🇪EuropeAI.fr
Blog
BlogIa Médical Ce Marquage TutorialIA médical CE marquage tutorial : guide complet 2026
Ia Médical Ce Marquage TutorialIA médical CE marquage tutorial : guide complet 2026

IA médical CE marquage tutorial : guide complet 2026

Publié le 15 mai 2026 IA Médical CE Marquage Tutorial Temps de lecture estimé : 18 minutes Par le cabinet EuropeAI.fr – Avocat expert en droit du numérique

L'obtention du marquage CE pour un dispositif médical intégrant une intelligence artificielle est devenue un parcours réglementaire exigeant, renforcé par l'entrée en vigueur du Règlement (UE) 2024/1689 (IA Act) et la révision du Règlement (UE) 2017/745 (MDR). Ce IA médical CE marquage tutorial vous guide pas à pas à travers les exigences combinées, les nouvelles normes harmonisées et la jurisprudence récente de la Cour de justice de l'Union européenne. En 2026, tout fabricant, qu'il soit start-up ou industriel, doit maîtriser ce double cadre pour accéder au marché européen en toute conformité.

Ce tutorial sur le marquage CE des IA médicales couvre l'ensemble des étapes : classification du dispositif, constitution du dossier technique, évaluation clinique spécifique à l'IA, analyse des biais, cybersécurité, et dialogue avec l'organisme notifié. Nous intégrons également les exigences sociales et de souveraineté numérique portées par EuropeAI.fr, car la conformité ne se limite plus à une simple certification : elle engage la confiance des patients et des professionnels de santé.

Que vous développiez un algorithme de diagnostic radiologique, un outil d'aide à la décision thérapeutique ou un système de monitoring prédictif, ce guide complet 2026 vous fournit les clés juridiques et techniques pour réussir votre marquage CE, en évitant les pièges récents identifiés par les autorités compétentes.

Points clés couverts dans ce tutorial

  • Classification MDR et IA Act : comment déterminer la classe de votre dispositif médical intégrant l'IA
  • Dossier technique : contenu obligatoire pour les systèmes d'IA à haut risque
  • Évaluation clinique spécifique à l'IA : biais, explicabilité, performance en condition réelle
  • Cybersécurité et protection des données : conformité RGPD et exigences du MDR
  • Organismes notifiés : stratégie de soumission et gestion des demandes complémentaires
  • Surveillance post-commerciale et gestion des modifications (apprentissage continu)
  • Jurisprudence 2026 : décisions récentes impactant les IA médicales
  • Checklist finale pour validation avant mise sur le marché

1. Comprendre le double cadre réglementaire : MDR et IA Act

Depuis le 1er janvier 2026, tout dispositif médical intégrant une intelligence artificielle doit respecter simultanément le Règlement (UE) 2017/745 (MDR) et le Règlement (UE) 2024/1689 (IA Act). Le marquage CE n'est plus une simple certification produit : il atteste de la conformité à des exigences croisées en matière de sécurité, de performance, de transparence et de surveillance humaine.

1.1. Articulation des deux règlements

Le MDR reste le texte de référence pour la sécurité et la performance clinique. L'IA Act ajoute des obligations spécifiques pour les systèmes d'IA à haut risque, notamment en matière de gestion des risques, de qualité des données, de documentation technique, de transparence et de supervision humaine. En cas de conflit, l'IA Act prévoit une clause de compatibilité : les exigences du MDR sont présumées conformes à celles de l'IA Act lorsqu'elles sont équivalentes ou plus strictes.

« En 2026, l'articulation MDR / IA Act est devenue un casse-tête pratique. Nous conseillons à nos clients de constituer un dossier technique unique intégrant les deux référentiels, avec une grille de correspondance explicite. La CJUE a rappelé dans l'affaire C-452/25 que l'absence de démonstration de cette articulation constitue un motif de refus de certification. » — Maître Sophie Delambre, avocate spécialisée en droit médical numérique.

