[2026-04-07] L’International Medical Device Regulators Forum (IMDRF) présente un projet de cadre technique internationalement harmonisé pour la gestion du cycle de vie des dispositifs médicaux dotés d’intelligence artificielle (IA).
Intitulé IMDRF/AIML WG/N93 Technical Framework for Artificial Intelligence Life Cycle Management, le document compte 37 pages. Publié le 7 avril 2026 sous forme de draft, il est diffusé pour commentaire et consultation publique afin de recueillir des retours sur l’orientation technique, la structure et les contenus proposés.
1. Objet, champ d’application et définitions
Ce projet s’appuie notamment sur :
- les bonnes pratiques d’apprentissage automatique ou Good Machine Learning Practice (GMLP) du guide IMDRF/AIML WG/N88 FINAL: 2025 Good machine learning practice for medical device development: Guiding principles (voir notre article),
- les référentiels existants habituels pour les logiciels (ISO 13485, ISO 14971, IEC 62304, normes de cybersécurité, etc.) et
- la norme ISO/IEC 23053:2022 Cadre pour les systèmes d’intelligence artificielle (IA) qui utilisent l’apprentissage automatique (ML) (voir notre article de l’époque).
Il décrit ainsi les concepts universels de qualité, gestion des risques, supervision humaine et cybersécurité. Puis il décline des considérations pratiques pour chaque étape du cycle de vie et ce, tout en incluant des exigences spécifiques liées aux modèles adaptatifs et aux usages cliniques variés.
Il ne se substitue pas aux réglementations nationales, ni aux autres documents de l’IMDRF (logiciels dispositifs ou Software as a Medical Device ou SaMD, cybersécurité, UDI, étiquetage), mais les complète en apportant des considérations spécifiques liées à l’IA et des références normatives ciblées.
2. Concepts universels
4 concepts universels s’appliquent sur l’ensemble du cycle de vie de l’IA.
a. Système de gestion de la qualité
Tout d’abord, le cadre impose la mise en œuvre d’un Système de gestion de la qualité (QMS). Il doit prendre en compte la gestion des exigences cliniques et techniques, la traçabilité des données d’entraînement et des versions de modèles, la gestion de configuration, ainsi que des mécanismes de surveillance après commercialisation.
b. La gestion des risques
Puis la gestion des risques suit le cadre général ISO 14971, complété par AAMI TIR 34971 pour l’application à l’apprentissage automatique, tout en identifiant des risques supplémentaires propres à l’IA.
Sont notamment distingués les risques liés :
- à l’information,
- à l’interaction humain‑IA,
- à l’entraînement et à la qualité des données,
- au déploiement et suivi.
c. La supervision humaine
En complément, la supervision humaine est présentée comme essentielle sur tout le cycle de vie pour intégrer l’expertise clinique dans la définition des besoins, la sélection des caractéristiques, l’annotation des données, la validation clinique et la surveillance après commercialisation.
d. La cybersécurité
Enfin, la cybersécurité est décrite comme critique en raison des volumes de données, de la sensibilité des données patients et de la possibilité d’empoisonnement des IA (« data poisoning ») ou d’attaques sur les modèles, avec référence aux documents IMDRF Cyber N60/N70/N73 (objets d’articles du réseau) et aux travaux NIST (voir notre article de 2024)/ENISA (voir notre article de 2026).
4. Étapes du cycle de vie du dispositif médical doté d’IA
a. Conception et développement
Au départ, l’étape de planification et conception décrit l’organisation de la conception du dispositif IA selon une logique plan‑do‑check‑act (PDCA, planifier-faire-vérifier-agir). Elle doit préciser la justification du recours à l’IA, l’anticipation des risques, l’analyse des données disponibles, la définition des exigences du modèle et de l’infrastructure, ainsi que la planification de la validation et de la surveillance après commercialisation.
La collecte et gestion des données consiste en la constitution d’un dossier centré sur l’adéquation des données à l’usage prévu, l’utilisation maîtrisée de données augmentées ou synthétiques, la représentativité des sous‑groupes, la réduction des biais, le nettoyage, la traçabilité et la gestion du cycle de vie des données.
La construction (et le réglage du modèle) est réalisée en cohérence avec l’usage prévu et les données disponibles. Elle couvre le choix et la justification du type de modèle, les compromis performance/interprétabilité, le prétraitement et la sélection des caractéristiques. C’est aussi le moment de définir des fonctions de perte (outils mathématiques qui mesurent à quel point un modèle d’IA se trompe sur ses prédictions) et des métriques, ainsi que l’intégration de modèles d’IA à usage général (« general-purpose models », voir notre article le plus récent sur le sujet au niveau européen) ou sur étagère (« off‑the‑shelf »).
L’étape de vérification, validation et évaluation clinique vise à démontrer que le dispositif respecte ses exigences et peut être utilisé en sécurité et avec efficacité. Une distinction entre la validation du modèle et celle du dispositif complet est requise. (ndlr : Notez que les organismes notifiés émettent beaucoup de non-conformités sur ce point actuellement.)
b. Mise sur le marché
Le déploiement nécessite de documenter la vérification de l’adéquation des hypothèses de conception avec l’environnement réel, la gestion des modes de défaillance propres à l’IA, le choix de la stratégie de déploiement et la personnalisation/localisation contrôlée du modèle.
La phase d’exploitation et surveillance décrit l’exploitation du dispositif et la surveillance continue après déploiement. Elle prévoit une infrastructure de journalisation, de suivi de performance, de détection d’anomalies et de gestion des incidents, ainsi que la gestion de la dérive de performance et des approches spécifiques pour les modèles personnalisables, adaptatifs et génératifs.
L’évaluation des performances en vie réelle vise à encadrer l’évaluation des performances du dispositif en conditions réelles d’utilisation. Elle recommande de définir des indicateurs de performance alignés sur l’usage prévu, de structurer des analyses pour détecter dégradations, écarts d’équité et opportunités d’amélioration.
Au bout du cycle de vie, la fin de vie contrôlée du dispositif IA, mise hors service (« sunsetting »), s’organise aussi. Elle prévoit l’arrêt organisé de la maintenance, du support et de la distribution, la désactivation sécurisée, la gestion des ressources et des données associées, ainsi qu’une communication claire et une documentation démontrant la maîtrise de cette phase.
5. Transparence et étiquetage
Les informations à fournir aux parties prenantes peuvent inclure notamment des informations relatives à l’explicabilité et à l’interprétabilité du comportement du modèle et des résultats du dispositif médical basé sur l’IA.
6. Annexes
Enfin, plusieurs annexes apportent d’autres informations utiles, comme l’Annexe A qui établit une matrice de traçabilité entre les GMLP et les étapes du cycle de vie décrit.
L’annexe B résume des exemples de métriques d’évaluations (vous y reconnaîtrez des mesures du projet de norme technique IEC 63524, voir notre article).
Enfin, l’annexe C décrit le contenu des informations fournies avec le dispositif (« labelling »).
7. Conclusion
En conclusion, ce document de cadrage technique, vise à favoriser la compréhension et l’harmonisation des exigences normatives et réglementaires relatives à l’utilisation de l’IA dans les dispositifs médicaux logiciels. Il facilitera sans doute la mise en place d’un système de gestion de la qualité et la constitution d’une documentation technique adaptés pour les IA.
Le projet est ouvert pour consultation jusqu’au 10 juillet 2026.
Article rédigé par Daniel Decruppe, membre du réseau DMEXPERTS, avec l’aide d’outils d’intelligence artificielle ; la relecture et les corrections ont été réalisées comme d’habitude par des membres de l’équipe de rédaction.