Partant de ce constat, OpenAI, puis Anthropic, ont lancé de nouveaux espaces dédiés à la santé au sein de leurs systèmes d’IA conversationnelle : ChatGPT Santé et Claude for Healthcare.
ChatGPT Santé a été officiellement lancé le 7 janvier 2026. Il permet l’agrégation de données de santé personnelles contenues dans des dossiers et applications (dossiers médicaux, Apple santé, MyFitnessPal, etc.) afin de fournir aux utilisateurs des informations claires personnalisées et contextualisées, proches de celles qu’un professionnel de santé pourrait délivrer.
A ce stade, ces services sont en phase de test aux Etats-Unis, mais, un déploiement international, notamment en Europe et en France, pourraient être déployés.
Un tel déploiement suppose toutefois une mise en conformité rigoureuse avec la législation européenne, réputée la plus stricte au monde en matière de protection des données personnelles (RGPD) et de régulation de l’intelligence artificielle (AI Act).
Quelles sont les nouvelles fonctionnalités santé proposées par les IA génératives ?
Grands leaders de l’IA conversationnelle, OpenAI et Anthropic ont tous deux lancé des outils combinant interface conversationnelle grand public et intégration à des écosystèmes de dossiers et d’applications santé.
L’offre OpenAI : ChatGPT Santé, une IA conversationnelle dédiée aux données de santé
ChatGPT Santé prend la forme d’un espace dédié au sein de l’application générale existante ChatGPT.
L’utilisateur peut, de façon optionnelle, connecter des dossiers médicaux et des applications de suivi (activité, sommeil, nutrition)[1] afin d’obtenir des explications en langage clair, de structurer son historique et de préparer ses consultations. Il peut ainsi par exemple préparer une liste de questions à l’intention de son professionnel de santé, ou synthétiser ses symptômes afin d’aider le diagnostic.
Développé en collaboration avec 260 médecins, le modèle de ChatGPT Santé est évalué selon les normes cliniques de HealthBench, un cadre d’évaluation développé par OpenAI. Les réponses de l’IA sont alors évaluées à l’aide de grilles rédigées par des médecins, l’objectif étant de privilégier la sécurité, la clarté et l’orientation appropriée vers des soins médicaux si nécessaire.
Côté sécurité, OpenAI met en avant un cloisonnement spécifique de cet espace, avec chiffrement et paramètres de rétention adaptés, ainsi qu’une validation interne centrée sur la sécurité, la clarté des conseils et l’orientation vers un professionnel lorsque la situation l’exige.
La riposte Anthropic : Claude for Healthcare
Claude for Healthcare est une configuration de Claude pensée à la fois pour les patients mais aussi pour les acteurs de santé[2] :
- Côté patient, Claude peut être lié à des partenaires et applications et devrait pouvoir résumer des historiques médicaux, expliquer des résultats de laboratoire, identifier des tendances dans les données issues de dossiers ou d’applications de santé connectées, et aider à la préparation des consultations.
- Côté acteurs de santé, Claude for Healthcare est positionné comme outil de productivité (codage médical, gestion des demandes de prise en charge, interrogation de bases de couverture et d’annuaires professionnels).
L’outil est présenté comme conforme aux exigences américaines de sécurité des données[3].
A noter : au lancement de ces deux nouvelles solutions, l’accès est annoncé comme circonscrit aux utilisateurs des Etats-Unis (et sur liste d’attente de beta testeurs pour ChatGPT Santé). Dans l’immédiat, ces fonctionnalités ne sont donc pas disponibles dans l’EEE (donc la France), en Suisse et au Royaume-Uni.
Un déploiement en Europe ? Les principaux défis juridiques au regard du RGPD
Un déploiement européen soulèverait d’importants défis de protection des données personnelles, dont voici les principaux.
Qualification et traitement de données de santé au sens du RGPD
L’article 4(15) du RGPD qualifie de données de santé les données qui révèlent des informations sur l’état de santé de la personne. Les données importées par une organisation de santé ou un professionnel rentrent nécessairement dans cette catégorie.
S’agissant des données importées par l’utilisateur dans une IA conversationnelle et/ou celles importées par une application de suivi de l’activité, du sommeil, de la nutrition, la qualification de données de santé est plus nuancée :
Tout dépend d’une part de la nature des données[4], d’autre part du croisement ou non de ces données à d’autres données révélant ainsi des informations sur l’état de santé de la personne.