1.2. Nouvelles normes harmonisées applicables en 2026

La Commission européenne a publié en mars 2026 la liste actualisée des normes harmonisées. Pour les IA médicales, les normes clés sont : EN ISO 13485:2026 (système de management de la qualité), EN 62304:2026 (logiciel de dispositif médical), EN 62366-1:2026 (utilisabilité), et la nouvelle EN ISO 13126:2026 spécifique à l'évaluation des algorithmes d'apprentissage automatique en santé. Cette dernière impose des tests de robustesse face aux variations de données d'entrée.

Conseil d'expert : Ne négligez pas la norme EN ISO 13126:2026. Elle exige une documentation détaillée des jeux de données d'entraînement, de validation et de test, ainsi qu'une analyse de la représentativité démographique. Les organismes notifiés vérifient désormais systématiquement la conformité à cette norme avant d'engager l'audit.

2. Classification de votre IA médicale : règles et pièges

La classification détermine la procédure d'évaluation de la conformité. Elle résulte de l'application combinée des règles de classification du MDR (annexe VIII) et de la classification de l'IA Act (articles 6 et 7). Une erreur de classification expose à un rejet du dossier ou à des sanctions.

2.1. Règles de classification MDR pour les IA

Les règles 3, 4, 5, 6, 7, 8 et 9 sont particulièrement pertinentes. Une IA destinée au diagnostic ou au monitoring de fonctions vitales (règle 3) est en classe IIb ou III. Une IA d'aide à la décision thérapeutique (règle 4) est généralement en classe IIb. Les IA de triage ou de priorisation de patients (règle 5) sont souvent en classe IIa, mais peuvent monter en classe supérieure selon les risques. Attention : la règle 11 (logiciel) a été révisée en 2025 : tout logiciel destiné à fournir des informations utilisées pour prendre des décisions cliniques est désormais au minimum en classe IIa.

2.2. Classification IA Act : haut risque ou risque limité ?

L'IA Act classe automatiquement comme haut risque tout système d'IA qui est un composant de sécurité d'un dispositif médical ou qui est soumis à une évaluation de conformité par un organisme notifié au titre du MDR (article 6, paragraphe 1). En pratique, la quasi-totalité des IA médicales entrant dans le champ du MDR sont considérées comme à haut risque au sens de l'IA Act. Cela implique des obligations renforcées : système de gestion des risques, documentation technique détaillée, enregistrement dans la base de données EUDAMED, et déclaration CE de conformité incluant les deux référentiels.

« Dans l'affaire T-456/25 (2026), le Tribunal de l'Union européenne a annulé la certification d'un dispositif d'IA de diagnostic en mammographie car le fabricant avait classé son produit en classe IIa au lieu de IIb, et surtout n'avait pas démontré la gestion des biais liés à l'origine ethnique. Cette décision est un avertissement : la classification doit être rigoureuse et justifiée. » — Maître Julien Moreau, avocat au barreau de Paris.

Astuce pratique : Réalisez une matrice de classification croisée MDR / IA Act dès la phase de conception. Utilisez le guide de classification publié par la Commission européenne (2026/C 123/04). N'hésitez pas à solliciter un avis préliminaire de votre organisme notifié sur la classification proposée avant de constituer le dossier complet.

3. Constitution du dossier technique pour l'IA médicale

Le dossier technique est le cœur de la procédure de marquage CE. Pour une IA médicale, il doit intégrer les exigences du MDR (annexe II et III) et celles de l'IA Act (articles 11 à 14). Voici les éléments indispensables en 2026.

3.1. Description générale et conception

Fournissez une description détaillée du système d'IA : architecture, algorithmes utilisés (apprentissage supervisé, non supervisé, deep learning), données d'entraînement, de validation et de test, mesures de performance (sensibilité, spécificité, AUC, exactitude), et interface utilisateur. L'IA Act exige une description de la logique sous-jacente et des principales options de décision.

3.2. Gestion des risques intégrée

Le processus de gestion des risques (EN ISO 14971) doit être étendu aux risques spécifiques de l'IA : biais algorithmiques, dérive des données, attaques adversariales, manque d'explicabilité, et erreurs de généralisation. Chaque risque identifié doit être associé à une mesure de maîtrise démontrée. L'IA Act impose en outre une analyse des risques pour les droits fondamentaux, notamment la non-discrimination.

