AI Act europeen : ce que les psychologues doivent savoir
Le reglement europeen sur l'IA explique pour les psychologues : classification des risques, supervision humaine, RGPD et checklist de conformite.
AI Act europeen : ce que les psychologues doivent savoir
L'intelligence artificielle transforme la pratique clinique en sante mentale. De l'analyse automatique des notes de seance a la detection de patterns emotionnels, les outils d'IA offrent des possibilites extraordinaires aux psychologues. Cependant, ce potentiel s'accompagne d'une responsabilite reglementaire sans precedent. Le reglement europeen sur l'intelligence artificielle — l'AI Act — est le premier cadre juridique complet au monde pour l'IA et a des implications directes pour tous les professionnels de la sante mentale qui utilisent ou envisagent d'utiliser des technologies basees sur l'intelligence artificielle.
Dans ce guide complet, nous expliquons tout ce que vous devez savoir sur le reglement europeen sur l'IA, comment il interagit avec le RGPD, et quelles etapes concretes vous devez entreprendre pour garantir la conformite de votre pratique clinique.
1. Qu'est-ce que le reglement europeen sur l'IA et quand entre-t-il en vigueur
Le reglement (UE) 2024/1689 — communement appele AI Act — a ete formellement adopte par le Parlement europeen en mars 2024 et publie au Journal officiel de l'Union europeenne en juillet 2024. C'est le premier reglement complet au monde consacre exclusivement a l'intelligence artificielle, etablissant des regles claires sur le developpement, la mise sur le marche et l'utilisation des systemes d'IA dans toute l'Union europeenne.
Calendrier de mise en oeuvre
Le reglement europeen sur l'IA suit un calendrier de mise en oeuvre echelonne :
| Date | Etape |
|---|---|
| Aout 2024 | Le reglement entre en vigueur |
| Fevrier 2025 | Interdiction des pratiques d'IA inacceptables (Titre II) |
| Aout 2025 | Regles pour les modeles d'IA a usage general (GPAI) |
| Aout 2026 | Obligations pour les systemes d'IA a haut risque (Annexe III) |
| Aout 2027 | Obligations pour les systemes d'IA a haut risque (Annexe I) |
Pour les psychologues au Portugal, l'echeance la plus pertinente est aout 2026, lorsque les obligations pour les systemes d'IA classes a haut risque entrent en vigueur — une categorie qui inclut de nombreux outils utilises en sante mentale.
Objectifs du reglement
Le reglement europeen sur l'IA vise a :
- Proteger les droits fondamentaux : garantir que l'IA ne compromette pas la dignite, la vie privee et l'autodetermination des citoyens europeens.
- Etablir la confiance : creer un cadre qui permet aux citoyens et aux professionnels de faire confiance aux outils d'IA.
- Promouvoir l'innovation responsable : equilibrer l'innovation technologique avec la protection des utilisateurs.
- Harmoniser les regles dans l'UE : prevenir la fragmentation reglementaire entre les Etats membres.
2. Pourquoi les psychologues doivent y preter attention
Il peut sembler que le reglement europeen sur l'IA ne concerne que les entreprises technologiques, mais la realite est tout autre. Ce reglement affecte directement tout professionnel qui utilise des systemes d'IA dans sa pratique — pas seulement ceux qui les developpent.
Le concept de « deploieur »
Le reglement europeen sur l'IA introduit le concept de « deploieur » — toute personne physique ou morale qui utilise un systeme d'IA sous son autorite. Lorsqu'un psychologue utilise un outil d'IA pour analyser des notes cliniques, generer des rapports ou assister au diagnostic, il est considere comme un deploieur et a des obligations specifiques.
Les donnees de sante mentale sont particulierement sensibles
Selon une etude de l'Agence des droits fondamentaux de l'UE (FRA), 67 % des citoyens europeens considerent les donnees de sante mentale comme la categorie d'informations personnelles la plus sensible. Cette perception se reflete dans le cadre reglementaire : les donnees de sante mentale beneficient d'une protection renforcee en vertu du RGPD et du reglement europeen sur l'IA.
Risques specifiques en sante mentale
- Biais algorithmique : les systemes d'IA entraines sur des populations non representatives peuvent produire des resultats biaises, affectant de maniere disproportionnee certains groupes demographiques.
