Auteurs

Contacts

• Judith PIET : judith.piet@live.fr
• Was­sim CHAABANI : wassim.chaabani12@gmail.com
• Rania EL KHOUMSSI : raniaelkhoumssi20@gmail.com
• Lenaelle Dieu­don­née TEGANG MEYIMO : teganglenaelle@gmail.com
• Ahmed ALISAWI : a.issawwi@gmail.com

Citation

A rap­pe­ler pour tout usage : Judith PIET, Was­sim CHAABANI, Rania EL KHOUMSSI, Lenaelle Dieu­don­née TEGANG MEYIMO, Ahmed ALISAWI, « Pro­po­si­tion d’outils à des­ti­na­tion des fabri­cants pour faci­li­ter l’intégration de l’AI Act avec le RDM », Uni­ver­si­té de Tech­no­lo­gie de Com­piègne (France), Mas­ter Ingé­nie­rie de la San­té, Mémoire de Pro­jet, réf n° IDS250, https://travaux.master.utc.fr/, DOI : https://doi.org/10.34746/ids250), jan­vier 2025, https://travaux.master.utc.fr/formations-master/ingenierie-de-la-sante/ids250/

Résumé

Le Règle­ment (UE) 2024/1689 éta­blis­sant des règles har­mo­ni­sées concer­nant l'intelligence arti­fi­cielle (IA), aus­si appe­lé "AI Act", a été publié au Jour­nal offi­ciel de l'Union euro­péenne le 12 juillet 2024. Ce règle­ment a une por­tée hori­zon­tale et concerne tous les sec­teurs uti­li­sant l'IA, notam­ment les dis­po­si­tifs médi­caux (DM). La plu­part des DM uti­li­sant de l'IA seront clas­sés comme sys­tèmes d'IA à haut risque (SIA-HR) selon l'AI Act, qui impose des exi­gences règle­men­taires pour les dif­fé­rentes par­ties pre­nantes lors du cycle de vie des systèmes.

Les fabri­cants de DM avec SIA-HR devront se confor­mer à la fois au règle­ment (UE) 2017/745 rela­tif aux DM (RDM) et à l'AI Act, ce qui repré­sente un défi d'intégration régle­men­taire. Ce mémoire vise à répondre à la pro­blé­ma­tique sui­vante : Com­ment aider les fabri­cants à inté­grer les exi­gences de l’AI Act avec celles du RDM ?

Pour répondre à cette pro­blé­ma­tique, nous avons d’abord réa­li­sé une lec­ture croi­sée des deux règle­ments, dres­sé un état des lieux des guides exis­tants, et mené des entre­tiens avec diverses par­ties pre­nantes du cycle de vie des DM avec SIA-HR. Nous avons pro­duit deux outils à des­ti­na­tion des équipes Assu­rance Qua­li­té et Affaires Régle­men­taires (AQ/AR) chez les fabri­cants de DM avec SIA-HR, afin de com­prendre exi­gences sup­plé­men­taires de l’AI Act par rap­port au RDM, et d’évaluer la matu­ri­té du fabri­cant concer­nant ces exi­gences rela­tives à l’IA (PDF inter­ac­tif et outil diagnostic).

Abstract

Regu­la­tion (EU) 2024/1689 laying down har­mo­ni­zed rules on arti­fi­cial intel­li­gence (AI), also known as the “AI Act”, was publi­shed in the Offi­cial Jour­nal of the Euro­pean Union on July 12, 2024. This regu­la­tion has a hori­zon­tal scope and concerns all sec­tors using AI, inclu­ding medi­cal devices (MDs). Most MDs using AI will be clas­si­fied as high-risk AI sys­tems (HR-AIS) under the AI Act, which imposes regu­la­to­ry requi­re­ments for the various sta­ke­hol­ders during the sys­tems' lifecycle.

Manu­fac­tu­rers of MDs with HR-AIS will have to com­ply with both Regu­la­tion (EU) 2017/745 rela­tive to MDs (RDM) and the AI Act, repre­sen­ting a com­plex regu­la­to­ry inte­gra­tion chal­lenge. Our the­sis aims to ans­wer the fol­lo­wing pro­blem : How can we help manu­fac­tu­rers inte­grate AI Act and MDR requirements ?

To address this issue, we first cross-read the two regu­la­tions, car­ried out a review of exis­ting guides and conduc­ted inter­views with various sta­ke­hol­ders in the life­cycle of MDs with SIA-HR. We have crea­ted two tools for Qua­li­ty Assu­rance and Regu­la­to­ry Affairs (QA/RA) teams at manu­fac­tu­rers of MDs with SIA-HR, in order to unders­tand the addi­tio­nal requi­re­ments of the AI Act com­pa­red to the MDR, and to assess the manufacturer's matu­ri­ty regar­ding these AI-rela­ted requi­re­ments (inter­ac­tive PDF and diag­nos­tic tool).

Téléchargements

Introduction

Le règle­ment (UE) 2024/1689 du 13 juin 2024 éta­blis­sant des règles har­mo­ni­sées concer­nant l’intelligence arti­fi­cielle (IA), éga­le­ment appe­lé AI Act, est un règle­ment à por­tée hori­zon­tale, qui concerne tous les sec­teurs uti­li­sant des sys­tèmes d’IA (SIA) [1]. Cette légis­la­tion concerne donc éga­le­ment les fabri­cants de dis­po­si­tifs médi­caux (DM) uti­li­sant l’IA, qui devront se confor­mer non seule­ment au règle­ment (UE) 2017/745 rela­tifs aux DM (RDM) [2], mais éga­le­ment à l’AI Act.

La grande majo­ri­té des DM avec IA seront consi­dé­rés sys­tèmes d’IA à haut-risque (SIA-HR) selon l’AI Act, qui liste une série d’exigences asso­ciées à cette classe. Les fabri­cants de DM font déjà l’objet d’une charge régle­men­taire impor­tante rela­tive à l’application du RDM, et un enjeu impor­tant de l’application de l’AI Act est d’éviter une double charge régle­men­taire. Notre mémoire vise à répondre à la pro­blé­ma­tique sui­vante : Com­ment aider les fabri­cants de DM avec SIA-HR à inté­grer les exi­gences de l’AI Act avec celles du RDM ?

Dans le cadre de notre tra­vail qui porte sur l’intégration de l’AI Act et du RDM, nous pré­sen­te­rons notre ana­lyse des écarts entre ces deux règle­ments afin de faire res­sor­tir et d’interpréter les exi­gences de l’AI Act déjà cou­vertes par le RDM, ain­si que les exi­gences sup­plé­men­taires (objec­tif 1). Ensuite, nous ferons l’état des lieux des guides à des­ti­na­tion des fabri­cants de DM avec IA, et nous étu­die­rons les besoins des fabri­cants sur la base d’entretiens, afin de pro­po­ser des outils d’intégration des deux règle­ments à des­ti­na­tion des fabri­cants. Ces outils auront pour but de de faci­li­ter la charge de tra­vail des res­pon­sables d’affaires régle­men­taires pour la mise sur le mar­ché des DM avec IA (objec­tif 2).

Chapitre I - AI Act et RDM, des règlements à portée horizontale et verticale, une approche basée sur le risque

1 L'AI Act : un règlement à portée horizontale concernant tous les secteurs utilisant l'IA

1.1 Définition et types d'IA

L’AI Act défi­nit l'IA comme suit : « Un sys­tème basé sur une machine qui est conçu pour fonc­tion­ner avec dif­fé­rents niveaux d'auto­no­mie et qui peut faire preuve d'adap­ta­bi­li­té après son déploie­ment, et qui, pour des objec­tifs expli­cites ou impli­cites, déduit, à par­tir des don­nées qu'il reçoit, com­ment géné­rer des résul­tats tels que des pré­dic­tions, du conte­nu, des recom­man­da­tions ou des déci­sions qui peuvent influen­cer des envi­ron­ne­ments phy­siques ou vir­tuels » (article 3).

L’IA uti­lise des règles et théo­ries issus des mathé­ma­tiques, infor­ma­tiques et sta­tis­tiques, afin de simu­ler des fonc­tions cog­ni­tives telle que l’apprentissage, la mémo­ri­sa­tion et la prise de déci­sion. Elle englobe : l’apprentissage auto­ma­tique (Machine Lear­ning) et l’apprentissage pro­fond (Deep Lear­ning), qui est une sous branche de l’apprentissage auto­ma­tique [3]. La Figure 1 décrit les dif­fé­rentes approches de l’IA, ses méthodes d’apprentissage et quelques types utilisés :

Figure 1 : Représentation des différentes approches, méthodes d'apprentissage et types d'IA. Source : Auteurs, inspiré de [4],[5],[6]

Les IA géné­ra­tives ou à usage géné­ral sont un exemple d’IA à mémoire limi­tée. Elles sont capables de géné­rer du conte­nu (images, vidéos, textes) et même d’exécuter d’autres tâches, comme répondre aux ques­tions, ou tra­duc­tion. Un exemple connu de ces modèles d’IA à usage géné­ral est ChatGPT.

1.2 Règlement européen sur l'IA

Ces der­nières années, le domaine de l’IA connaît des pro­grès spec­ta­cu­laires. Ces pro­grès offrent de larges oppor­tu­ni­tés pour l'innovation tech­no­lo­gique et l'automatisation dans le cadre pro­fes­sion­nel. Cepen­dant, mal­gré sa valeur ajou­tée indé­niable et son énorme poten­tiel, l’IA pose des pro­blèmes qui sou­lèvent des ques­tions et des défis éthiques, juri­diques et poli­tiques. Face à ce constat, la Com­mis­sion euro­péenne a publié le 21 avril 2021 la pro­po­si­tion de règle­ment sur l’IA [7]. L’AI Act est fina­le­ment adop­té le 13 mars 2024 au Par­le­ment Euro­péen [8]. Il est publié au Jour­nal Offi­ciel de l’Union Euro­péenne le 12 juillet 2024.

