation de données basés dans l’UE
  ‍
• exploitez des filiales, des cliniques, ou des contrats dans des États membres UE
  ‍

Le Conseil fédéral signale aussi une intention d’alignement international. Cela augmente la probabilité que la gouvernance “niveau UE” devienne la norme dans les partenariats et les achats. [4]
Ce que le conseil d’administration voudra savoir, en 4 questions

Beaucoup de prestataires suisses adoptent une gouvernance type UE parce que les fournisseurs, les partenaires, et les flux de patients les y poussent. [2] [4]

‍

Quatre questions seront posées par votre conseil d'administration. Peux-tu y répondre ?

‍

Les conseils d’administration ne veulent pas des buzzwords.

‍

Ils veulent des preuves de contrôle. Voici les questions qui comptent.

‍

‍

1) Où l’IA influence-t-elle les soins, l’accès, ou les contenus destinés aux patients ? Est-ce du “haut risque” ?

‍

Le EU AI Act prévoit des obligations pour des usages d’IA qui entrent dans des catégories plus risquées. [2]
‍

Dans la santé, cela peut inclure des outils qui influencent le triage, des décisions, ou des résultats visibles par les patients.
‍

Ce que le conseil attend : une liste claire de ces cas d’usage, des responsables nommés, et des contrôles en place.

‍

2) Pouvez-vous prouver que votre chaîne de données est propre, légale, et traçable ?

‍

L’EHDS est entré en vigueur le 26 mars 2025 et avance via une phase de transition vers une mise en application par étapes. [3]
‍

Le point pratique, lui, est immédiat : vous avez besoin d’interopérabilité, d’autorisations claires, et d’une provenance traçable, pour déployer en sécurité et pour défendre vos choix.

Ce que le conseil attend : sources de données cartographiées par cas d’usage, autorisations claires, provenance traçable.

‍

‍

3) Êtes-vous “privacy-safe” en Suisse, aujourd’hui ?

‍

La protection des données s’applique depuis le 1er septembre 2023. [5]
‍

Elle encadre ce que vous pouvez faire avec les données patients et des workflows pilotés par l’IA.
‍

Ce que le conseil attend : limites de finalité, contrôles d’accès, et une position de transparence expliquée simplement.

‍

4) Traitez-vous une IA régulée comme une simple “fonction” ? 

‍

Si un outil IA fonctionne comme un logiciel de dispositif médical dans votre contexte, il faut des contrôles plus forts.
‍

La validation, la gestion des risques, et le contrôle des changements sont centraux. [6]
‍

Ce que le conseil attend : une logique de classification claire, et des preuves que vous appliquez un niveau d’assurance plus élevé quand c’est nécessaire.

‍

Le seul modèle de risque dont vous avez besoin pour démarrer

‍

Vous n’avez pas besoin d’un cadre complexe pour commencer.
‍

Commencez avec quatre niveaux. Utilisez-les pour décider quoi gouverner en premier.

‍

‍

Règle simple : Niveau 1 et Niveau 2 doivent avoir des responsables nommés, des règles d’usage écrites, une surveillance, et un pack de preuves prêt..

Les premiers incidents IA à anticiper, dès le début

‍

Planifiez les défaillances fréquentes, pas les cas rares.
‍

Voici celles que les dirigeants devraient voir tôt :
‍

• mauvaises consignes de sortie, ou mauvais suivis
  ‍
• erreurs de conseils médicament, dose, interactions, contre-indications
  ‍
• documentation biaisée, l’IA lisse le récit et enlève l’incertitude
  ‍
• complaisance d’automatisation, le staff fait trop confiance à des sorties “sûres d’elles”
  ‍
• dérive silencieuse, l’exactitude baisse après des mises à jour ou des changements de population
  ‍

Si l’IA touche les messages patients, la documentation, ou le triage, ces défaillances deviennent un risque clinique et un risque de réputation, pas seulement un “bug technique”.

‍

Plan 90 jours : reprendre le contrôle, sans bloquer les équipes

‍

Ce plan est conçu pour s'adapter à la réalité de l'hôpital. Il se concentre d'abord sur les niveaux 1 et 2.

