Chatbots d’IA en santé : la qualification juridique à l’épreuve des usages

L’essor des chatbots d’IA en santé interroge leur qualification comme dispositifs médicaux et leur éventuel statut d’IA à haut risque face à des usages pouvant avoir une portée médicale.

Au sommaire :

• Les chatbots d’IA pourraient produire des réponses à portée médicale sans relever, en l’état, du régime des dispositifs médicaux ;
• L’analyse réglementaire repose d’abord sur la destination définie par le fabricant, préalable à tout examen des fonctionnalités ;
• Les usages de ces systèmes interrogent toutefois les catégories juridiques actuelles et pourraient conduire, à terme, à un affinement de l’appréciation de la destination.

Un patient décrit une douleur thoracique irradiant dans le bras gauche à son chatbot. Le système lui répond en évoquant un possible syndrome coronarien aigu et en lui recommandant d’appeler le 15. Est-ce un acte à portée diagnostique nécessitant un encadrement réglementaire spécifique ?

Ce type d’interaction n’est plus hypothétique. Les chatbots, ou agents conversationnels, fondés sur des modèles de langage de grande taille (LLM) reposent sur des systèmes d’intelligence artificielle capables de générer des réponses en langage naturel à partir du contexte de l’interaction.

Plusieurs acteurs du numérique développent aujourd’hui de tels systèmes dans le secteur de la santé. S’ils offrent des perspectives importantes, ils soulèvent également des risques documentés.

L’ECRI, organisation indépendante, a ainsi classé le mésusage des chatbots d’IA parmi les principaux risques émergents pour la sécurité des patients dans son rapport Top 10 Health Technology Hazards for 2026[1].

Pourtant, ces systèmes ne sont généralement pas soumis à la réglementation des dispositifs médicaux. Présentés comme des outils d’information générale, ils ne revendiquent pas de finalité médicale.

Il en résulte une tension entre un cadre juridique fondé sur la destination revendiquée par le fabricant et des technologies dont les capacités permettent, dans certaines conditions d’usage, de produire des réponses à portée médicale sans relever d’une destination médicale revendiquée.

La présente analyse se concentre sur la qualification de ces systèmes au regard du règlement (UE) 2017/745 relatif aux dispositifs médicaux (« MDR »), avec un éclairage complémentaire au regard du règlement (UE) 2024/1689 sur l’intelligence artificielle (« IA Act »), sans épuiser l’ensemble des questions juridiques soulevées, et en particulier les enjeux de protection des données et de sécurité des systèmes.

I – Le critère de central de qualification : l’analyse de la destination revendiquée par le fabricant

La destination revendiquée par le fabricant constitue un critère déterminant tant pour la qualification en tant que dispositif médical que, par voie de conséquence, pour l’éventuelle classification du système comme IA à haut risque.

1. La destination conditionne la qualification en dispositif médical

Aux termes de l'article 2 du MDR, constitue un dispositif médical tout instrument, appareil ou logiciel destiné par le fabricant à être utilisé à des fins de diagnostic, de prévention, de surveillance ou de traitement d'une maladie. Cette définition, reprise à l'article L. 5211-1 du Code de la santé publique, place la notion de destination au cœur de la qualification juridique. Celle-ci ne résulte pas du seul libellé du produit : elle s'apprécie à travers l'ensemble des informations fournies par le fabricant, notamment l’étiquetage, les instructions d’utilisation, les documents commerciaux et promotionnels.

La Cour de justice de l’Union européenne a confirmé le rôle structurant de ce critère, en particulier dans deux arrêts de référence. Dans les arrêts Brain Products[2] puis Snitem et Philips France[3], elle a considéré qu’un logiciel ne relève pas du champ du droit des dispositifs médicaux du seul fait qu’il est utilisé dans un contexte médical. Encore faut-il que sa destination, telle que définie par son fabricant, soit spécifiquement médicale.

Ce n’est qu’une fois la destination médicale établie que l’analyse porte sur les fonctionnalités du logiciel. Un logiciel peut alors être qualifié de dispositif médical notamment s’il analyse ou interprète des données de santé, contribue à l’établissement d’un diagnostic, formule des recommandations thérapeutiques ou assiste la prise de décision clinique. À l’inverse, les logiciels se limitant à la transmission, au stockage ou à la présentation d’informations demeurent en principe exclus du champ du MDR, conformément aux lignes directrices MDCG 2019-11.

En pratique, les chatbots généralistes qui ne revendiquent pas de destination médicale sont donc, sauf éléments particuliers, généralement exclus du champ du MDR.

2. Le régime des IA à haut risque : conditionné par la qualification de dispositif médical

L’IA Act n’instaure pas de catégorie autonome pour les chatbots en santé.

Aux termes de son article 6 § 1, la qualification d’un système d’intelligence artificielle comme « à haut risque » repose notamment sur son rattachement à des cadres juridiques existants. En particulier, un système est qualifié de haut risque lorsqu’il constitue un produit ou un composant de sécurité relevant d’une législation d’harmonisation de l’Union, telle que le MDR, et qu’il est soumis à une évaluation de conformité par un tiers.

Ainsi, la qualification d’un chatbot en tant qu’IA à haut risque dépend étroitement de sa qualification préalable comme dispositif médical.

En pratique, en l’absence de destination médicale revendiquée et donc de qualification comme dispositif médical, un chatbot n’entre généralement pas dans la catégorie des systèmes d’IA à haut risque.