Le règle­ment vise à har­mo­ni­ser les règles de déve­lop­pe­ment, de com­mer­cia­li­sa­tion et d'utilisation des sys­tèmes d’IA (SIA) à tra­vers l'Union Euro­péenne (UE). Son objec­tif est éga­le­ment de pro­mou­voir une IA sûre et fiable, axée sur l'humain, en éta­blis­sant des garde-fous pour pro­té­ger la san­té, la sécu­ri­té et les droits fon­da­men­taux des citoyens euro­péens (article 1). Ce règle­ment a une por­tée hori­zon­tale, ce qui signi­fie qu’il s’applique à tous sec­teurs uti­li­sant l’IA (jouets, aéro­nau­tique, auto­mo­bile, banque, assu­rance, res­sources humaines etc.).

1.3 Classification des systèmes d'intelligence artificielle à haut risque

L’approche de l’AI Act est basée sur le risque, et les SIA sont clas­si­fiés en quatre niveaux de risques, cha­cun ayant ses propres exi­gences [9] :

• Risque inac­cep­table : les SIA qui sont inter­dits par la loi tels que la mani­pu­la­tion com­por­te­men­tale, l'exploitation des vul­né­ra­bi­li­tés des per­sonnes et l’utilisation de la recon­nais­sance bio­mé­trique à dis­tance en temps réel (article 5).
• Haut risque : dis­po­si­tifs aux­quels la majeure par­tie du texte se réfère. Cela concerne des pro­duits tels que les machines, jouets, ascen­seurs, de nom­breux dis­po­si­tifs médi­caux, et les dis­po­si­tifs médi­caux de diag­nos­tic in vitro qui sont régle­men­tés (article 6).
• Risque limi­té : sont sou­mis à des obli­ga­tions légères de trans­pa­rence. Les déve­lop­peurs et déployeurs doivent infor­mer les uti­li­sa­teurs finaux qu'ils inter­agissent avec une IA, comme dans le cas des chat­bots (article 50).
• Risque mini­mal : l’AI Act ne spé­ci­fie pas d’exigences pour les SIA à risque mini­mal ou nul.

1.4 Exigences pour les fournisseurs de systèmes d'intelligence artificielle à haut risque

1.5 Mise en application progressive

L’AI Act est entré en vigueur le 1er août 2024, avec une mise en appli­ca­tion pro­gres­sive (article 113) :

• 2 février 2025 : Inter­dic­tion des SIA pré­sen­tant des risques inacceptables.
• 2 août 2025 : Appli­ca­tion des règles pour les modèles d’IA à usage géné­ral et nomi­na­tion des auto­ri­tés com­pé­tentes dans les États membres.
• 2 août 2026 : Appli­ca­tion des dis­po­si­tions rela­tives aux SIA-HR défi­nis dans l’annexe III.
• 2 août 2027 : Appli­ca­tion des dis­po­si­tions rela­tives aux SIA-HR défi­nis dans l’annexe I (dont les DM).

1.6 Normes harmonisées

Ces étapes seront sou­te­nues par des normes har­mo­ni­sées, dont le res­pect vau­dra pré­somp­tion de confor­mi­té aux exi­gences du règle­ment. Le Comi­té Euro­péen de Nor­ma­li­sa­tion / Comi­té Euro­péen de Nor­ma­li­sa­tion en Elec­tro­nique et en Elec­tro­tech­nique (CEN/CENELEC) les rédige actuel­le­ment [10]. Les demandes de nor­ma­li­sa­tion concernent les points ci-des­sous [11] :

• Le sys­tème de ges­tion des risques pour les SIA ;
• La gou­ver­nance et la qua­li­té des ensembles de don­nées uti­li­sés pour construire les SIA ;
• La tenue de registres et les capa­ci­tés d'enregistrement inté­grées dans les SIA ;
• La trans­pa­rence et l'information des uti­li­sa­teurs des SIA ;
• La sur­veillance humaine des SIA ;
• Les spé­ci­fi­ca­tions de pré­ci­sion pour les SIA ;
• Les spé­ci­fi­ca­tions de robus­tesse des SIA ;
• Les spé­ci­fi­ca­tions en matière de cyber­sé­cu­ri­té pour les SIA ;
• Le sys­tème de ges­tion de la qua­li­té pour les four­nis­seurs de SIA ;
• L'évaluation de la confor­mi­té des SIA.

2 Le RDM : un règlement à portée verticale concernant les DM

2.1 Objectifs principaux : sécurité, performance, transparence et traçabilité

Le RDM concerne la mise sur le mar­ché, la mise à dis­po­si­tion et la mise en ser­vice des DM à usage humain et de leurs acces­soires dans l’UE. Il vise à amé­lio­rer la sécu­ri­té et la per­for­mance des DM, assu­rer la pro­tec­tion des uti­li­sa­teurs par le ren­for­ce­ment des exi­gences d’évaluation cli­nique et sur­veillance après com­mer­cia­li­sa­tion (SAC), amé­lio­rer la trans­pa­rence tout en long du cycle de vie des DM et amé­lio­rer la tra­ça­bi­li­té des pro­duits sur le mar­ché, et har­mo­ni­ser les exi­gences afin de faci­li­ter et d’assurer une appli­ca­tion cohé­rente et uni­forme entre les états membre de l’UE.

2.2 Champ d'application : types de dispositifs couverts

Le RDM éta­blit un cadre régle­men­taire élar­gi et pré­cis pour tous les DM mis sur le mar­ché de l’UE.
Selon l’article 2, il défi­nit un DM comme étant « tout ins­tru­ment, appa­reil, équi­pe­ment, logi­ciel, implant, réac­tif, matière ou autre article, des­ti­né par le fabri­cant à être uti­li­sé, seul ou en asso­cia­tion, chez, l'homme pour l'une ou plu­sieurs des fins médi­cales pré­cises suivantes :

• Diag­nos­tic, pré­ven­tion, contrôle, pré­dic­tion, pro­nos­tic, trai­te­ment ou atté­nua­tion d'une maladie,
• Diag­nos­tic, contrôle, trai­te­ment, atté­nua­tion d'une bles­sure ou d'un han­di­cap ou com­pen­sa­tion de ceux-ci,
• Inves­ti­ga­tion, rem­pla­ce­ment ou modi­fi­ca­tion d'une struc­ture ou fonc­tion ana­to­mique ou d'un pro­ces­sus ou état phy­sio­lo­gique ou pathologique.
• Com­mu­ni­ca­tion d'informations au moyen d'un exa­men in vitro d'échantillons pro­ve­nant du corps humain, y com­pris les dons d'organes, de sang et de tissus,

Et dont l'action prin­ci­pale vou­lue dans ou sur le corps humain n'est pas obte­nue par des moyens phar­ma­co­lo­giques ou immu­no­lo­giques ni par méta­bo­lisme, mais dont la fonc­tion peut être assis­tée par de tels moyens ».

Le champ d’application du règle­ment euro­péen couvre :

• Les DM clas­siques tels que les ins­tru­ments chi­rur­gi­caux, les implants, les logi­ciels médi­caux et les équi­pe­ments de diagnostic ;
• Les acces­soires des DM, défi­nis comme des articles des­ti­nés à être uti­li­sés avec un DM pour per­mettre ou assis­ter son utilisation ;
• Par rap­port aux anciennes direc­tives, il inclut les dis­po­si­tifs sans fina­li­té médi­cale lis­tés en annexe XVI, comme les len­tilles de contact colorées.
  

Cepen­dant, les pro­bio­tiques sont exclus de la nou­velle législation.

2.3 Classes de risque et critères de classification pour les fabricants

Le RDM classe les DM en 4 classes, selon le niveau de risque lié à leur utilisation :

Tableau 1 :  Classification des niveaux de risques et leur description

Classe	Niveau de risque	Des­crip­tion
I	Faible	Contient 3 sous-classes : -Is : Dis­po­si­tif sté­rile livré -Im : Dis­po­si­tif avec fonc­tion de mesure -Ir : Dis­po­si­tif chi­rur­gi­cal réutilisable
IIa	Moyen	DM uti­li­sés pour des appli­ca­tions tem­po­raires ou de courte duré
IIb	Ele­vé	DM uti­li­sés pour des trai­te­ments pro­lon­gés ou inva­sifs modéré
III	Haut risque	DM uti­li­sés pour des inter­ven­tions cri­tiques ou inva­sives à haut risque

La clas­si­fi­ca­tion des risques est défi­nie dans l'Annexe VIII du RDM et est basée sur les cri­tères sui­vants : uti­li­sa­tion pré­vue, type d'appareil, expo­si­tion des patients, durée d'utilisation, carac­tère inva­sif, gra­vi­té du pré­ju­dice et niveau de risque. Le RDM contient 22 règles de clas­si­fi­ca­tion. Ces règles ne sont pas seule­ment basées sur les risques asso­ciés au DM, mais aus­si sur sa concep­tion, sa méthode de fabri­ca­tion, et d'autres fac­teurs tels que son mode d'utilisation et sa durée d'utilisation.

2.4 Résumé du processus de marquage CE selon le RDM

Un fabri­cant de DM dési­rant com­mer­cia­li­ser son pro­duit dans les mar­chés de l’UE doit suivre les étapes sui­vantes décrites dans la Figure 2 ci-dessous :

Figure 2 : Schéma représentant le processus du marquage CE d’un DM selon RDM. Source : Auteurs

Chapitre II - Intégration de l’AI Act et du RDM, enjeux réglementaires et analyse des écarts

1 Enjeux de l’AI Act pour les fabricants de DM

1. 1 Catégories de DM avec SIA proposés par les fabricants

L’IA en san­té per­met de résoudre des pro­blèmes de diag­nos­tic et de prise de déci­sion pour des situa­tions com­plexes, notam­ment dans le cas de patients affec­tés par plu­sieurs patho­lo­gies. En effet l’IA s’appuie sur des don­nées d’entrées pour pro­po­ser un diag­nos­tic ou un trai­te­ment dépen­dam­ment des situa­tions, de manière patient-spé­ci­fique [12]. L’utilisation de l’IA en san­té pré­sente de nom­breuses oppor­tu­ni­tés mais éga­le­ment des défis éthiques, de cyber­sé­cu­ri­té et d’algorithmes qui peuvent don­ner des faux résul­tats, ain­si que des risques liés à la confi­den­tia­li­té et à la sécu­ri­té des don­nées en rai­son de la géné­ra­tion de grandes quan­ti­tés de don­nées [13], [14].