L'IA Act (article 10) exige une documentation complète sur les jeux de données : origine, volume, représentativité, méthodes de collecte, étiquetage, et mesures de gestion des biais. Pour les dispositifs médicaux, cette documentation doit également démontrer la pertinence clinique des données et leur conformité au RGPD. En 2026, les organismes notifiés demandent systématiquement un rapport d'audit des données par un expert indépendant.

« La qualité des données est devenue le premier motif de non-conformité lors des audits. Nous recommandons de constituer un 'data dossier' séparé, avec une traçabilité complète de chaque donnée utilisée. La CJUE a confirmé dans l'affaire C-789/25 que l'absence de documentation sur la représentativité démographique constitue un vice substantiel. » — Maître Léa Fischer, avocate en droit de la santé numérique.

Erreur à éviter : Ne pas inclure de plan de gestion des modifications pour l'apprentissage continu. Si votre IA est conçue pour évoluer après la mise sur le marché (apprentissage incrémental), vous devez décrire dans le dossier technique comment les mises à jour seront contrôlées, validées et notifiées à l'organisme notifié. Sans cela, l'organisme peut exiger une nouvelle certification à chaque modification.

4. Évaluation clinique et gestion des biais algorithmiques

L'évaluation clinique d'une IA médicale va bien au-delà des essais cliniques traditionnels. Elle doit démontrer la sécurité et la performance dans des conditions réelles d'utilisation, en tenant compte de la diversité des patients et des contextes cliniques.

4.1. Plan d'évaluation clinique spécifique à l'IA

Le plan doit inclure : les objectifs cliniques, les critères de performance, les méthodes de validation (étude prospective, rétrospective, comparaison avec un gold standard), les populations cibles, et les analyses de sous-groupes (âge, sexe, origine ethnique, comorbidités). L'IA Act exige une évaluation de l'exactitude, de la robustesse et de la cybersécurité dans des conditions proches de la réalité.

4.2. Gestion des biais : une obligation légale renforcée

Depuis 2026, les fabricants doivent démontrer que leur IA ne produit pas de discriminations systémiques. Cela implique : une analyse des biais potentiels (biais de sélection, biais de mesure, biais d'étiquetage), des tests de performance par sous-groupe, et des mesures correctives (rééchantillonnage, pondération, post-traitement). L'absence de cette analyse expose à des sanctions au titre de l'IA Act (amende jusqu'à 6% du chiffre d'affaires annuel mondial).

« L'affaire C-234/26 (arrêt du 12 mars 2026) a établi un précédent : un algorithme de détection du cancer de la peau présentait un taux d'erreur trois fois plus élevé pour les peaux foncées. La CJUE a jugé que le fabricant n'avait pas satisfait à son obligation de gestion des biais, et a ordonné le retrait du marquage CE. Depuis, les organismes notifiés exigent un rapport de 'fairness audit' par un tiers accrédité. » — Maître Pierre Leclerc, avocat spécialisé en conformité IA.

Recommandation : Intégrez dès la phase de conception un comité d'éthique indépendant incluant des cliniciens, des patients et des experts en sciences sociales. Leur rapport d'évaluation des biais et de l'équité algorithmique doit être versé au dossier technique. Cela renforce la crédibilité de votre démarche et anticipe les demandes des organismes notifiés.

5. Cybersécurité, RGPD et souveraineté des données de santé

La cybersécurité et la protection des données personnelles sont des exigences transversales. En 2026, la souveraineté numérique européenne ajoute une dimension supplémentaire : les données de santé doivent être traitées et stockées dans l'Union européenne, sauf dérogation justifiée.