‍

1) Cartographier chaque point de contact IA, y compris les fonctions cachées

• Créez un registre IA avec chaque outil et chaque fonction intégrée.
  ‍
• Incluez les modules DPI, la dictée, les portails, les centres d’appels, la facturation.
  ‍
• Taguez chaque item par niveau de risque, et par domaine, clinique, ops, finance, patient-facing.
  ‍
• Repérez tout ce qui touche : triage, notes, texte de sortie, codage, autorisations, communication patient.
  ‍

Résultat attendu au jour 30 : une liste assez complète pour être défendable.

‍

2) Assigner des responsables, nommez des personnes, pas des fonctions

‍

Pour le Niveau 1 et le Niveau 2, désignez des responsables nommés pour :

• sécurité clinique et pertinence
  ‍
• performance opérationnelle et continuité
  ‍
• privacy et sécurité, protection des données, accès, risque fournisseur
  ‍
• assurance, validation, monitoring, dérive, préparation audit
  ‍

Documentez aussi qui porte la responsabilité finale quand l’humain et l’IA interagissent.
‍

Résultat attendu au jour 45 : une carte de responsabilités sur une page.

‍

3) Rédiger des règles d’usage d’une page pour chaque outil Niveau 1 et Niveau 2

‍

Pour chaque outil, écrivez une page :

• ce qu’il peut faire, et ce qu’il ne doit pas faire
  ‍
• où il tourne, module, parcours, service
  ‍
• points de supervision, seuils de revue, co-signature, double vérification
  ‍
• escalade, “si cela semble faux, faites X, puis Y, puis Z”
  ‍
• position transparence patient, ce que vous divulguez, où, comment
  ‍

Résultat attendu au jour 60 : des règles d’usage pour vos outils les plus risqués.

‍

‍

4) Valider avant d’étendre, puis surveiller comme un parcours clinique

‍

Faites des tests avant mise en service, avec des critères d’acceptation.
‍

Vérifiez l’exactitude et la robustesse, vérifiez les biais quand c’est pertinent.
‍

Choisissez 3 à 5 KPI pour le Niveau 1 et le Niveau 2 :

• taux de surclassement humain, override rate
  ‍
• charge de reprise, rework burden
  ‍
• taux d’incident
  ‍
• signaux de plaintes
  ‍
• indicateurs de dérive
  ‍

Revoyez chaque semaine le premier mois, puis chaque mois pour le Niveau 1 et le Niveau 2.
5) Gérer les incidents IA comme la qualité et la sécurité

Résultat attendu au jour 75 : un tableau de bord simple, et un rythme de revue.

‍

‍

5) Gérez la réponse aux incidents liés à l'IA, notamment en matière de qualité et de sécurité

‍

Définissez “incident IA” en termes simples :

• conseil dangereux
  ‍
• événement privacy
  ‍
• désinformation systémique
  ‍
• perturbation de workflow
  ‍

Activez une capacité de pause rapide, puis de rollback.
‍

Journalisez les incidents dans votre système qualité et sécurité.
‍

Fermez la boucle avec des actions correctives.
‍

Résultat attendu au jour 90 : un runbook opérationnel, et un scénario testé en simulation.

‍

‍

‍6) Renforcer les contrôles des achats et des fournisseurs

‍

Pour les outils Niveau 1 et Niveau 2, demandez :

• finalité et limites
  ‍
• cadence de mise à jour
  ‍
• approche de monitoring
  ‍
• journaux d’audit, et support d’investigation
  ‍

Ajoutez des clauses contractuelles pour :

• gestion des changements
  ‍
• obligations de sécurité
  ‍
• rôles de traitement des données
  ‍

Vérifiez aussi si le cas d’usage peut devenir un logiciel de dispositif médical dans votre contexte, puis appliquez un niveau d’assurance plus élevé si nécessaire. [6]

‍

7) Renforcer les fondations de données

‍

Cartographiez les sources de données et les autorisations par cas d’usage.
‍

Tracez la provenance et la base légale pour la réutilisation.
‍

Priorisez l’interopérabilité et la qualité des données liées à vos cas d’usage principaux.
‍

Cela s’aligne avec la direction EHDS sur la gouvernance des données et la réutilisation, et avec les travaux suisses qui visent un meilleur échange. [3] [7]