Le nombre de DM uti­li­sant de l’IA est crois­sant. En Europe, l’estimation du nombre de DM uti­li­sant l’IA est encore dif­fi­cile. En effet, la base de don­nées euro­péenne sur les DM Euda­med ne per­met pas encore de fil­trer les DM selon le cri­tère « IA », cepen­dant plus de 2440 dis­po­si­tifs de type « soft­ware » sont réper­to­riés dans la base de don­nées [15].  Pour réfé­rence à un espace éco­no­mique com­pa­rable, aux Etats-Unis, la base de don­nées Food and Drug Admi­nis­tra­tion (ou FDA) recen­sait 950 DM uti­li­sant de l’IA approu­vés depuis 1995, dont 721 dans le domaine de la radio­lo­gie. Sur ces 950 dis­po­si­tifs, plus de la moi­tié ont été approu­vés au cours des der­nières années [16].

Les appli­ca­tions de l'IA dans le domaine médi­cal se regroupent prin­ci­pa­le­ment en quatre grandes catégories :

• Ges­tion des mala­dies chro­niques : Uti­li­sa­tion de l’IA pour sur­veiller en conti­nu les patients via des cap­teurs intel­li­gents. Exemple : Dia­bète, avec des dis­po­si­tifs pour une ges­tion auto­ma­ti­sée de l'insuline.

• Ima­ge­rie médi­cale : L'IA est inté­grée aux dis­po­si­tifs d'imagerie médi­cale pour amé­lio­rer la qua­li­té des images tout en rédui­sant l'exposition aux radia­tions. Cette tech­no­lo­gie opti­mise ain­si les résul­tats cli­niques en offrant des images plus claires et plus précises.

• IA et IoT : L'intégration de l'IA avec l’IoT per­met de sur­veiller de manière plus pré­cise l'adhérence des patients aux pro­to­coles de trai­te­ment. Cette approche aide à amé­lio­rer les résul­tats cli­niques en offrant un sui­vi en temps réel et une meilleure ges­tion des soins.

• Inter­pré­ta­tion des images radio­lo­giques : L’IA amé­liore l'interprétation des images radio­lo­giques en auto­ma­ti­sant la détec­tion de diverses ano­ma­lies, comme les frac­tures, la pneu­mo­nie ou les tumeurs.

Le machine lear­ning est une méthode d'apprentissage uti­li­sée dans les quatre domaines men­tion­nés ci-des­sus. Cette tech­no­lo­gie d'intelligence arti­fi­cielle est employée pour ana­ly­ser de grandes quan­ti­tés de don­nées, détec­ter des sché­mas com­plexes et auto­ma­ti­ser cer­taines tâches d'interprétation et de diag­nos­tic [17].

Selon l’AI Act (article 6.1), les DM uti­li­sant un SIA et pour les­quels l’évaluation de la confor­mi­té est pré­vue par un ON dans le RDM sont clas­sés à haut risque. Ain­si, théo­ri­que­ment, des DM de classe I selon le RDM, qui n’ont pas besoin d’une éva­lua­tion par un ON et qui peuvent se conten­ter d’une auto-décla­ra­tion de confor­mi­té, ne seront pas clas­sés à haut risque selon l’AI Act. Les DM pour les­quels une auto-décla­ra­tion de confor­mi­té n’est pas suf­fi­sante pour le RDM (classes Is : DM sté­rile, Im : avec fonc­tion de mesure, Ir : chi­rur­gi­cal réuti­li­sable, classes IIa, IIb et III) seront auto­ma­ti­que­ment clas­sés comme SIA-HR.

1. 2 Problèmes éthiques et de sécurité liés à l’utilisation de l’IA dans les DM

L’AI Act vise entre autres à pré­ve­nir et atté­nuer les risques pour la sécu­ri­té dans le domaine de la san­té. A cet effet, la dési­gna­tion des auto­ri­tés en charge de veiller à l'aspect régle­men­taire est en train d'être mise sur pied pour sécu­ri­ser les déployeurs (à savoir les uti­li­sa­teurs) et les patients. L’utilisation de l’IA en san­té doit en effet se faire de manière « sûre, fiable et éthique » (consi­dé­rant 8), de façon à ne pas créer des effets néfastes ou induire de biais dis­cri­mi­na­toires dans le trai­te­ment des patients. L’utilisation de l’IA dans les DM sou­lève plu­sieurs pré­oc­cu­pa­tions éthiques majeures. Chaque type de pré­oc­cu­pa­tion est asso­cié à des défis éthiques spé­ci­fiques [18] (voir Tableau 2):

Tableau 2 : Préoccupations éthiques liés à l'IA dans les DM

Pré­oc­cu­pa­tion	Défis éthique	Expli­ca­tion
Preuves insuf­fi­santes	Actions injus­ti­fiées	Lorsque les preuves sou­te­nant l'efficacité de l'IA sont insuf­fi­santes, des déci­sions médi­cales risquent d'être prises sans fon­de­ment solide, ce qui pour­rait entraî­ner des actions injustifiées.
Preuves inex­pli­cables	Opa­ci­té	Si les résul­tats de l'IA ne peuvent être expli­qués de manière claire et trans­pa­rente, cela engendre de l'opacité dans les pro­ces­sus déci­sion­nels, rédui­sant la confiance et la responsabilité.
Preuves mal fondées	Biais	Des preuves fon­dées sur des don­nées incor­rectes ou mal inter­pré­tées peuvent entraî­ner des biais dans les déci­sions prises par l'IA, affec­tant ain­si l'équité et la fia­bi­li­té des résultats.
Résul­tats inéquitables	Dis­cri­mi­na­tion	L’IA peut pro­duire des résul­tats inéqui­tables, notam­ment des dis­cri­mi­na­tions envers cer­tains groupes de patients en rai­son de biais dans les don­nées utilisées.
Effets trans­for­ma­teurs	Auto­no­mie, vie pri­vée infor­ma­tion­nelle et vie pri­vée de groupe.	L’IA peut trans­for­mer les pra­tiques médi­cales, ce qui sou­lève des ques­tions concer­nant l’autonomie des patients. De plus, elle pose des défis pour la pro­tec­tion de la vie pri­vée indi­vi­duelle et de groupe.
Tra­ça­bi­li­té	Res­pon­sa­bi­li­té morale et dis­tri­buée, biais d’automatisation, sécu­ri­té, rési­lience et audit éthique	L'absence de méca­nismes adé­quats de tra­ça­bi­li­té peut com­pli­quer la dési­gna­tion des res­pon­sa­bi­li­tés en cas d'erreur. Il en découle une res­pon­sa­bi­li­té dis­tri­buée et des risques asso­ciés aux biais d'automatisation. Les sys­tèmes d'IA doivent aus­si garan­tir leur sécu­ri­té et leur rési­lience face aux cybe­rat­taques, et des audits éthiques sont  néces­saires  pour  assu­rer  une  uti­li­sa­tion responsable.

Ces défis montrent l'importance de la régu­la­tion de l'IA pour garan­tir sa bonne uti­li­sa­tion dans les dis­po­si­tifs médi­caux afin de pro­té­ger les patients et ren­for­cer la confiance des utilisateurs.

1. 3 Enjeux de surcharge réglementaire pour les fabricants et les ON

Selon le « Guide Bleu » de la Com­mis­sion Euro­péenne, plus d’un acte juri­dique de la légis­la­tion d’harmonisation de l’UE peut s’appliquer aux dis­po­si­tifs [19]. Dans le cas des DM uti­li­sant l’IA, cer­taines exi­gences de l’AI Act peuvent com­plé­ter le RDM. Afin d’éviter une sur­charge régle­men­taire pour les fabri­cants ain­si que pour les ON, déjà engor­gés par la cer­ti­fi­ca­tion RDM, une cer­taine sou­plesse concer­nant l’application de la confor­mi­té des exi­gences est recom­man­dée dans l’AI Act. Par exemple, le four­nis­seur pour­rait déci­der d’intégrer une par­tie de la DT rela­tive à l’AI Act dans la DT requises en ver­tu du RDM (article 8.2 de l’AI Act).

De plus, l’interprétation pra­tique de l’AI Act n’est pas encore claire pour les acteurs du sys­tème de san­té, y com­pris les fabri­cants de DM [20], [21]. Selon l’AI Act, les four­nis­seurs de SIA devraient pou­voir démon­trer la confor­mi­té avec les exi­gences de l’AI Act grâce au res­pect de normes har­mo­ni­sées, et en leur absence, au moyen de spé­ci­fi­ca­tions com­munes éta­blies par actes d’exécution (articles 40 et 41 de l’AI Act). Dans l’attente de ces normes har­mo­ni­sées et actes d’exécution, les meilleures pra­tiques régle­men­taires res­tent à iden­ti­fier [22].

Les fabri­cants de DM se trouvent confron­tés à une com­plexi­té accrue des exi­gences régle­men­taires, notam­ment en rai­son de l’interaction entre le RDM et l’AI Act. Cette situa­tion génère des coûts sup­plé­men­taires et néces­site des inves­tis­se­ments consé­quents pour garan­tir la confor­mi­té avec les deux régu­la­tions. Paral­lè­le­ment, les ON doivent faire face à une forte demande en com­pé­tences tech­niques spé­ci­fiques, en rai­son du manque de per­son­nel qua­li­fié et des délais de cer­ti­fi­ca­tion sou­vent pro­lon­gés. L’application conjointe de ces légis­la­tions peut donc entraî­ner une sur­charge de tra­vail, tant pour les fabri­cants que pour les ON, ren­dant d'autant plus cru­cial l’adoption de mesures visant à réduire cette complexité.

