CONFLIT DE COMPÉTENCE SUR LES SIA À HAUT RISQUE : QUI CONTRÔLERA LES DME ?

Le 9 septembre 2025, la Direction générale des entreprises (DGE) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ont publié un communiqué de presse présentant leur projet de désignation des autorités nationales chargées de la mise en œuvre règlement européen (UE) 2024/1689 relatif à l’intelligence artificielle (AI Act).

La France et les autres États membres doivent en effet désigner les autorités de surveillance et notifiantes compétentes pour appliquer ce cadre juridique et organiser, au niveau national, la gouvernance qui gravitera autour de l’IA, ce qui constitue une étape cruciale pour assurer à la fois la conformité des acteurs économiques et la protection des citoyens, le tout dans un cadre cohérent pour les acteurs concernés.

À titre liminaire, il convient de préciser que le schéma de gouvernance publié par la DGCCRF et DGE s’inscrit dans l’obligation prévues par l’IA Act qui s’impose aux Etats membres de l’Union européenne de désigner au moins une autorité notifiante et au moins une autorité de surveillance du marché en tant qu’autorités nationales compétentes chargées de contrôler l’application et la mise en œuvre du règlement.

• L’autorité notifiante est chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle.
• L’autorité de surveillance a, quant à elle, la charge de surveiller le marché d’un produit soumis à une législation européenne, tels que les dispositifs médicaux (DM) ( Règlement (UE) 2017/745), les dispositifs médicaux de diagnostic in vitro (DMDIV)( Règlement (UE) 2017/746), les appareils brûlant des combustibles gazeux (Règlement (UE) 2016/426), les équipements de protection individuelle (Règlement (UE) 2016/425), les jouets (Directive 2009/48/CE), etc… qui sont, à ce titre, listées au sein de l’annexe 1 de l’IA Act. Les activités de ces autorités de surveillance sont définies au sein de l’article 11 du règlement sur la surveillance du marché et la conformité des produits (Règlement (UE) 2019/1020).

Dans le cadre de la gouvernance autour de l’IA, ces autorités de surveillance auront notamment la charge de contrôler :

• Les SIA à haut risque relevant de l’annexe 1, c’est-à-dire les produits réglementés par d’autres législations européennes qui embarqueraient un SIA (DM,DMDIV, Jouets, appareils brûlant des combustibles gazeux,etc…) ….;
• Les SIA à haut risque relevant de l’annexe 3 de l’IA Act dans des domaines d’usage identifiés, tels que la biométrie, éducation ou la formation professionnelle, ou encore « Accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels», dont la CNIL aura la responsabilité.

Le schéma proposé par la DGE et la DGCCRF repose sur une logique de coordination décentralisée, s’appuyant sur les régulateurs sectoriels déjà en place.

Concrètement, les entreprises déjà soumises à une régulation sectorielle s’adresseront en priorité à leur autorité habituelle, tandis que la DGCCRF et la DGE joueront un rôle central de coordination et de représentation au niveau européen.

Ainsi, les DM et DMDIV embarquant un SIA haut risque relevant de l’annexe 1 de l’IA Actrelèveront donc de la compétence de l’ANSM et de la DGCCRF.

Pour autant, l’arbitrage en faveur de l’ANSM n’a pas manqué de susciter de nouvelles interrogations auprès de certains acteurs institutionnels quant à la manière d’appliquer l’IA Act avec les exigences en matière de marquage CE d’un autre règlement européen tout aussi majeur pour les acteurs de la santé, à savoir le règlement UE 2025/327 du 15 février 2025 relatif à l’espace européen de données de santé (EEDS).

L’arbitrage en faveur de l’ANSM pour les SIA à haut risque relevant de l’annexe 1, est-il précurseur de l’arbitrage à venir concernant l’autorité de surveillance des systèmes en charge du respect du marquage CE prévu par l’EEDS ?

Pour rappel :

• D’une part, le règlement IA act impose une obligation de marquage CE aux fournisseurs de SIA à haut risque (article 16 de l’IA Act), sans oublier le marquage CE sur les dispositifs médicaux prévu au sein du règlement (UE) 2017/745 et sur les dispositifs médicaux in vitro prévu au sein du règlement (UE) 2017/746 ;
• D’autre part, les éditeurs de systèmes de dossiers médicaux électroniques (DME), sont également concernés par une obligation de marquage dans le cadre du règlement UE 2025/327 du 15 février 2025 relatif à l’espace européen de données de santé (EEDS) (article 41 du EEDS).

Or, certains composants logiciels des systèmes de DME pourraient être considérés comme des DM ou comme des DMDIV ou un système d’intelligence artificielle (IA) considéré à haut risque. Ces logiciels ou modules de logiciels qui relèvent de la définition d’un DM, d’un DMDIV ou d’un SIA considéré à haut risque seront certifiés selon leur règlement respectif.

Qu’en est-il pour ces systèmes DME ? Faut-il que le fournisseur/éditeur/ fabricant obtienne deux marquages différents ? Le considérant 42 du règlement EEDS est clair :

« Bien que ces produits soient tenus de répondre aux exigences des règlements respectifs régissant ces produits, les États membres devraient prendre les mesures appropriées pour garantir que les évaluations de la conformité respectives s’effectuent dans le cadre d’une procédure conjointe ou coordonnée afin de limiter la charge administrative sur les fabricants et les autres opérateurs économiques. Les exigences essentielles en matière d’interopérabilité du présent règlement ne devraient s’appliquer que dans la mesure où le fabricant d’un dispositif médical, d’un dispositif médical de diagnostic in vitro ou d’un système d’IA à haut risque, qui fournit des données de santé électroniques à traiter dans le cadre d’un système de DME, allègue l’interopérabilité du dispositif ou du système avec ce système de DME. Dans ce cas, les dispositions relatives aux spécifications communes des systèmes de DME devraient être applicables à ces dispositifs médicaux, ces dispositifs médicaux de diagnostic in vitro et ces systèmes d’IA à haut risque ».

Dès lors, seuls les DM/DMDIV et SIA à haut risque qui allègueraient d’une interopérabilité avec des composants logiciels d’un DME, devraient se conformer aux « Exigences essentielles applicables aux composants logiciels harmonisés des systèmes de DME et aux produits pour lesquels l’interopérabilité avec les systèmes de DME est alléguée » fixées au sein de l’annexe II du règlement EEDS.

Ainsi, l’autorité de surveillance en charge de ces différents produits, pourrait ainsi être aussi bien l’Agence nationale de sécurité du médicament et des produits de santé (ANSM), compétente pour les DM, ou l’Agence du numérique en santé (ANS), chargée de la régulation des systèmes d’information et des données de santé.

Lors de la journée organisée le 30 septembre 2025 par la Délégation au numérique en santé (DNS) sur l’organisation de l’EEDS, les divergences entre acteurs institutionnels se sont clairement exprimées à ce sujet.

Ces positions reflètent des logiques sectorielles bien ancrées, mais soulèvent la question d’une éventuelle réorganisation des compétences entre ces autorités, selon l’arbitrage final retenu par le législateur.

Par ailleurs, il convient de préciser que le schéma de gouvernance retenu par le Gouvernement doit encore être accepté par le Parlement par le biais d’un projet de loi, et est donc susceptible d’être modifié d’ici là. Affaire à suivre !