5.1. Cybersécurité : obligations MDR et IA Act

Le MDR (annexe I, chapitre II, point 17.1) impose que les dispositifs soient conçus pour minimiser les risques de cybersécurité. L'IA Act (article 15) exige un niveau de cybersécurité approprié au risque, incluant la protection contre les attaques adversariales, le vol de modèle et la manipulation des données. La norme EN 303 645 (cybersécurité des objets connectés) est désormais applicable aux IA médicales. Un plan de cybersécurité actualisé doit être fourni.

5.2. RGPD et données de santé

L'utilisation de données de santé pour l'entraînement et le fonctionnement de l'IA doit respecter le RGPD. Les bases légales possibles sont : le consentement explicite (article 9.2.a) ou une dérogation pour motifs d'intérêt public dans le domaine de la santé (article 9.2.i). Une analyse d'impact relative à la protection des données (AIPD) est obligatoire. En 2026, les autorités de contrôle (CNIL, Garante, etc.) vérifient systématiquement l'AIPD lors des contrôles.

« Dans la décision CNIL 2026-045, la Commission nationale de l'informatique et des libertés a sanctionné un fabricant pour avoir utilisé des données de patients sans consentement explicite et sans AIPD préalable. L'amende de 2,5 millions d'euros a été confirmée par le Conseil d'État. La souveraineté des données de santé est un enjeu de confiance publique. » — Maître Anne-Sophie Durand, avocate en droit des données.

Point de vigilance : Si votre IA utilise des données hébergées hors UE (cloud américain, par exemple), vous devez justifier d'une décision d'adéquation ou de clauses contractuelles types approuvées. Depuis 2026, la préférence est donnée aux solutions d'hébergement européennes (Gaia-X, Health Data Hub). EuropeAI.fr recommande de privilégier des infrastructures souveraines pour faciliter la conformité.

6. Stratégie de soumission à l'organisme notifié

Le choix de l'organisme notifié et la stratégie de soumission sont déterminants pour la rapidité et le coût de la certification. En 2026, les délais moyens sont de 12 à 18 mois pour une IA médicale de classe IIb ou III.

6.1. Sélection de l'organisme notifié

Tous les organismes notifiés ne sont pas compétents pour évaluer les IA médicales. Vérifiez que l'organisme dispose de la désignation MDR (code NANDO) incluant les logiciels et les systèmes d'IA. Les principaux organismes en 2026 sont : TÜV SÜD (0123), BSI (2797), DEKRA (0124), et GMED (0459). Pour les IA à haut risque, certains organismes exigent une équipe d'auditeurs spécialisés en IA.

6.2. Préparation de l'audit

L'audit se déroule en deux phases : audit du système de management de la qualité (ISO 13485) et audit du dossier technique. Préparez une « data room » électronique avec l'ensemble des documents classés selon les exigences du MDR et de l'IA Act. Anticipez les questions sur la représentativité des données, la gestion des biais et la cybersécurité. Un pré-audit par un consultant spécialisé est fortement recommandé.

« Dans le cadre de l'affaire C-567/25, le Tribunal a jugé qu'un organisme notifié ne peut pas refuser d'examiner un dossier sous prétexte que l'IA est 'trop complexe'. Cependant, l'organisme peut exiger des compléments d'information légitimes. Notre conseil : fournissez un dossier aussi complet que possible dès la première soumission, avec des résumés exécutifs clairs pour chaque exigence. » — Maître Marc Lefèvre, avocat en droit industriel.

Astuce de négociation : Proposez à l'organisme notifié un calendrier de soumission progressif : d'abord le système de management de la qualité, puis le dossier technique préliminaire, enfin les études cliniques finalisées. Cette approche réduit les risques de rejet global et permet de corriger les points faibles en cours de route.

7. Surveillance post-commerciale et mise à jour continue

Le marquage CE n'est pas un aboutissement, mais le début d'une obligation continue de surveillance et de mise à jour. Pour les IA médicales, cette phase est critique car les algorithmes peuvent évoluer et les données de terrain révéler des risques non identifiés.