2 Analyse des écarts entre les deux règlements

2.1 Comparaison des sommaires

Une lec­ture des som­maires des deux règle­ments met en évi­dence des simi­la­ri­tés impor­tantes. Par exemple, les deux règle­ments com­portent tous deux des cha­pitres sur les bases de don­nées, le SAC, et les sanc­tions en cas de non-res­pect des exi­gences ; ain­si que des annexes sur la DT, les infor­ma­tions à four­nir lors de l’enregistrement, et sur l’évaluation de la confor­mi­té sur la base d'un SMQ et de l'évaluation de la DT (voir les som­maires en Appen­dice 1). Dans notre lec­ture de l’AI Act, nous avons por­té une atten­tion par­ti­cu­lière au cha­pitre III, qui détaille les exi­gences pour les SIA-HR.

2.2 Ecarts entre les définitions

Nous avons effec­tué une lec­ture croi­sée des défi­ni­tions dans les deux règle­ments. Dans le Tableau 3, nous avons repor­té les écarts les plus notables, ain­si que leur ana­lyse. Il est impor­tant de noter que la notion d’incident grave dans l’AI Act ne se limite pas à la san­té humaine, mais intègre éga­le­ment les impacts socié­taux et envi­ron­ne­men­taux du SIA. Nous avons éga­le­ment rele­vé de manière exhaus­tive les dif­fé­rences de défi­ni­tions dans l’Appen­dice 2.

Tableau 3 : Comparaison des définitions entre l'AI Act et le RDM

Défi­ni­tion	Idée géné­rale selon l’AI Act	Idée géné­rale selon le RDM	Ecart
Opé­ra­teur économique	Ajoute la notion de déployeur (à savoir l’utilisateur)	Fabri­cant, impor­ta­teur, man­da­taire, dis­tri­bu­teur, etc	Prend en compte les spé­ci­fi­ci­tés des sys­tèmes évolutifs
Inci­dent grave	Ajoute les risques aux infra­struc­tures cri­tiques, droits fon­da­men­taux, et environnement	Risque pour la san­té humaine	S'étend au-delà de la san­té humaine pour inté­grer les impacts socié­taux et environnementaux
SAC	Sur­veillance conti­nue des SIA, y com­pris les biais algorithmiques	Col­lecte proac­tive de don­nées sur les dispositifs	Anti­cipe les risques dyna­miques propres aux SIA
Notice d'utilisation	Indi­ca­tions spé­ci­fiques pour le déployeur, y com­pris le contexte d’utilisation d’un SIA.	Ins­truc­tions four­nies par le fabri­cant pour la bonne uti­li­sa­tion d’un dispositif	Met l'accent sur les par­ti­cu­la­ri­tés tech­niques et contex­tuelles des SIA, incluant les biais et limi­ta­tions possibles.

2.3 Comparaison des exigences des deux règlements

Notre ana­lyse com­pa­ra­tive entre le RDM et l’AI Act révèle que ce der­nier a lar­ge­ment conser­vé les approches du RDM en ce qui concerne l’approche métho­do­lo­gique (clas­si­fi­ca­tion selon niveau de risques et éva­lua­tion de la confor­mi­té par ON). Bien que l'AI Act s'applique à toutes les indus­tries uti­li­sant l'IA, les fabri­cants de DM seront les moins impac­tés, car ils sont déjà fami­liers avec des concepts nou­veaux pour d'autres sec­teurs tels que les fabri­cants de jouets (comme la sur­veillance post-commercialisation).

Figure 3 : Les DM avec SIA-HR doivent répondre aux exigences règlementaires de l'AI Act et du RDM

Les deux règle­ments ont des exi­gences simi­laires, comme :

• Le sys­tème de ges­tion des risques : qui est exi­gé par les deux régle­men­ta­tions, mais l'AI Act (Art.9) se dis­tingue en met­tant l'accent sur les risques por­tant atteinte aux droits fon­da­men­taux. Il intro­duit éga­le­ment un nou­veau prin­cipe sti­pu­lant que les risques rési­duels et les risques rési­duels glo­baux doivent être jugés accep­tables, contrai­re­ment au RDM qui se concentre sur le rap­port béné­fice-risque. Bien que l'AI Act n'évoque pas expli­ci­te­ment cette notion, les fabri­cants doivent néan­moins la prendre en compte lors du pro­ces­sus de mar­quage CE de leur SIA-HR.

• Le SMQ : le SMQ de l'AI Act (Art.17) par­tage la plu­part des exi­gences du RDM, mais demande l’établissement de nou­velles pro­cé­dures, qui concernent ; l’examen, vali­da­tion et les tests avant et pen­dant le déve­lop­pe­ment des SIA-HR (Art.17.1.d), ain­si que toutes les opé­ra­tions qui traitent la ges­tion des don­nées (acqui­si­tion, col­lecte, ana­lyse, éti­que­tage, sto­ckage, fil­tra­tion, explo­ra­tion, agré­ga­tion, conser­va­tion) (Art.17.1.f).

• La Docu­men­ta­tion Tech­nique (DT) : la DT de l’AI Act (Art.11, An IV), y com­pris les pro­cé­dures et les docu­ments néces­saires, peuvent être inté­grée dans celle du RDM.

• L’évaluation de la confor­mi­té : le fabri­cant suit la pro­cé­dure éta­blie par le RDM. L'évaluation porte sur les deux textes, réa­li­sée par le même ON, à condi­tion que celui-ci soit habi­li­té à audi­ter selon l'AI Act.

• La décla­ra­tion UE de confor­mi­té et le mar­quage CE : le fabri­cant peut éta­blir une décla­ra­tion unique men­tion­nant à la fois l'AI Act et le RDM (Art.47). Un seul mar­quage CE peut être appo­sé, attes­tant du res­pect des exi­gences des deux régle­men­ta­tions (Art.48).

• Le SAC : les deux règle­ments exigent un plan et un sys­tème SAC. Le fabri­cant a la pos­si­bi­li­té d’intégrer les élé­ments du SAC de son SIA-HR dans celui du RDM.

• Noti­fi­ca­tion d'incidents graves : l’AI Act implique le même prin­cipe de signa­le­ment aux auto­ri­tés com­pé­tentes locales, mais se dif­fé­ren­cie du RDM dans la défi­ni­tion de l’incident grave (voir tableau 4).

Notre étude a mon­tré que l’AI Act contient des exi­gences sup­plé­men­taires et spé­ci­fiques aux SIA-HR, notam­ment :

• Les don­nées et la gou­ver­nance des don­nées : L’AI Act impose aux fabri­cants d’avoir trois jeux de don­nées dif­fé­rents (entrai­ne­ment, vali­da­tion, tests). Ces jeux de don­nées doivent res­pec­ter des pra­tiques de ges­tion men­tion­nées dans Art.10.2. Ils doivent être per­ti­nents et suf­fi­sam­ment repré­sen­ta­tifs de leur envi­ron­ne­ment d’utilisation pré­vue, en tenant compte du cadre géo­gra­phique, com­por­te­men­tal, contex­tuel, eth­nique ou fonc­tion­nel prévu.

• La trans­pa­rence et four­ni­ture d’informations aux déployeurs : les deux règle­ments exigent une notice d’utilisation, mais l’AI Act détaille son conte­nu (Art.13). La notice doit infor­mer le déployeur ; des niveaux de pré­ci­sion du SIA, y com­pris les métriques, des mesures adop­tées pour assu­rer robus­tesse et la cyber­sé­cu­ri­té su SIA et le contrôle humain, des outils d’interprétation des résul­tats, et d’utilisation cor­recte du SIA.

• Le contrôle humain : l’AI Act exige que les SIA-HR doivent avoir une IHM inter­pré­table et contrô­lable par les humains (Art.14). Les fabri­cants doivent aus­si implé­men­ter des mesures, afin que les déployeurs puissent com­prendre les carac­té­ris­tiques et fonc­tion­na­li­tés des SIA-HR, détec­ter et résoudre des pro­blèmes, inter­pré­ter les résul­tats et avoir la pos­si­bi­li­té d’utiliser l’IA, igno­rer ces résul­tats ou même l’arrêter.

• L’exactitude, la robus­tesse, la cyber­sé­cu­ri­té : L’AI Act exige (Art.15) que les SIA-HR soient pré­cis, per­for­mants, rési­lients face aux dan­gers et pro­té­gés contre les cybe­rat­taques. Le fabri­cant doit, comme men­tion­né ci-des­sus, indi­quer dans sa notice d’utilisation les niveaux et indi­ca­teurs d’exactitude, accom­pa­gnés de méthodes de mesures de per­for­mance uti­li­sées, les métriques. Il doit aus­si inté­grer des mesures tech­niques ou orga­ni­sa­tion­nel pour assu­rer la robus­tesse de son SIA-HR, et solu­tions tech­niques capables de pré­ve­nir, détec­ter et mai­tri­ser des cybe­rat­taques qui visent les jeux de don­nées, les com­po­sants pré-entrai­nées, les élé­ments d’entrées et la confidentialité.

• L’enregistrement des évè­ne­ments et les jour­naux géné­rés auto­ma­ti­que­ment : l’AI Act exige que SIA-HR soient capables d’enregistrer auto­ma­ti­que­ment des évè­ne­ments (Logs), afin de garan­tir la tra­ça­bi­li­té du fonc­tion­ne­ment du SIA, ce qui per­met d’identifier les situa­tions à risques et faci­li­ter le contrôle humain et les ana­lyses de post-com­mer­cia­li­sa­tion (Art.12). L’article 19 évoque l’obligation de conser­ver ces jour­naux pour une période adap­tée à la des­ti­na­tion du SIA-HR, d’au moins 6 mois.