‍

Ce qu’il faut montrer aux auditeurs, aux conseils, et aux partenaires

Si quelqu’un demande “prouvez le contrôle”, vous devez pouvoir montrer :

• registre IA, quoi, où, pourquoi, niveau
  ‍
• responsables nommés, clinique, ops, privacy, assurance
  ‍
• règles d’usage pour les outils Niveau 1 et Niveau 2
  ‍
• preuves de validation, et critères de go-live
  ‍
• tableau de bord de monitoring, et notes de cadence de revue
  ‍
• journaux d’audit, et contrôles d’accès
  ‍
• runbook incident, plus une preuve d’exercice
  ‍
• approbations de mise à jour fournisseur, et notes de changement
  ‍
• position sur la classification dispositif médical quand pertinent
  ‍
• cartographie des données et des permissions pour les cas d’usage prioritaires

‍

Prochaine étape : mettre cela sous contrôle en 90 jours

‍

Vous voulez mettre cela sous contrôle en 90 jours ?
‍

Lançons un AI Governance Sprint conçu pour les hôpitaux, pas pour la théorie.
‍

En 2 à 3 sessions de travail, nous livrons :
‍

• un registre IA, y compris les fonctions fournisseurs cachées
  ‍
• un classement par niveaux de risque pour chaque cas d’usage
  ‍
• des responsables nommés, clinique, ops, privacy, assurance
  ‍
• des règles d’usage d’une page pour les outils Niveau 1 et Niveau 2
  ‍
• un tableau de bord de monitoring, avec une cadence de revue
  ‍
• un runbook incident, avec un plan d’exercice de rollback
  ‍

Partagez les 5 cas d’usage IA qui vous inquiètent le plus.
‍

Je les traduis en périmètre de sprint concret, avec responsables, points de contrôle, et premiers contrôles à mettre en place.

‍

Références

1. BHM Healthcare Solutions, « La gouvernance de l'IA, et non son adoption, est désormais un test de leadership clé » (Bilan 2025, partie 3) . [https://bhmpc.com/2026/01/2025-in-review-part-3/ ]

2. Union européenne, Loi sur l'intelligence artificielle, règlement (UE) 2024/1689, page officielle EUR-Lexp. [https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng]

3. Commission européenne, Chronologie de la « Réglementation européenne de l'espace des données de santé (EHDS) ». Entrée en vigueur le 26 mars 2025. [https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en

4. Conseil fédéral suisse, « Réglementation de l'IA : le Conseil fédéral va ratifier la Convention du Conseil de l'Europe », 12 février 2025 (news.admin.ch) . [https://www.news.admin.ch/en/nsb?id=104

5. KMU.admin.ch, « Nouvelle loi fédérale sur la protection des données (NFAdP) », applicable depuis le 1er septembre 2023. [https://www.kmu.admin.ch/kmu/en/home/facts-and-trends/digitization/data-protection/new-federal-act-on-data-protection-nfadp.html]

6. Office fédéral de la santé publique suisse (OFSP), « Législation sur les dispositifs médicaux », révisée conformément au MDR et à l'IVDR de l'UE. [https://www.bag.admin.ch/en/medical-devices-legislation]

7. digital.swiss, description du programme DigiSanté, normes et infrastructure pour l'échange de données et orientation de l'espace suisse pour les données de santé. [https://digital.swiss/en/action-plan/measures/design-of-programme-to-promote-digital-transformation-in-the-healthcare-sector]

‍

Foire aux questions

‍

1) Qu’est-ce qui compte comme “IA” dans ce modèle de contrôle ?

‍

Tout ce qui génère, prédit, recommande, ou déclenche des étapes suivantes automatiques dans les workflows hospitaliers.

Cela inclut :

• IA générative : rédiger des consignes de sortie, résumer des notes, générer des messages patients
  ‍
• Machine learning : scores de risque, modèles de prédiction, routage et priorisation
  ‍
• IA intégrée fournisseur : fonctions “smart” du DPI, suggestions de codage, automatisation facturation, guidance centre d’appel, optimisation planning
  ‍

Règle simple : si une fonction peut influencer les soins, l’accès, la documentation, ou un contenu patient-facing, mettez-la dans le registre IA et gouvernez-la.