Le traitement de données de santé requiert un double verrou :
- D’une part, identifier une base légale au sens de l’article 6 du RGPD
- D’autre part, démontrer l’entrée dans une exception à l’interdiction de l’article 9, paragraphe 2.
Pour les services grand public, la base légale appropriée serait le consentement au titre de l’article 6, paragraphe 1, point a). L’exception applicable pourrait être le consentement explicite prévu à l’article 9, paragraphe 2, point a), du RGPD.
Côté B2B[5], le traitement pourrait être autorisé sur la base du consentement du patient et de la bonne exécution du contrat de soins.
Transparence, information et droits des utilisateurs de l’IA santé
L’article 13 du RGPD impose une information complète au moment de la collecte. Les utilisateurs doivent être informés de la finalité, de la durée de conservation, des destinataires, des transferts hors UE ainsi que de leurs droits à l’aune du RGPD.
Les fournisseurs d’IA, comme OpenAI ou Anthropic, devront alors expliquer de manière intelligible comment leurs modèles traitent les données de santé, quelles analyses sont effectuées et quels sont les risques.
Transferts de données de santé vers les États-Unis : enjeux RGPD et garanties
OpenAI et Anthropic sont tous deux basés aux Etats-Unis, les données insérées dans le système sont donc transférées dans les locaux et serveurs situés aux Etats-Unis.
La décision d’adéquation UE-US pourrait constituer une garantie suffisante si les entités étaient certifiées conformes via le Data Privacy Framework ce qui ne semble pas être le cas pour l’heure ni pour l’une ni pour l’autre.
En revanche, Open AI[6] et Anthropic disposent de Clauses contractuelles types qui permettent le transfert des données aux Etats-Unis.
Toutefois, ce cadre demeure encore fragile, la meilleure solution afin de garantir un haut niveau de sécurité, serait d’héberger ces données de santé directement sur le territoire européen, idéalement en France. En l’état actuel de la stratégie des deux entreprises concernées, cette hypothèse semble peu réalisable.
Analyse des risques relative à la protection des données (AIPD)
En tout état de cause, le déploiement des fonctionnalités Santé d’OpenAI et Claude devront faire l’objet d’une analyse d’impact relative à la protection des données (AIPD). Une AIPD est obligatoire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, ce qui semble être le cas du traitement de données de santé (donc sensibles) dans le cadre d’un usage innovant comme l’intelligence artificielle conversationnelle[7]. D’autant que ces outils permettent le croisement de ces données sensibles.
Une telle analyse remplit un double objectif :
- Aider à la construction de traitements de données respectueux de la vie privée
- Démontrer la conformité au RGPD
ChatGPT Santé, Claude et l’AI Act : des systèmes d’IA à haut risque ?
L’AI Act ne se substitue pas au RGPD, mais vient le compléter. Les fournisseurs de solutions d’intelligence artificielle appliquées à la santé devront donc démontrer une conformité cumulative à ces deux règlements européens.
À ce titre, ChatGPT et Claude constituent tous deux des systèmes d’IA au sens de l’AI Act et sont, à ce titre, soumis à ses exigences.
L’annexe I de l’AI Act qualifie de système à haut-risque les systèmes représentant un dispositif médical[8].
Selon les fonctionnalités effectivement proposées par ChatGPT Santé ou Claude for Healthcare[9], ces nouveaux outils pourraient entrer dans cette catégorie[10].
En effet, lorsqu’un logiciel a pour seule finalité de conseiller un patient de consulter ou non un professionnel de santé, il ne répond pas, selon la position de l’ANSM, à la définition d’un dispositif médical.
En revanche, la qualification de système d’IA à haut risque serait susceptible de s’appliquer si le logiciel permet :
- Une utilisation à des fins médicales, telles que le diagnostic, l’aide au diagnostic, le traitement ou l’aide au traitement, ce qui pourrait être le cas si l’IA communique des informations assimilables à celles qu’un médecin pourrait fournir ;
- La production d’un résultat individualisé, propre au bénéfice d’un patient déterminé, ce qui est le cas dès lors que l’IA délivre une réponse personnalisée à partir des données saisies par l’utilisateur ;
- La réalisation d’une action sur les données entrantes, notamment une analyse visant à produire une information médicale nouvelle, par exemple lorsque l’IA tire des conclusions inédites à partir des données de santé fournies par le patient.