L’AI Act consacre un cha­pitre aux IA à usage géné­ral (Cha­pitre V), avec des exi­gences par­ti­cu­liè­re­ment strictes pour les SIA à risque sys­té­mique (défi­ni­tion 65 de l’AI Act : « un risque spé­ci­fique aux capa­ci­tés à fort impact des modèles d’IA à usage géné­ral, ayant une inci­dence signi­fi­ca­tive sur le mar­ché de l’Union en rai­son de leur por­tée ou d’effets néga­tifs réels ou rai­son­na­ble­ment pré­vi­sibles sur la san­té publique, la sûre­té, la sécu­ri­té publique, les droits fon­da­men­taux ou la socié­té dans son ensemble, pou­vant être pro­pa­gé à grande échelle tout au long de la chaîne de valeur »). Notre mémoire ne s’est pas éten­du sur ces exigences.

2.4 Analyse des référentiels normatifs disponibles pour les exigences supplémentaires de l’AI Act, dans l'attente de normes harmonisées

Dans l’attente de normes har­mo­ni­sées et codes de bonne pra­tiques, de nom­breux réfé­ren­tiels peuvent être envi­sa­gés pour abor­der les exi­gences sup­plé­men­taires de l’AI Act par rap­port au RDM. Nous les avons réper­to­riés et ana­ly­sés afin d’évaluer leur per­ti­nence (Tableau 4).

Tableau 4 : Propositions de référentiels normatifs dans l'attente de normes harmonisées

Exi­gence supplémentaire	Réfé­ren­tiel dans l'attente de norme harmonisée	Spé­ci­fique		Com­men­taires
		DM	IA
Ges­tion des risques liés à l'IA (art. 9)	BS/AAMI 34971:2023 : appli­ca­tion de l’ISO 14971 pour les SIA d’apprentissage auto­ma­tique [23]	✓	✓	S'applique aux DM basés sur l'apprentissage auto­ma­tique, tout du long du cycle de vie du DM, et est des­ti­née à être uti­li­sé conjoin­te­ment avec la norme EN ISO 14971.
	NF EN ISO/IEC 23894:2024 : Tech­no­lo­gies de l'information - IA - Recom­man­da­tions rela­tives au mana­ge­ment du risque [24]		✓
	ISO/IEC TR 24027:2021 Tech­no­lo­gie de l'information — IA — Biais dans les SIA et dans la prise de déci­sion assis­tée par IA [25]		✓	Biais liés aux SIA, en par­ti­cu­lier en ce qui concerne la prise de déci­sion assis­tée par l'IA. Les tech­niques de mesure et les méthodes d'évaluation des biais sont décrites. Toutes les phases du cycle de vie des SIA sont concernées.
	NF EN 62304:2006 + NF EN 62304/A1:2018 Logi­ciels de DM — Pro­ces­sus du cycle de vie du logi­ciel [26]	✓		N'est pas exclu­si­ve­ment dédiée à la ges­tion des risques, mais l'aborde.
	NIST AI Risk Mana­ge­ment Fra­me­work (AI RMF 1.0) [27]		✓	Réfé­ren­tiel du Natio­nal Ins­ti­tute of Stan­dards and Tech­no­lo­gy (Etats-Unis) pour aider les orga­ni­sa­tions à gérer les risques asso­ciés à la concep­tion, au déve­lop­pe­ment, à l'utilisation et à l'évaluation de SIA, tout au long du cycle de vie du produit.
Don­nées et gou­ver­nance des don­nées (art. 10)	ISO/IEC 38505-1:2017 Tech­no­lo­gies de l'information — Gou­ver­nance des tech­no­lo­gies de l'information — Gou­ver­nance des don­nées Par­tie 1 : Appli­ca­tion de l'ISO/IEC 38500 à la gou­ver­nance des don­nées  [28]			Adapte les prin­cipes de gou­ver­nance de l'ISO/IEC 38500 à la ges­tion spé­ci­fique des don­nées, et offre un cadre pour éva­luer, diri­ger et sur­veiller l'utilisation des données.
Enre­gis­tre­ment (art. 12)	ISO/IEC AWI 24970 Arti­fi­cial intel­li­gence AI sys­tem log­ging [29]		✓	En cours de déve­lop­pe­ment par le ISO/IEC JTC 1/SC 42
Trans­pa­rence et four­ni­ture d’informations aux déployeurs (art. 13)	ISO/IEC TS 27560:2023 - Tech­no­lo­gies pour la pro­tec­tion de la vie pri­vée - Struc­ture de l'information d'enregistrement du consen­te­ment [30]			Norme conçue pour la ges­tion du consen­te­ment, mais qui pour­rait être adap­tée pour répondre aux exi­gences de trans­pa­rence. Sa struc­ture stan­dar­di­sée per­met de docu­men­ter et com­mu­ni­quer les infor­ma­tions requises sur les SIA-HR.
Contrôle humain (art. 14)	En cours de déve­lop­pe­ment : ISO/IEC AWI 42105 Infor­ma­tion tech­no­lo­gy — Arti­fi­cial intel­li­gence — Gui­dance for human over­sight of AI sys­tems  [31]		✓	Guide en cours de déve­lop­pe­ment par le ISO/IEC JTC 1/SC 42
	AFNOR SPEC 2213 - Garan­tie Humaine des sys­tèmes fon­dés sur l’intelligence arti­fi­cielle en san­té [32]	✓	✓	Four­nit des lignes direc­trices sur la métho­do­lo­gie de mise en œuvre du pro­ces­sus de garan­tie humaine de l’IA en san­té (DM et non-DM).
Exac­ti­tude, robus­tesse et cyber­sé­cu­ri­té (art.15)	ISO/IEC TR 24029-1:2021 Arti­fi­cial Intel­li­gence (AI) — Assess­ment of the robust­ness of neu­ral net­works Part 1 : Over­view [33]		✓	Aper­çu des méthodes d'évaluation de la robus­tesse des réseaux neu­ro­naux uti­li­sés dans les SIA. Décrit les concepts clés, les défis et les approches pour tes­ter la robus­tesse des réseaux neu­ro­naux face à diverses per­tur­ba­tions et attaques.
	ISO/IEC TR 24028:2020 Tech­no­lo­gies de l'information - Intel­li­gence arti­fi­cielle - Exa­men d'ensemble de la fia­bi­li­té en matière d'intelligence arti­fi­cielle [34]		✓	Aper­çu com­plet des fac­teurs influen­çant la fia­bi­li­té des SIA, y com­pris l'exactitude, la robus­tesse et la cybersécurité.
	FDA gui­dance : Cyber­se­cu­ri­ty in Medi­cal Devices [35]	✓	✓	Aspects de cyber­sé­cu­ri­té, en par­ti­cu­lier en ce qui concerne l'évaluation des risques, la robus­tesse des algo­rithmes et la ges­tion du cycle de vie des DM.
Sys­tème de ges­tion de la qua­li­té : 1.d) Des pro­cé­dures d’examen et 1.f) Les sys­tèmes et pro­cé­dures de ges­tion des don­nées (art. 17)	ISO/IEC 42001:2023 Tech­no­lo­gies de l'information - Intel­li­gence arti­fi­cielle - Sys­tème de mana­ge­ment [36]		✓	Atten­tion : cette norme géné­ra­liste ne sera pas rete­nue comme norme har­mo­ni­sée pour l'AI Act.
	ISO/IEC 5259-1:2024 Intel­li­gence arti­fi­cielle — Qua­li­té des don­nées pour les ana­lyses de don­nées et l’apprentissage auto­ma­tique Par­tie 1 : Vue d'ensemble, ter­mi­no­lo­gie et exemples [37]		✓	Eva­luer et amé­lio­rer la qua­li­té des don­nées uti­li­sées dans l'analyse de don­nées et l'apprentissage auto­ma­tique. Peut aider les fabri­cants à démon­trer que leurs ensembles de don­nées sont per­ti­nents, repré­sen­ta­tifs et exempts de biais.

Chapitre III - Proposition d’outils d’intégration à destination des fabricants

1 État des lieux des solutions existantes d’intégration de l’AI Act avec le RDM

Depuis la pré­pa­ra­tion de l'AI Act, diverses ini­tia­tives et solu­tions ont été pro­po­sées pour mieux com­prendre son conte­nu et éva­luer son degré de conver­gence avec le RDM. Le Tableau 5 ci-des­sous pré­sente une syn­thèse et une ana­lyse des solu­tions et guides publiés à ce jour :