- Dependance excessive : le risque de biais d'automatisation — la tendance a accepter sans critique les suggestions de l'IA — est particulierement dangereux dans les contextes cliniques.
- Impact sur les decisions cliniques : une recommandation incorrecte de l'IA peut influencer les diagnostics, les plans de traitement et, en fin de compte, la sante du patient.
- Perte d'autonomie du patient : l'utilisation de l'IA sans une transparence adequate peut compromettre le consentement eclaire et la relation therapeutique.
3. Classification des risques pour les systemes d'IA en sante mentale
Le reglement europeen sur l'IA adopte une approche fondee sur les risques, classant les systemes d'IA en quatre categories :
Risque inacceptable (interdit)
Pratiques totalement interdites depuis fevrier 2025 :
- Systemes de notation sociale
- Manipulation subliminale causant un prejudice
- Exploitation des vulnerabilites de groupes specifiques
- Identification biometrique en temps reel dans les espaces publics (avec exceptions)
Pertinence pour les psychologues : tout outil d'IA qui manipule de maniere subliminale le comportement de patients vulnerables (par exemple, les personnes atteintes de troubles mentaux severes) est strictement interdit.
Haut risque
C'est la categorie la plus pertinente pour la sante mentale. Selon l'Annexe III du reglement, les systemes d'IA utilises dans les domaines suivants sont consideres a haut risque :
- Acces aux services essentiels : y compris les soins de sante.
- Dispositifs medicaux : systemes d'IA integres dans ou fonctionnant comme des dispositifs medicaux.
- Emploi et gestion des travailleurs : pertinent pour les organisations de sante mentale.
Exemples en pratique clinique :
- Outils d'IA qui aident au diagnostic des troubles mentaux
- Systemes qui recommandent des plans de traitement
- Algorithmes de triage qui determinent la priorite des soins
- Outils d'analyse predictive des risques (par exemple, risque suicidaire)
Risque limite
Systemes avec des obligations de transparence :
- Chatbots qui interagissent avec les patients (doivent s'identifier comme IA)
- Systemes qui generent du contenu (doivent le labelliser comme genere par l'IA)
Exemples : assistants virtuels pour la psychoeducation, chatbots de triage initial, generateurs automatiques de rapports.
Risque minimal
Pas d'obligations supplementaires specifiques :
- Filtres anti-spam pour les e-mails
- Assistants de planification simples
- Outils de transcription basiques (sans analyse clinique)
Obligations pour les systemes a haut risque
Les fournisseurs de systemes d'IA a haut risque doivent assurer :
- Systeme de gestion des risques : identification, analyse et attenuation continues des risques.
- Gouvernance des donnees : donnees d'entrainement pertinentes, representatives et de haute qualite.
- Documentation technique : specifications detaillees du systeme.
- Journalisation des evenements : tracabilite automatique du fonctionnement du systeme.
- Transparence : instructions d'utilisation claires pour les deploieurs.
- Supervision humaine : mecanismes permettant une intervention humaine effective.
- Precision, robustesse et cybersecurite : niveaux adequats de performance et de protection.
4. Article 14 : supervision humaine — ce qui change en pratique
L'article 14 du reglement europeen sur l'IA est sans doute le plus pertinent pour les psychologues. Il etablit que les systemes d'IA a haut risque doivent etre concus pour permettre une supervision humaine effective.
Principes fondamentaux
L'article etablit que :
- Les systemes d'IA doivent inclure des interfaces appropriees permettant la supervision par des individus.
- La supervision doit etre proportionnelle aux risques et au niveau d'autonomie du systeme.
- L'humain doit pouvoir comprendre les capacites et les limites du systeme.
- L'humain doit pouvoir interpreter correctement les resultats du systeme.
- L'humain doit pouvoir decider de ne pas utiliser le systeme dans toute situation.
- L'humain doit pouvoir intervenir dans le fonctionnement du systeme ou l'arreter.
Ce que cela signifie en pratique clinique
L'IA comme assistant, jamais comme decideur
Le reglement europeen sur l'IA renforce ce que la bonne pratique clinique exige deja : la decision clinique appartient toujours au professionnel. Un systeme d'IA peut suggerer des hypotheses diagnostiques, identifier des patterns pertinents ou proposer des interventions, mais la decision finale appartient toujours au psychologue.