Dans une telle hypothèse, les systèmes d’IA développés par OpenAI et Anthropic dans le domaine de la santé seraient qualifiés de systèmes d’IA à haut risque au sens de l’AI Act.
En conséquence, en leur qualité de fournisseurs de systèmes d’IA à haut risque, ces entreprises seraient tenues de satisfaire à un ensemble d’obligations renforcées, et notamment :
- Établir une documentation technique avant la mise sur le marché ;
- Mettre en œuvre un système de gestion des risques sur l’ensemble du cycle de vie du système d’IA à haut risque ;
- Fournir une notice d’utilisation contenant des informations concises, complètes, exactes et claires, qui soient pertinentes, accessibles et compréhensibles pour les déployeurs ;
- S’enregistrer dans la base de données de l’UE et y enregistrer leur système d’IA.
En tout état de cause, indépendamment de leur qualification à haut risque, ces systèmes demeurent soumis aux obligations de transparence prévues par l’article 50 de l’AI Act.
Les utilisateurs doivent être clairement informés qu’ils interagissent avec un système d’IA et que les réponses fournies sont générées de manière algorithmique.
Cette exigence de transparence vise à éviter toute confusion et à garantir que les personnes comprennent la nature des informations reçues, particulièrement dans un domaine aussi sensible que la santé.
Conclusion : quelles conditions juridiques pour le déploiement de l’IA en santé en Europe ?
Le déploiement en Europe de ChatGPT Santé et Claude for Healthcare n’est pas, en soi, incompatible avec le cadre juridique européen.
Il suppose toutefois des adaptations majeures afin de garantir un haut niveau de protection des données :
sécurité renforcée, maîtrise des transferts hors UE, consentement éclairé, conformité RGPD et AI Act.
Ces outils illustrent parfaitement les nouveaux défis juridiques à l’intersection du droit de la santé, du numérique et de l’intelligence artificielle.
***
Le cabinet HAAS Avocats est spécialisé depuis trente ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Apple Santé, Function, MyFitnessPal par exemple.
[2] Anthropic “Advancing Claude in healthcare and the life sciences”, 11 janvier 2026.
[3] Health Insurance Portability and Accountability Act (1996).
[4] Par exemple, un poids excessif peut révéler une obésité.
[5] Hôpitaux, professionnels de santé, dans le cadre de l’offre proposé par Claude notamment.
[6] l’addendum sur le traitement des données applicable aux pays européens
[7] Voir à ce titre les lignes directrices du G29 qui établit 9 critères. Si 2 de ces critères sont bien remplis, une AIPD est obligatoire.
[8] Article 5, Annexe I§11 du RIA qui vise les produits entrant dans le champ d’application du Règlement 2017/745 relatif aux dispositifs médicaux.
[9] Le règlement vise notamment le « diagnostic, prévention, contrôle, prédiction, pronostic, traitement ou atténuation d’une maladie » (Article 2§1 du Règlement 2017/745 relatif aux dispositifs médicaux). OpenAI Santé vise « l’explication de résultats d’analyses (ce qui pourrait constituer un diagnostic)dans un langage accessible, la préparation de questions pour un rendez-vous médical, l’interprétation de données issues d’objets connectés et d’applications de bien-être, ou encore la synthèse de consignes de soins », Claude for Healthcare ne semble pas permettre aux utilisateurs de « discuter » directement avec l’IA mais intervient en assistant des professionnels de santé qui portent un diagnostic.
[10] Voir aussi les critères cumulatifs donnés par l’ANSM : utilisation à des fins médicales au sens de la définition de dispositif médical, donner un résultat propre au bénéfice d’un seul patient, effectuer une action sur les données entrantes, telle qu’une analyse afin de fournir une information médicale nouvelle. En pratique, et sous réserve que les tâches effectivement réalisables entrent bien dans les fins médicales identifiées à l’article 2§1 du Règlement 2017/745 relatif aux dispositifs médicaux , il semblerait que tous les critères soient remplis.