Tableau 5 : État des lieux des guides existants

Types d'auteurs	Auteurs	Nom du guide	Date de publication	Conte­nu du guide	Forme
Orga­nismes Notifiés	GMED	« AI ACT » : Quelles exi­gences et délais pour les dis­po­si­tifs médi­caux [38]	Novembre 2024	Guide très court à des­ti­na­tion des fabri­cants de DM. Méthode basée sur le résu­mé de l’AI Act avec clas­si­fi­ca­tion des SIA-HR, évoque les dates butoirs, un rap­pel des exi­gences com­munes et une brève expli­ca­tion pour les exi­gences supplémentaires.	Pdf d’une newsletter
	IG-NB Alliance alle­mande des ON	Ques­tion­naire « Intel­li­gence Arti­fi­cielle (IA ) dans les dis­po­si­tifs médi­caux » [39]	15 décembre 2023	Guide détaillé à des­ti­na­tion des ON, fabri­cants et tiers inté­res­sés. Il est basé sur la Gui­de­line for AI for Medi­cal Devices qui évoque des sujets tels que la docu­men­ta­tion et les exi­gences logi­cielles. Des réponses font réfé­rence aux normes et réglementations.	Guide basé sur des questionnaires
Fabri­cants	QUICKBIRD MEDICAL	Loi sur l’IA : Guide pour les fabri­cants de dis­po­si­tifs médi­caux confor­mé­ment au MDR (2024) [40]	11 sep­tembre 2024	Guide à des­ti­na­tion des fabri­cants de DM. Il évoque les exi­gences cou­vertes par le RDM et les exi­gences sup­plé­men­taires en détails avec ce que les fabri­cants doivent faire.	Pdf conte­nant des sché­mas et des tableaux
Consul­tants	MRM	Règle­ment (UE) 2024/1689, dit AI Act et le RDM/IVDR [41]		Guide peu détaillé qui aborde les aspects géné­raux de l’AI Act. Il donne aus­si les exi­gences que le fabri­cant doit res­pec­ter en plus des exi­gences du RDM.	PDF sous forme de points clés
Article scien­ti­fique	Mateo Aboy Timo Mins­sen Effy Vaye­na	La loi euro­péenne sur l’IA : Impli­ca­tions pour les pro­duits médi­caux numé­riques régle­men­tés [42]	6 sep­tembre 2024	Guide assez détaillé per­met­tant la navi­ga­tion dans la légis­la­tion euro­péenne sur l’AI Act avec des grands thèmes, qui évoque les exi­gences appli­quées aux SIA-HR, leurs impacts sur les DM et les déployeurs.	Article basé sur les ques­tions géné­rales sur AI Act
Orga­nisme indé­pen­dant à but non lucratif	EU Arti­fi­cial Intel­li­gence Act	Véri­fi­ca­tion de la confor­mi­té à la loi euro­péenne sur l’IA [43]		Guide à des­ti­na­tion de plu­sieurs orga­nismes avec des ques­tions et des réponses au choix ain­si que les réfé­rences des articles trai­tant ces questions.	Site web inter­ac­tif sous forme de ques­tion­naire à choix multiples

D’après l’état des lieux effec­tué, nous avons trou­vé que la plu­part des guides actuels sont soit très détaillés et com­plexes, soit assez super­fi­ciels, et donc peuvent engen­drer des ambi­guï­tés pour le fabri­cant. Donc, nous pro­po­sons des outils inter­mé­diaires et inter­ac­tifs per­met­tant de faci­li­ter aux fabri­cants l’intégration des exi­gences de l’AI Act dans le pro­ces­sus de mar­quage CE selon RDM.

2 Conception d’outils à destination des fabricants de DM avec SIA

2.1 Entretiens avec les parties prenantes pour recueillir les besoins

Pour éta­blir les besoins de nos livrables, nous avons conduit des entre­tiens avec 13 experts occu­pant divers postes liés aux DM allant de char­gés et res­pon­sables AQ/AR tra­vaillant pour des fabri­cants de DM, ain­si que des repré­sen­tants d'un orga­nisme noti­fié, d'une auto­ri­té com­pé­tente et de syn­di­cats (au niveau fran­çais et euro­péen). La Figure 4 repré­sente la répar­ti­tion des entre­tiens faits :

Figure 4 : Répartition des postes des experts interviewés et de leur nombre. Source : Auteurs.

Les experts ont sou­le­vé plu­sieurs points impor­tants concer­nant les obs­tacles à sur­mon­ter, leurs inquié­tudes, leurs craintes et leurs besoins pour se confor­mer à l’AI Act. Ils ont éga­le­ment par­ta­gé leurs pré­fé­rences quant au guide, son conte­nu sou­hai­té et sa forme dési­rée. Le tableau sui­vant repré­sente les idées les plus fré­quem­ment expri­mées par eux (voir Tableau 6 ci-dessous) :

Tableau 6 : Synthèse des avis d'experts concernant l’AI Act

Défis et inquiétudes	Besoins et attentes	Pré­fé­rences du guide
- La dis­po­ni­bi­li­té des ONs com­pé­tents du côté tech­nique (IA) que régle­men­taire - Doutes sur la pré­pa­ra­tion de l’ON aux temps pré­vus - Dérou­le­ment des audits des deux règle­ments (simul­ta­nés ou sépa­rées) - Risque de retard de la com­mer­cia­li­sa­tion des pro­duits - Crainte de l’impact de l’AI Act sur l’innovation dans le mar­ché euro­péen - Ambi­guï­tés sur l’identification et l’application des normes har­mo­ni­sées - Inquié­tudes sur les nou­velles exi­gences et risques de l’AI Act (risque de biais, cybersécurité)	-Actions néces­saires à faire pour se confor­mer au règle­ment -Des conseils pour inté­grer les exi­gences de l’IA Act au pro­ces­sus de mar­quage CE selon le RDM -Besoin d'un sou­tien des orga­nismes euro­péens de nor­ma­li­sa­tion et des ON par normes ou guides -Cherchent des mesures légi­times et accep­tées par les ON autres que NH pour répondre aux nou­velles exi­gences -Exten­sion des délais -Des cla­ri­fi­ca­tions sont deman­dées sur des aspects spé­ci­fiques (mise en place des indi­ca­teurs de per­for­mance, l'évaluation des per­for­mances et la défi­ni­tion des chan­ge­ments majeurs d'algorithmes) -Avoir les moyens néces­saires pour y répondre (coût humain et économique)	- Ana­lyse d’impact - Ana­lyse d’écarts - Che­ck­list - Logi­gramme - Illus­tra­tions claires -Inter­pré­ta­tion com­pré­hen­sible et non ambi­guë - Iden­ti­fier les simi­li­tudes et dif­fé­rences entre les deux règlements

Pour notre outil, nous avons pri­vi­lé­gié les avis les plus cou­ram­ment expri­més par les experts. Tous s'accordent sur la néces­si­té d'intégrer les nou­velles exi­gences de l'AI Act dans le pro­ces­sus de mar­quage CE selon le RDM. Ils pré­co­nisent éga­le­ment de pro­po­ser des solu­tions pour se confor­mer à ces exi­gences, et de pré­ci­ser cer­taines notions tech­niques spé­ci­fiques aux SIA. Concer­nant la forme, les experts pré­fèrent un logi­gramme, illus­trant les tâches à réa­li­ser et met­tant en évi­dence les simi­li­tudes et dif­fé­rences entre les deux règle­ments, afin d'éviter une sur­charge régle­men­taire. Ils sou­lignent éga­le­ment l'importance d'une check-list pour iden­ti­fier les élé­ments essen­tiels à four­nir et faci­li­ter leur validation.

2.2 Guide PDF interactif

Cet outil est des­ti­né aux fabri­cants de DM qui sou­haitent com­prendre les exi­gences sup­plé­men­taires de l’AI Act par rap­port au RDM pour les DM avec IA. Entre le jalon 2 et le jalon 3, nous avons obte­nu des retours d’experts à l’aide d’un ques­tion­naire de satis­fac­tion et d’entretiens pour affi­ner notre outil (voir Appen­dice 3).

L’outil est un PDF inter­ac­tif, facile d’utilisation. La pre­mière page est un logi­gramme qui repré­sente les étapes du mar­quage CE selon l’AI Act et le RDM, et qui met en exergue les exi­gences sup­plé­men­taires. L’utilisateur peut cli­quer sur les exi­gences sup­plé­men­taires, et est ame­né vers des dia­po­si­tives qui contiennent une inter­pré­ta­tion de l’exigence, des exemples concrets et des réfé­ren­tiels nor­ma­tifs dans l’attente de normes harmonisées.

2.4 Outil d'autodiagnostic

Cet outil est des­ti­né aux fabri­cants de DM qui connaissent déjà le RDM, et qui sou­haitent com­mer­cia­li­ser un DM avec SIA. L’outil d’autodiagnostic leur per­met d’évaluer la matu­ri­té de leur pro­duit et de leur SMQ, et de com­mu­ni­quer leurs résul­tats de manière claire et syn­thé­tique. Cet outil se pré­sente sous forme de fichier Excel avec :

• Un pre­mier onglet « mode d’emploi » ;
• Un deuxième onglet « exi­gences AI Act pour DM », où les exi­gences de l’AI Act pour le fabri­cant, qui s’appliquent aux fabri­cants de DM, sont lis­tées. Le fabri­cant peut répondre à chaque sous-article du règle­ment avec un cer­tain niveau de véra­ci­té, et indi­quer en com­men­taire les modes de preuve existants.
• Un troi­sième onglet « résul­tats et actions », qui résume le niveau de confor­mi­té pour chaque article et sous-article à l’aide de gra­phiques radars et de tableaux de taux de confor­mi­té géné­rés automatiquement.

Nos livrables abordent briè­ve­ment la néces­si­té de se réfé­rer au cha­pitre 5 de l'AI Act, pour les IA à usage géné­ral, sans en détailler les exi­gences. Le péri­mètre de nos outils concerne les IA non à usage géné­ral, esti­mant que cela concerne peu de DM.

Conclusion

Notre étude a mis en évi­dence les défis aux­quels sont confron­tés les fabri­cants de DM inté­grant des SIA-HR face à l’intégration des exi­gences de l’AI Act avec celles du RDM. Nous avons iden­ti­fié des exi­gences simi­laires entre ces deux règle­ments, par exemple en matière de SMQ et de ges­tion des risques, avec cer­taines par­ti­cu­la­ri­tés spé­ci­fiques à l’IA. L'AI Act intro­duit éga­le­ment de nou­velle exi­gences, telles que l'enregistrement auto­ma­tique des jour­naux et le contrôle humain, qui néces­sitent une atten­tion par­ti­cu­lière. La preuve de confor­mi­té à ces exi­gences pour­ra être incor­po­rée dans la DT rela­tive au RDM.

Les entre­tiens menés avec les par­ties pre­nantes ont révé­lé dif­fé­rents degrés de pré­pa­ra­tion à l’application de l’AI Act. En par­ti­cu­lier, les fabri­cants expriment un besoin pres­sant de cla­ri­fi­ca­tion de l'interprétation des exi­gences et d’établissement de réfé­ren­tiels nor­ma­tifs har­mo­ni­sés, tant pour la cer­ti­fi­ca­tion de leur socié­té (par exemple pour le SMQ de l’IA) que pour la démons­tra­tion de confor­mi­té dans la DT. Les fabri­cants ont éga­le­ment par­ta­gé des inquié­tudes concer­nant le manque poten­tiel d'ON qua­li­fiés pour éva­luer les aspects liés à l'IA, et le coût finan­cier de la mise en confor­mi­té à l’AI Act.