Cela signifie que les outils d'IA qui prennent des decisions cliniques autonomes — sans possibilite de revision humaine — ne sont pas admissibles dans la pratique clinique europeenne.
Droit de derogation
Les psychologues doivent avoir la capacite de rejeter ou modifier toute suggestion du systeme d'IA. Cela va au-dela de la simple possibilite d'ignorer une recommandation — le systeme doit activement faciliter le desaccord et la modification de ses resultats.
En pratique, la plateforme Mena.ai implemente ce principe a travers un systeme ou les analyses generees par l'IA sont presentees comme des suggestions modifiables. Le therapeute revise, modifie et approuve chaque analyse avant qu'elle ne soit integree au dossier clinique. Le therapeute conserve le controle total.
Competence et formation
L'article 14 exige que les personnes responsables de la supervision aient la competence, la formation et l'autorite necessaires. Pour les psychologues, cela signifie :
- Comprendre les capacites et les limites de l'outil d'IA qu'ils utilisent
- Savoir interpreter de maniere critique les resultats
- Etre attentif aux biais ou erreurs possibles
- Maintenir un developpement professionnel concernant les technologies qu'ils utilisent
Documenter la supervision
Il est recommande de documenter le processus de supervision humaine, y compris :
- Quand et comment les suggestions de l'IA ont ete revisees
- Quelles modifications ont ete apportees
- La justification clinique pour accepter ou rejeter les recommandations de l'IA
Systeme de retour d'information : l'article 14 en action
L'une des exigences implicites de l'article 14 est que les utilisateurs puissent signaler des problemes et fournir des retours sur les performances du systeme d'IA. Mena.ai implemente un systeme de retour par message qui permet au therapeute d'evaluer chaque resultat d'IA avec un pouce en l'air/pouce en bas, contribuant a l'amelioration continue du systeme tout en remplissant simultanement les exigences de supervision humaine.
5. RGPD + reglement europeen sur l'IA : double protection pour les donnees des patients
Le reglement europeen sur l'IA ne remplace pas le RGPD — il le complete. Les psychologues au Portugal doivent se conformer aux deux reglements simultanement, creant une double couche de protection pour les donnees des patients.
Ou les reglements se chevauchent
| Aspect | RGPD | Reglement europeen sur l'IA |
|---|---|---|
| Donnees personnelles | Protection complete | Focus sur l'utilisation par l'IA |
| Consentement | Requis pour le traitement | Requis + transparence sur l'IA |
| Transparence | Informer sur le traitement des donnees | Informer sur l'utilisation de l'IA |
| Droits | Acces, rectification, effacement | Explicabilite, contestation |
| Evaluation d'impact | AIPD pour le traitement a haut risque | Evaluation de conformite |
| Supervision | DPD obligatoire dans certains cas | Supervision humaine obligatoire |
Consentement renforce
Si vous obtenez deja un consentement eclaire pour le traitement des donnees (RGPD), vous devez maintenant aussi informer specifiquement les patients sur :
- L'utilisation d'outils d'IA dans votre pratique
- Quelles donnees sont traitees par l'IA
- Comment l'IA influence (ou n'influence pas) les decisions cliniques
- Leurs droits concernant l'utilisation de l'IA
Transparence algorithmique
Le RGPD (article 22) accorde deja aux personnes concernees le droit de ne pas etre soumises a des decisions entierement automatisees ayant des effets significatifs. Le reglement europeen sur l'IA renforce ce droit en exigeant :
- L'explicabilite des resultats de l'IA
- La documentation des modeles utilises
- Les informations sur les donnees d'entrainement
- Des mecanismes de contestation
Evaluation d'impact sur les droits fondamentaux (FRIA)
L'article 27 du reglement europeen sur l'IA introduit l'obligation de realiser une evaluation d'impact sur les droits fondamentaux (FRIA) avant de mettre en oeuvre des systemes d'IA a haut risque. Cette evaluation complete l'AIPD du RGPD et doit inclure :
- Description du systeme d'IA et de son objectif
- Impact sur les droits fondamentaux des patients
- Mesures d'attenuation des risques
- Plan de suivi et de supervision
Chiffrement et securite
Les deux reglements exigent des mesures de securite robustes. En pratique, cela signifie :
- Chiffrement des donnees au repos et en transit : obligatoire pour les donnees de sante.