‍

2) Nous n’avons pas “acheté de l’IA”. Avons-nous quand même besoin de gouvernance IA ?

‍

Oui. Beaucoup d’hôpitaux utilisent de l’IA parce que les fournisseurs l’intègrent dans des outils déjà payés, souvent via des résumés, des prompts, des aides au codage, ou de l’automatisation de workflow.
‍

La gouvernance ne dépend pas de ce que vous avez acheté. Elle dépend de ce qui influence des décisions et des sorties dans votre environnement.
‍

Si la direction ne peut pas dire où l’IA tourne, ce qu’elle utilise, et ce qui se passe quand elle se trompe, le risque augmente vite.

‍

3) Quelle est la méthode la plus rapide pour savoir quoi gouverner en premier ?

‍

Utilisez le modèle par niveaux, puis commencez par les deux premiers :
‍

• Niveau 1 : patient-facing et influence décisionnelle
  ‍
• Niveau 2 : orientation de workflow ou impact financier
  ‍

Faites quatre choses en premier : nommez les responsables, écrivez les règles d’usage, mettez un monitoring, et préparez le pack de preuves pour les outils Niveau 1 et Niveau 2.

‍

4) Quel est le minimum à montrer à un conseil d’administration ou à un auditeur ?

‍

Un pack “preuve de contrôle” que vous pouvez ouvrir en une réunion :
‍

• registre IA, quoi, où, pourquoi, niveau
  ‍
• responsables nommés, clinique, ops, privacy, assurance
  ‍
• règles d’usage pour les outils Niveau 1 et Niveau 2
  ‍
• preuves de validation, et critères de go-live
  ‍
• tableau de bord monitoring, et notes de cadence de revue
  ‍
• journaux d’audit, et contrôles d’accès
  ‍
• runbook incident, plus une preuve d’exercice
  ‍
• approbations de mise à jour fournisseur, et notes de changement
  ‍
• position classification dispositif médical quand pertinent
  ‍
• cartographie des données et des permissions pour les cas d’usage prioritaires
  ‍

Si vous pouvez montrer cela, vous répondez vite aux questions les plus importantes.

‍

5) Comment gérer la sécurité IA sans ralentir les opérations ?

‍

Ne créez pas une nouvelle bureaucratie. Intégrez le contrôle IA dans les routines existantes.
‍

Des actions simples qui marchent à l’hôpital :
‍

• utilisez un modèle standard “règles d’usage” d’une page pour les outils Niveau 1 et Niveau 2
  ‍
• suivez 3 à 5 KPI avec une cadence fixe, chaque semaine au début, puis chaque mois
  ‍
• traitez les incidents IA via votre processus qualité et sécurité
  ‍
• exigez des fournisseurs des logs, un support d’enquête, et un contrôle des changements
  ‍

Vous gardez la vitesse, tout en gardant le risque visible et géré.

‍

6) Quand les règles UE comptent-elles pour un hôpital suisse ?
‍

Les standards UE comptent souvent dans la pratique quand vous :
‍

• déployez des systèmes IA mis sur le marché UE par des fournisseurs utilisés
  ‍
• fournissez des services transfrontaliers à des patients UE ou à des partenaires UE
  ‍
• participez à des réseaux de recherche UE ou à des dispositifs de réutilisation UE
  ‍
• opérez des filiales, cliniques, ou contrats dans l’UE
  ‍

Même quand ce n’est pas “strictement obligatoire”, beaucoup d’hôpitaux suisses adoptent une gouvernance niveau UE parce que les fournisseurs, les partenaires, et les flux patients les y poussent. [2] [4]

‍

7) Qui doit “posséder” la gouvernance IA dans l’hôpital ?

‍

La gouvernance IA se partage, mais l’accountability doit être nommée pour les outils Niveau 1 et Niveau 2.
‍

Une répartition qui marche :
‍

• responsable clinique : sécurité et pertinence
  ‍
• responsable opérations : performance et continuité
  ‍
• responsable privacy et sécurité : protection des données, accès, risque fournisseur
  ‍
• responsable assurance : validation, monitoring, dérive, préparation audit
  ‍

Règle simple : si vous ne pouvez pas nommer le responsable en 10 secondes, vous n’avez pas encore de gouvernance.