Pour per­mettre aux fabri­cants de mieux com­prendre l’impact de l’AI Act sur leur orga­ni­sa­tion et sur les dos­siers tech­niques, dans l’attente de normes har­mo­ni­sées ou spé­ci­fi­ca­tion com­munes par la CE, nous avons déve­lop­pé un pre­mier livrable sous forme de guide d'intégration inter­ac­tif, qui expli­cite les exi­gences sup­plé­men­taires et pro­pose des réfé­ren­tiels nor­ma­tifs. Nous avons éga­le­ment conçu un deuxième livrable sous forme d’outil d’autodiagnostic per­met­tant aux fabri­cants de DM avec SIA d’évaluer la matu­ri­té de leur confor­mi­té aux exi­gences sup­plé­men­taires impo­sées par l’AI Act.

Liste des abréviations

AI Act : Règle­ment (UE) 2024/1689 du 13 juin 2024 éta­blis­sant des règles har­mo­ni­sées concer­nant l’intelligence artificielle

AQ/AR : Assu­rance Qua­li­té et Affaires Réglementaires

CEN/CENELEC : Comi­té Euro­péen de Nor­ma­li­sa­tion / Comi­té Euro­péen de Nor­ma­li­sa­tion en Elec­tro­nique et en Electrotechnique

DM : Dis­po­si­tif médical

DM/DIV : Dis­po­si­tif médi­cal de diag­nos­tic in vitro

DT : Docu­men­ta­tion Technique

EHDS : Espace euro­péen des don­nées de santé

EGSP : Exi­gences géné­rales de sécu­ri­té et de per­for­mance (Gene­ral safe­ty and per­for­mance requirements)

FDA : Food Drug Administration

GEHN : Groupe d'Experts de Haut Niveau

IA : Intel­li­gence Artificielle

IHM : Inter­face Homme-Machine

IoT : Inter­net des objets (Inter­net of things)

RDM : Règle­ment (UE) 2017/745 du 5 avril 2017 rela­tif aux dis­po­si­tifs médicaux

ML : Machine learning

ON : Orga­nisme Notifié

PSUR : Rap­port pério­dique actua­li­sé de sécurité

RGPD : Règle­ment Géne­ral sur la pro­tec­tion des données

SAC : Sur­veillance Après Commercialisation

SIA : Sys­tème d’intelligence artificielle

SIA-HR : Sys­tème d’intelligence arti­fi­cielle à haut risque

SMQ : Sys­tème de mana­ge­ment de la qualité

UE : Union Euro­péenne

Références bibliographiques

[1] « Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (Texte présentant de l’intérêt pour l’EEE) », juill. 2024. Disponible sur : https://eur-lex.europa.eu/eli/reg/2024/1689/oj

[2] « Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n° 178/2002 et le règlement (CE) n° 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE (Texte présentant de l’intérêt pour l’EEE. ) », Journal officiel de l’Union européenne, https://eur-lex.europa.eu, mai 2017. Disponible sur : http://data.europa.eu/eli/reg/2017/745/oj/fra

[3] Inserm, « Intelligence artificielle et santé », 25 janvier 2024. Disponible sur : https://www.inserm.fr/dossier/intelligence-artificielle-et-sante/

[4] IBM, « Qu’est-ce que le machine learning (ML) ? | IBM », ibm.com. Consulté le : 15 décembre 2024. Disponible sur : https://www.ibm.com/fr-fr/topics/machine-learning

[5] J. Holdsworth et M. Scapicchio, « What Is Deep Learning ? », 17 juin 2024. Disponible sur : https://www.ibm.com/topics/deep-learning

[6] IBM Data and AI Team, « Understanding the different types of artificial intelligence », 12 octobre 2023. Disponible sur : https://www.ibm.com/think/topics/artificial-intelligence-types

[7] European Commission, « Proposal for a regulation of the European parliament and of the council laying down harmonised rules on artificial intelligence (artificial intelligence act) and amending certain union legislative acts », 21 avril 2021. Disponible sur : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52021PC0206

[8] Parlement Européen, « Textes adoptés le mercredi 13 mars 2024 à Strasbourg », www.europarl.europa.eu. Consulté le : 24 septembre 2024. Disponible sur : https://www.europarl.europa.eu/doceo/document/TA-9-2024-03-13-TOC_FR.html

[9] CNIL (Commission nationale de l’informatique et des libertés), « Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL », 12 juillet 2024. Disponible sur : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

[10] V. Desbordes, « Grand Défi IA : la saison 2 a débuté ce jeudi », 22 août 2024. Disponible sur : https://www.afnor.org/actualites/grand-defi-ia-bonnes-pratiques/

[11] P. Bezombes, « JTC 21 : Activities in the context of the AI Act », 29 avril 2024. Disponible sur : https://www.eurocontrol.int/sites/default/files/2024-04/20240429-flyai-forum-session-2-bezombes.pdf

[12] S. S. Gadde et V. D. R. Kalli, « Applications of Artificial Intelligence in Medical Devices and Healthcare », www.ijcstjournal.org, vol. 1, p. 182‑188, mai 2020, doi : https://doi.org/10.3233/SHTI240472

[13] E. Gómez-González et E. Gómez, « Artificial intelligence for healthcare and well-being during exceptional times », Joint Research Centre, Commission Européenne, JRC134715, nov. 2023. Disponible sur : https://ai-watch.ec.europa.eu/publications/artificial-intelligence-healthcare-and-well-being-during-exceptional-times_en

[14] E. Biasin, E. Kamenjašević, et K. R. Ludvigsen, « Chapter 4 : Cybersecurity of AI medical devices : risks, legislation, and challenges », in Research Handbook on Health, AI and the Law, in Law 2024. , Elgaronline, 2024. Disponible sur : https://www.elgaronline.com/edcollchap-oa/book/9781802205657/book-part-9781802205657-10.xml

[15] Commission Européenne, « EUDAMED - Base de données européenne sur les dispositifs médicaux », Site de la Commission Européenne. Consulté le : 5 janvier 2025. Disponible sur : https://ec.europa.eu/tools/eudamed/#/screen/search-device

[16] Center for Devices and Radiological Health, « Artificial Intelligence and Machine Learning (AI/ML)-Enabled Medical Devices », fda.gov. Consulté le : 5 janvier 2025. Disponible sur : https://www.fda.gov/medical-devices/software-medical-device-samd/artificial-intelligence-and-machine-learning-aiml-enabled-medical-devices

[17] Inserm, « Intelligence artificielle et santé : Des algorithmes au service de la médecine », 25 janvier 2024. Disponible sur : https://www.inserm.fr/dossier/intelligence-artificielle-et-sante/

[18] B. Mittelstadt, « L’impact de l’intelligence artificielle sur les relations medecin-patient », Conseil de l’Europe, Rapport commandé par le Comité directeur pour les droits de l’Homme dans les domaines de la biomédecine et de la santé, déc. 2021. Disponible sur : https://rm.coe.int/inf-2022-5-report-impact-of-ai-on-doctor-patient-relations-f/1680a6885a

[19] Commission Européenne, « Le « Guide bleu » relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022 (Texte présentant de l’intérêt pour l’EEE) 2022/C 247/01 », Journal officiel de l’Union européenne, juin 2022. Disponible sur : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A52022XC0629%2804%29

[20] H. van Kolfschooten et J. van Oirschot, « The EU Artificial Intelligence Act (2024): Implications for healthcare », Health Policy, vol. 149, p. 105152, nov. 2024, doi : https://doi.org/10.1016/j.healthpol.2024.105152.

[21] S. Gilbert, « The EU passes the AI Act and its implications for digital medicine are unclear », Npj Digit. Med., vol. 7, no 1, p. 1‑3, mai 2024, doi : https://doi.org/10.1038/s41746-024-01116-6.

[22] J. Schmidt et al., « Mapping the regulatory landscape for artificial intelligence in health within the European Union », Npj Digit. Med., vol. 7, no 1, p. 1‑9, août 2024, doi : https://doi.org/10.1038/s41746-024-01221-6.

[23] BSI et AAMI, « BS/AAMI 34971:2023 », BSI Group, 31 mai 2023. Disponible sur : https://knowledge.bsigroup.com/products/application-of-iso-14971-to-machine-learning-in-artificial-intelligence-guide?version=standard

[24] AFNOR CN IA, « NF EN ISO/IEC 23894 Technologies de l’information - Intelligence artificielle - Recommandations relatives au management du risque », Ed. Afnor, Paris, www.afnor.org, 21 février 2024.

[25] ISO/IEC/JTC 1, « ISO/IEC TR 24027:2021 Technologie de l’information - Intelligence artificielle (IA) - Tendance dans les systèmes de l’IA et dans la prise de décision assistée par l’IA », Ed. Afnor, Paris, www.afnor.org, 1 novembre 2021.

[26] TC 62/SC 62A, « IEC 62304:2006 Logiciels de dispositifs médicaux - Processus du cycle de vie du logiciel », Ed. Afnor, Paris, www.afnor.org, 1 mai 2006.

[27] « Artificial Intelligence Risk Management Framework (AI RMF 1.0) », National Institute of Standards and Technology (U.S.), Gaithersburg, MD, NIST AI 100-1, janv. 2023. Disponible sur : http://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf

[28] ISO/IEC/JTC 1, « ISO/IEC 38505-1:2017 Technologies de l’information - Gouvernance des technologies de l’information - Gouvernance des données - Partie 1 : Application de l’ISO/IEC 38500 à la gouvernance des données », Ed. Afnor, Paris, www.afnor.org, 1 avril 2017.