- Chiffrement au niveau des champs : pour les donnees particulierement sensibles comme les notes cliniques et les diagnostics.
- Controle d'acces granulaire : differents niveaux d'acces par role.
- Audit des acces : enregistrement de qui a accede a quelles donnees et quand.
La gestion clinique de Mena.ai implemente un chiffrement au niveau des champs avec des cles specifiques par organisation, garantissant que meme en cas d'acces non autorise a la base de donnees, les donnees cliniques restent illisibles.
6. Comment Mena.ai repond deja a ces exigences
La plateforme Mena.ai a ete concue des l'origine avec les principes de privacy by design et de compliance by design. Voici comment elle repond a chaque exigence reglementaire :
Supervision humaine (article 14)
L'analyse assistee par IA de Mena.ai suit un modele « humain dans la boucle » :
- L'IA comme assistant : l'IA analyse les transcriptions et les notes de seance, suggerant des insights cliniques, mais ne prend jamais de decisions autonomes.
- Revision obligatoire : chaque analyse generee doit etre revisee et approuvee par le therapeute avant d'etre sauvegardee.
- Edition complete : le therapeute peut modifier, completer ou rejeter toute suggestion de l'IA.
- Retour integre : systeme de notation par message (pouce en l'air/pouce en bas) pour l'amelioration continue.
- Journalisation des decisions : documentation automatique de quand le therapeute accepte, modifie ou rejete les suggestions de l'IA.
Transparence et explicabilite
La page dediee au fonctionnement de l'IA explique en termes accessibles :
- Quels modeles de langage sont utilises
- Comment les donnees sont traitees
- Quelles limites le systeme a
- Comment le therapeute maintient le controle
Protection des donnees (RGPD + reglement europeen sur l'IA)
- Chiffrement au niveau des champs : donnees cliniques chiffrees avec des cles specifiques par entreprise.
- Donnees dans l'UE : toute l'infrastructure est hebergee dans l'Union europeenne.
- Minimisation des donnees : l'IA ne traite que les donnees strictement necessaires.
- Pas d'entrainement sur les donnees des patients : les donnees des patients ne sont jamais utilisees pour entrainer ou ameliorer les modeles d'IA.
- Controle d'acces : permissions basees sur les roles (RBAC) avec authentification multifacteur.
7. Liste de verification pratique pour les psychologues choisissant des outils d'IA conformes
Avant d'adopter un outil d'IA dans votre pratique, utilisez cette liste pour evaluer la conformite :
Transparence et information
- Le fournisseur explique-t-il clairement comment l'IA fonctionne ?
- Une documentation technique accessible est-elle disponible ?
- Est-il clair quelles donnees sont traitees et comment ?
- Le fournisseur identifie-t-il la classification de risque du systeme ?
Supervision humaine
- Pouvez-vous reviser toutes les suggestions de l'IA avant qu'elles soient appliquees ?
- Pouvez-vous modifier ou rejeter les resultats de l'IA ?
- Pouvez-vous desactiver l'IA a tout moment sans perdre de fonctionnalite ?
- Existe-t-il un mecanisme de retour pour signaler les problemes ?
- Le systeme fonctionne-t-il sans l'IA comme solution de repli ?
Protection des donnees
- Les donnees sont-elles stockees dans l'UE ?
- Existe-t-il un chiffrement adequat (au repos et en transit) ?
- Les donnees des patients ne sont-elles pas utilisees pour entrainer les modeles ?
- Existe-t-il un accord de traitement des donnees (DPA) appropriate ?
- La politique de confidentialite couvre-t-elle specifiquement l'utilisation de l'IA ?
Securite
- L'authentification multifacteur est-elle disponible ?
- Les evenements d'acces sont-ils journalises et auditables ?
- Le fournisseur effectue-t-il des tests de securite reguliers ?
- Existe-t-il un plan de reponse aux incidents ?
8. Questions frequemment posees
Le reglement europeen sur l'IA s'applique-t-il a moi en tant que psychologue individuel ?
Oui. Si vous utilisez des outils d'IA dans votre pratique clinique, vous etes considere comme un « deploieur » en vertu du reglement. Vos obligations varient selon la classification de risque du systeme que vous utilisez, mais incluent au minimum une supervision humaine effective et la transparence envers les patients.