Il en résulte que l’IA Act prolonge la logique du droit des dispositifs médicaux en faisant de la destination revendiquée — de manière indirecte — un critère déterminant de l’application d’un encadrement renforcé.

Indépendamment de cette première hypothèse, l’article 6, § 2 de l’IA Act prévoit qu’un système d’IA peut être qualifié de haut risque lorsqu’il relève de l’un des cas d’usage listés à l’annexe III ; qui n’inclut pas, sauf cas particuliers,  les chatbots généralistes.

Ainsi, en l’état du droit, les chatbots ne revendiquant pas une finalité médicale ne relèvent donc pas du régime strict des systèmes d’IA à haut risque, mais sont soumis à un socle d’exigences transversales centré sur la transparence de l’information.

II – Les usages de ces systèmes mettent néanmoins les catégories juridiques actuelles sous tension

L'émergence des modèles de langage de grande taille introduit des caractéristiques techniques qui rendent plus complexe l'application du critère de destination. Ces systèmes diffèrent des logiciels médicaux traditionnels, notamment au regard de leurs capacités.

1. Des systèmes capables de produire des réponses à portée médicale sans y être explicitement destinés

Les logiciels médicaux traditionnels reposent généralement sur des fonctionnalités prédéfinies, conçues, documentées et validées lors du développement du produit. Les systèmes fondés sur des modèles de langage fonctionnent selon une logique radicalement différente : leur comportement n’est pas déterminé par une liste fermée de fonctions, mais par une architecture probabiliste qui génère des réponses nouvelles en fonction du contexte de chaque interaction.

Cette caractéristique a une conséquence directe : un utilisateur décrivant ses symptômes à un chatbot à vocation généraliste peut recevoir des réponses comportant des hypothèses diagnostiques, des interprétations de symptômes ou des orientations médicales.

Ces réponses ne résultent pas d’une fonctionnalité médicale délibérément intégrée dans le logiciel, mais de la capacité générale du modèle à traiter un contexte médical avec le même mécanisme que toute autre requête.

La frontière entre un outil d’information générale et un logiciel produisant une réponse à portée médicale devient ainsi plus difficile à tracer, non par intention du concepteur, mais par nature du système.

2. Les usages raisonnablement prévisibles relèvent de la gestion des risques, non de la qualification initiale

Dans le cadre du MDR, les fabricants doivent intégrer, dans leur système de gestion des risques, non seulement les risques liés à l’utilisation prévue du dispositif, mais aussi ceux associés à toute mauvaise utilisation raisonnablement prévisible. Cette logique est précisée par la norme ISO 14971:2019, qui définit cette dernière comme une utilisation non prévue par le fabricant, mais résultant d’un comportement humain raisonnablement anticipable.

Une logique comparable se retrouve dans l’IA Act pour les systèmes d’IA à haut risque. Le dispositif de gestion des risques doit en effet prendre en compte les risques susceptibles d’apparaître lorsque le système est utilisé conformément à sa destination, mais aussi dans des conditions de mauvaise utilisation raisonnablement prévisibles.

Dans ce contexte, il apparaît raisonnablement prévisible que des chatbots généralistes soient utilisés pour des questions de santé, compte tenu de leur accessibilité, de leur diffusion large et de leur capacité à produire des réponses contextualisées.

Toutefois, dans le MDR comme dans l’IA Act, cette notion intervient au stade de la gestion des risques et non à celui de la qualification initiale.

Autrement dit, un usage médical raisonnablement prévisible ne pourrait pas, en l’état du droit, être pris en compte au stade de la qualification juridique dès lors que le chatbot ne revendiquerait pas de finalité médicale.

L’analyse qui précède met ainsi en évidence une tension entre les capacités techniques de ces systèmes et les catégories juridiques qui leur sont aujourd’hui applicables.

III – Vers une évolution du cadre réglementaire ? 

Pour autant, il paraît peu probable, à court terme, que le droit européen abandonne le critère classique de destination assignée par le fabricant. Les textes et guidances applicables aux logiciels continuent au contraire de s’organiser autour de cette logique.

L’évolution la plus vraisemblable serait celle d’un affinement progressif de l’appréciation de la destination. Il ne s’agirait pas de remplacer ce critère, mais d’en préciser la mise en œuvre pour des systèmes dont les fonctionnalités et les usages prévisibles brouillent les frontières traditionnelles.

Dans cette perspective, une place plus importante pourrait être accordée aux capacités concrètes du système, aux usages qu’il rend objectivement prévisibles, ainsi qu’à la manière dont le fabricant délimite expressément son périmètre.

On pourrait ainsi envisager, à titre prospectif, une destination définie aussi par exclusion : le système serait défini non seulement par ce qu’il est destiné à faire, mais aussi par ce qu’il est destiné à ne pas faire. Ainsi, lorsqu’un fabricant précise qu’un chatbot n’est pas destiné à diagnostiquer, traiter ou orienter une décision clinique, ces mentions pourraient participer à la définition même de la destination du produit.

Cette approche devrait toutefois rester cohérente avec la réalité du système. Une exclusion formelle ne pourrait suffire si elle est contredite par les fonctionnalités, la présentation ou les usages concrètement encouragés.

En somme, l’évolution la plus probable ne résiderait pas dans un bouleversement du cadre existant, mais dans une clarification progressive de la notion de destination, éventuellement enrichie par une logique d’exclusion explicite de certains usages.