[29] ISO/IEC JTC 1/SC 42, « Projet : ISO/IEC AWI 24970 Intelligence artificielle — Journalisation des systèmes d’IA », Ed. ISO - Organisation Internationale de Normalisation www.iso.org. Consulté le : 12 novembre 2024. Disponible sur : https://www.iso.org/fr/standard/88723.html

[30] ISO/IEC JTC 1/SC 27, « ISO/IEC TS 27560:2023 Technologies pour la protection de la vie privée - Structure de l’information d’enregistrement du consentement », Ed. Afnor, Paris, www.afnor.org, 8 août 2023.

[31] ISO/IEC JTC 1/SC 42, « Projet : ISO/IEC AWI 42105 Guidance for human oversight of AI systems », Ed. ISO - Organisation Internationale de Normalisation www.iso.org. Consulté le : 12 novembre 2024. Disponible sur : https://www.iso.org/fr/standard/86902.html

[32] AFNOR SPEC ETHIC IA, « AFNOR SPEC 2213 Garantie Humaine des systèmes fondés sur l’intelligence artificielle en santé », Ed. Afnor, Paris, www.afnor.org, 29 mai 2024.

[33] ISO/IEC/JTC 1, « ISO/IEC TR 24029-1:2021 Artificial Intelligence (AI) - Assessment of the robustness of neural networks - Part 1 : Overview », Ed. Afnor, Paris, www.afnor.org, 10 mars 2021.

[34] ISO/IEC/JTC 1, « ISO/IEC TR 24028:2020 Technologies de l’information - Intelligence artificielle - Examen d’ensemble de la fiabilité en matière d’intelligence artificielle », Ed. Afnor, Paris, www.afnor.org, 1 mai 2020.

[35] Center for Devices and Radiological Health, Guidance : Cybersecurity in Medical Devices : Quality System Considerations and Content of Premarket Submissions, FDA-2021-D-1158, 26 septembre 2023. Disponible sur : https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions

[36] ISO/IEC JTC 1/SC 42, « ISO/IEC 42001:2023 Technologies de l’information - Intelligence artificielle - Système de management », Ed. Afnor, Paris, www.afnor.org, 18 décembre 2023.

[37] ISO/IEC JTC 1/SC 42, « ISO/IEC 5259-1:2024 Intelligence artificielle - Qualité des données pour les analyses de données et l’apprentissage automatique - Partie 1 : Vue d’ensemble, terminologie et exemples », Ed. Afnor, Paris, www.afnor.org, 2 juillet 2024.

[38] GMED groupe LNE, « « AI ACT » : quelles exigences et échéances pour les dispositifs médicaux ? », 7 novembre 2024. Disponible sur : https://lne-gmed.com/fr/newsletters-fr/exigences-ai-act

[39] M. Bellancini et al., « Questionnaire Artificial Intelligence in medical devices ». German Notified Bodies, Alliance for Medical Devices , Team NB,The European Association of Medical Devices Notified Bodies, 14 novembre 2024. Disponible sur : https://www.team-nb.org/wp-content/uploads/2024/11/Team-NB-PositionPaper-AI-in-MD-Questionnaire-V1-20241125.pdf

[40] A. Fenkiw, « AI Act : Guide for medical device manufacturers according to MDR (2024) », 11 septembre 2024. Disponible sur : https://quickbirdmedical.com/en/ai-act-medical-device/

[41] QNET, « (EU) Regulation 2024/1689, the so-called “AI Act” (AIA), and the MDR/IVDR », MRM Medical Risk Management. Consulté le : 10 novembre 2024. Disponible sur : https://www.medical-risk.com/item/90-eu-regulation-2024-1689-the-so-called-ai-act-aia-and-the-mdr-ivdr

[42] M. Aboy, T. Minssen, et E. Vayena, « Navigating the EU AI Act : implications for regulated digital medical products », Npj Digit. Med., vol. 7, no 1, p. 1‑6, sept. 2024, doi : https://doi.org/10.1038/s41746-024-01232-3.

[43] Future of Life Institute, « EU AI Act Compliance Checker | Loi européenne sur l’intelligence artificielle », artificialintelligenceact.eu. Consulté le : 9 novembre 2024. Disponible sur : https://artificialintelligenceact.eu/fr/evaluation/verificateur-de-conformite-a-l-acte-de-l-ai-de-l-ue/

Appendices

Appendice 1 Sommaires de l’AI Act et du RDM

AI Act	RDM
Nombre de considérants
180	101
Cha­pitres
I Dis­po­si­tions géné­rales II Pra­tiques inter­dites en matière d’IA III Sys­tèmes d’IA à haut risque (SIA-HR) IV Obli­ga­tions de trans­pa­rence pour les four­nis­seurs et les déployeurs de cer­tains SIA V Modèles d'IA à usage géné­ral VI Mesures de sou­tien à l'innovation VII Gou­ver­nance VIII Base de don­nées de l'UE sur les SIA-HR IX Sui­vi post-com­mer­cia­li­sa­tion, par­tage d'informations et sur­veillance du mar­ché X Codes de conduite et lignes direc­trices XI Délé­ga­tion de pou­voir et pro­cé­dure de comi­té XII Sanc­tions XIII Dis­po­si­tions finales	I Champ d’application et défi­ni­tions II Mise à dis­po­si­tion sur le mar­ché et mise en ser­vice des dis­po­si­tifs, obli­ga­tions des opé­ra­teurs éco­no­miques, retrai­te­ment, mar­quage CE et libre cir­cu­la­tion III Iden­ti­fi­ca­tion et tra­ça­bi­li­té des dis­po­si­tifs, enre­gis­tre­ment des dis­po­si­tifs et des opé­ra­teurs éco­no­miques, résu­mé des carac­té­ris­tiques de sécu­ri­té et des per­for­mances cli­niques et base de don­nées euro­péenne sur les DM IV ON V Clas­si­fi­ca­tion et éva­lua­tion de la confor­mi­té VI Eva­lua­tion cli­nique et inves­ti­ga­tions cli­niques Ch VII Sur­veillance après com­mer­cia­li­sa­tion, vigi­lance et sur­veillance du mar­ché VIII Coopé­ra­tion entre les états membres, le groupe de coor­di­na­tion en matière de DM, les labo­ra­toires spé­cia­li­sés, les groupes d’experts et les registres de dis­po­si­tifs IX Confi­den­tia­li­té, pro­tec­tion des don­nées, finan­ce­ment et sanc­tions X Dis­po­si­tions finales
Annexes
I Liste de la légis­la­tion d'harmonisation de l'Union II Liste des infrac­tions pénales visées à l’art. 5, § 1, pre­mier ali­néa, point h) iii) III Sys­tèmes d’IA à haut risque visés à l’art. 6, § 2 IV DT visée à l’art. 11, § 1 V Décla­ra­tion de confor­mi­té de l'UE VI Pro­cé­dure d'évaluation de la confor­mi­té basée sur le contrôle interne VII Confor­mi­té sur la base d'une éva­lua­tion du sys­tème de ges­tion de la qua­li­té et d'une éva­lua­tion de la DT VIII Infor­ma­tions à four­nir lors de l'enregistrement des sys­tèmes d'IA à haut risque confor­mé­ment à l'art. 49 IX Infor­ma­tions à four­nir lors de l'enregistrement des sys­tèmes d'IA à haut risque énu­mé­rés à l'An III en ce qui concerne les essais en condi­tions réelles confor­mé­ment à l'art. 60 X Actes légis­la­tifs de l'Union sur les sys­tèmes d'information à grande échelle dans le domaine de la liber­té, de la sécu­ri­té et de la jus­tice XI DT visée à l'art. 53, § 1, point a) - DT des­ti­née aux four­nis­seurs de modèles d'IA à usage géné­ral XII Infor­ma­tions rela­tives à la trans­pa­rence visées à l'art. 53, § 1, point b) - DT à l'intention des four­nis­seurs de modèles d'IA à usage géné­ral aux four­nis­seurs en aval qui intègrent le modèle dans leur sys­tème d'IA XIII Cri­tères de dési­gna­tion des modèles d'IA à usage géné­ral pré­sen­tant un risque sys­té­mique visés à l'art. 51	I Exi­gences géné­rales en matière de sécu­ri­té et de per­for­mances II DT III DT rela­tive à la sur­veillance après com­mer­cia­li­sa­tion IV Décla­ra­tion de confor­mi­té UE V Mar­quage de confor­mi­té CE VI Infor­ma­tions à four­nir lors de l'enregistrement des dis­po­si­tifs et des opé­ra­teurs éco­no­miques confor­mé­ment à l'art. 29, § 4, et à l'art. 31 ; prin­ci­paux élé­ments de don­nées à four­nir à la base de don­nées IUD avec l'IUD-ID confor­mé­ment aux art.s 8 et 29 et sys­tème IUD VII Exi­gences aux­quelles doivent satis­faire les orga­nismes noti­fiés VIII Règles de clas­si­fi­ca­tion IX Éva­lua­tion de la confor­mi­té sur la base d'un sys­tème de ges­tion de la qua­li­té et de l'évaluation de la DT X Éva­lua­tion de la confor­mi­té sur la base de l'examen de type XI Éva­lua­tion de la confor­mi­té sur la base de la véri­fi­ca­tion de la confor­mi­té du pro­duit XII Cer­ti­fi­cats déli­vrés par un orga­nisme noti­fié XIII Pro­cé­dure pour les dis­po­si­tifs sur mesure XIV Éva­lua­tion cli­nique et sui­vi cli­nique après com­mer­cia­li­sa­tion XV Inves­ti­ga­tions cli­niques XVI Liste des groupes de pro­duits n'ayant pas de des­ti­na­tion médi­cale pré­vue visés à l'art. 1er, § 2 XVII Tableau de correspondance

Appendice 2 Ecarts des définitions dans les deux règlements

Appendice 3 Questionnaire pour l'amélioration du logigramme