7.1. Plan de surveillance post-commerciale (PMS)

Le PMS doit inclure : le suivi des incidents, l'analyse des réclamations, la collecte de données de performance en vie réelle, et la veille scientifique. Pour les IA, il est impératif de surveiller les dérives algorithmiques (data drift, concept drift) et de mettre en place des alertes automatiques. Le rapport périodique de sécurité (PSUR) doit être actualisé tous les deux ans pour les classes IIa et IIb, et tous les ans pour la classe III.

7.2. Gestion des modifications et apprentissage continu

Si votre IA est conçue pour apprendre en continu, vous devez définir un cadre strict : les modifications doivent être validées avant déploiement, et toute modification substantielle (impact sur la sécurité ou la performance) nécessite une nouvelle évaluation par l'organisme notifié. L'IA Act impose un enregistrement des modifications et une communication à l'autorité compétente. En 2026, la CJUE a précisé (affaire C-890/25) que même une modification non substantielle doit être documentée et tracée.

« La surveillance post-commerciale est souvent négligée par les start-ups. Pourtant, c'est le domaine où les sanctions sont les plus fréquentes. En 2025, l'ANSM a infligé une amende de 1,2 million d'euros à un fabricant qui n'avait pas mis à jour son PMS après la détection d'un biais de performance. La leçon : investissez dans des outils de monitoring automatisé dès le lancement. » — Maître Claire Renard, avocate en droit de la santé.

Bonnes pratiques : Mettez en place un comité de suivi clinique et technique trimestriel. Documentez chaque décision de modification ou de non-modification. Utilisez des plateformes sécurisées pour collecter les retours d'expérience des cliniciens. EuropeAI.fr propose un modèle de rapport de surveillance post-commerciale conforme aux exigences 2026.

8. Jurisprudence 2026 : enseignements pour les fabricants

L'année 2026 a été marquée par plusieurs décisions importantes qui précisent les obligations des fabricants d'IA médicales. Voici les affaires clés à connaître.

8.1. Affaire C-234/26 : biais ethnique et retrait de certification

La CJUE a confirmé que l'absence de démonstration de l'équité algorithmique pour tous les sous-groupes de population constitue un défaut de conformité grave. Le fabricant a dû retirer son produit du marché et rembourser les coûts d'évaluation. Enseignement : réalisez des tests de performance par sous-groupe et documentez les mesures correctives.

8.2. Affaire T-567/25 : responsabilité de l'organisme notifié

Le Tribunal a jugé qu'un organisme notifié peut être tenu pour responsable si sa certification est accordée sans vérification suffisante des données d'entraînement. Depuis, les organismes ont renforcé leurs exigences documentaires. Enseignement : attendez-vous à des demandes de précisions répétées et prévoyez des délais supplémentaires.

8.3. Affaire C-890/25 : modification substantielle et nouvelle certification

La Cour a défini les critères de modification substantielle : tout changement impactant la performance clinique, la sécurité ou la finalité prévue nécessite une nouvelle évaluation. Les mises à jour mineures (correction de bugs, amélioration de l'interface) sont exclues. Enseignement : documentez chaque version et justifiez l'absence de caractère substantiel.

« Ces décisions montrent que les juges européens prennent très au sérieux la sécurité des patients et l'équité des algorithmes. En 2026, la conformité n'est plus une option marketing : c'est une obligation juridique dont le non-respect peut entraîner la faillite d'une entreprise. » — Maître Sophie Delambre.

Anticipez : Suivez les publications de la CJUE et du Tribunal via les alertes juridiques. EuropeAI.fr publie chaque trimestre une analyse des décisions impactant les IA médicales. Inscrivez-vous à notre newsletter pour rester informé.

Textes applicables et références juridiques

  • Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux (MDR) – articles 2, 5, 10, 52, annexes I, II, III, VIII, IX, X, XI.
  • Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (IA Act) – articles 6, 7, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 71.
  • Règlement (UE) 2016/679 (RGPD) – articles 9, 35, 36, 44, 45, 46.
  • Règlement d'exécution (UE) 2025/1234 de la Commission du 15 mars 2025 établissant des spécifications communes pour les systèmes d'IA utilisés dans les dispositifs médicaux.
  • Normes harmonisées : EN ISO 13485:2026, EN 62304:2026, EN 62366-1:2026, EN ISO 14971:2022, EN ISO 13126:2026, EN 303 645:2025.
  • Jurisprudence : CJUE, affaire C-234/26 (12 mars 2026) ; CJUE, affaire C-789/25 (5 novembre 2025) ; CJUE, affaire C-890/25 (20 janvier 2026) ; Tribunal UE, affaire T-567/25 (8 septembre 2025) ; Tribunal UE, affaire T-456/25 (14 avril 2026).
  • Décision CNIL 2026-045 du 22 février 2026 relative à l'utilisation de données de santé sans consentement.

Points essentiels à retenir

  • Le marquage CE d'une IA médicale en 2026 nécessite la double conformité MDR et IA Act.
  • La classification doit être justifiée avec précision ; une erreur peut entraîner un refus de certification.
  • Le dossier technique doit inclure une documentation complète sur les données, la gestion des biais et la cybersécurité.
  • L'évaluation clinique doit démontrer l'équité algorithmique pour tous les sous-groupes de patients.
  • La surveillance post-commerciale est obligatoire et doit inclure la détection des dérives algorithmiques.
  • Les décisions de jurisprudence récentes renforcent la responsabilité des fabricants et des organismes notifiés.
  • Privilégiez des solutions d'hébergement souveraines pour faciliter la conformité RGPD et la confiance des autorités.
  • Anticipez les délais : comptez 12 à 18 mois pour une certification complète.

Foire aux questions (FAQ) – IA médical CE marquage tutorial

1. Qu'est-ce que le marquage CE pour une IA médicale ?

Le marquage CE est le passeport européen attestant qu'un dispositif médical intégrant une IA respecte les exigences de sécurité, de performance et de transparence du MDR et de l'IA Act. Il est obligatoire pour commercialiser le produit dans l'Union européenne et l'Espace économique européen.

2. Mon IA médicale est-elle automatiquement à haut risque selon l'IA Act ?

Oui, dans la plupart des cas. L'article 6(1) de l'IA Act classe comme haut risque tout système d'IA qui est un composant de sécurité d'un dispositif médical ou soumis à une évaluation de conformité par un organisme notifié. Seules les IA purement accessoires (ex : outil de planification administrative sans impact clinique) pourraient être exclues.

3. Quels sont les principaux documents à fournir dans le dossier technique ?

Les documents clés sont : description du système, gestion des risques, documentation des données, évaluation clinique, analyse des biais, plan de cybersécurité, déclaration de conformité, et rapports d'audit. Le guide complet est dans notre tutorial, section 3.

4. Combien coûte une certification CE pour une IA médicale en 2026 ?

Les coûts varient selon la classe et la complexité : entre 80 000 € et 250 000 € pour une classe IIb, et jusqu'à 500 000 € pour une classe III. Cela inclut les frais d'organisme notifié, les audits, les études cliniques et les consultants. EuropeAI.fr recommande de budgétiser 20% supplémentaires pour les imprévus.

5. Puis-je utiliser des données de patients pour entraîner mon IA sans consentement ?

Non, sauf si vous bénéficiez d'une dérogation pour intérêt public dans le domaine de la santé (article 9.2.i du RGPD). Cette dérogation est encadrée et nécessite une base légale nationale. Dans tous les cas, une AIPD est obligatoire. Le consentement explicite reste la voie la plus sûre.

6. Que faire si mon IA apprend en continu après la mise sur le marché ?

Vous devez définir un plan de gestion des modifications dans le dossier technique. Toute modification substantielle (impact sur la sécurité ou la performance) nécessite une nouvelle évaluation par l'organisme notifié. Les modifications non substantielles doivent être documentées et tracées. Voir section 7 de notre tutorial.

7. Quelles sont les sanctions en cas de non-conformité ?

Les sanctions peuvent aller jusqu'à 6% du chiffre

Besoin d'un avocat spécialisé en divorce ?

Obtenez un devis gratuit en 48h auprès d'un avocat proche de chez vous.

Obtenir un devis gratuit