Dois-je arreter d'utiliser l'IA jusqu'en aout 2026 ?
Pas necessairement. Le reglement europeen sur l'IA n'interdit pas l'utilisation de l'IA en sante mentale — il la reglemente. L'important est de s'assurer que les outils que vous utilisez repondent aux exigences applicables. La periode jusqu'en aout 2026 est precisement faite pour que les fournisseurs et les utilisateurs s'adaptent.
Quelles sanctions sont prevues ?
Les sanctions peuvent etre significatives :
- Jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les violations des interdictions.
- Jusqu'a 15 millions d'euros ou 3 % du chiffre d'affaires pour la violation d'autres obligations.
- Jusqu'a 7,5 millions d'euros ou 1,5 % du chiffre d'affaires pour la fourniture d'informations incorrectes.
Pour les PME et les startups, ces montants sont ajustes proportionnellement.
Le consentement eclaire que j'utilise deja est-il suffisant ?
Probablement pas. Le consentement eclaire traditionnel couvre le traitement clinique et, s'il a ete mis a jour pour le RGPD, le traitement des donnees personnelles. Avec le reglement europeen sur l'IA, vous devez ajouter des informations specifiques sur l'utilisation de l'IA : quels outils vous utilisez, comment ils fonctionnent, quelles donnees ils traitent et comment vous maintenez la supervision humaine.
Puis-je utiliser ChatGPT ou d'autres LLM a usage general avec les donnees des patients ?
C'est une question critique. L'utilisation de LLM a usage general (comme ChatGPT, Claude ou Gemini) avec les donnees des patients souleve de serieuses preoccupations :
- Les donnees peuvent etre utilisees pour l'entrainement : de nombreux LLM a usage general utilisent les donnees d'entree pour ameliorer leurs modeles.
- Pas de chiffrement specifique : les donnees sont traitees sur une infrastructure partagee.
- Manque de conformite clinique : ces systemes n'ont pas ete concus pour un usage clinique.
La recommandation est d'utiliser des plateformes specifiquement concues pour la pratique clinique, comme Mena.ai, qui traite les donnees de maniere securisee et ne les utilise jamais pour l'entrainement de modeles.
L'Ordre des psychologues portugais a-t-il des directives sur l'IA ?
L'Ordre des psychologues portugais (Ordem dos Psicologos Portugueses) suit ce sujet et a emis des recommandations generales sur l'utilisation de la technologie en pratique clinique. Nous recommandons de consulter regulierement les publications de l'Ordre pour des orientations a jour. Le code de deontologie de l'Ordre etablit deja des principes fondamentaux — tels que la competence professionnelle, le consentement eclaire et la confidentialite — qui s'appliquent egalement a l'utilisation de l'IA.
Conclusion
Le reglement europeen sur l'IA represente un jalon historique dans la reglementation de l'intelligence artificielle et a des implications concretes pour tous les psychologues au Portugal qui utilisent ou envisagent d'utiliser des outils d'IA. Loin d'etre un obstacle a l'innovation, ce reglement jette les bases d'une utilisation responsable et ethique de l'IA en sante mentale — quelque chose qui beneficie a la fois aux professionnels et aux patients.
Les points essentiels a retenir sont :
- La supervision humaine n'est pas negociable : l'IA doit toujours etre un outil au service du psychologue, jamais un substitut au jugement clinique.
- La transparence est obligatoire : les patients doivent etre informes de la maniere dont l'IA est utilisee dans votre pratique.
- Le RGPD et le reglement europeen sur l'IA fonctionnent ensemble : la conformite a l'un n'exempte pas de la conformite a l'autre.
- Le choix du bon outil est critique : opter pour des plateformes concues pour la pratique clinique, avec une conformite reglementaire integree, simplifie grandement le respect de vos obligations.
- L'echeance est aout 2026 : il y a du temps pour se preparer, mais le moment de commencer est maintenant.
En choisissant une plateforme comme Mena.ai, concue avec les principes de privacy by design, de supervision humaine et de conformite reglementaire des sa conception, vous faites un pas decisif pour proteger vos patients, votre pratique et votre reputation professionnelle.
L'intelligence artificielle est un outil extraordinaire pour la sante mentale. Utilisee de maniere responsable, ethique et conforme a la reglementation, elle peut transformer la qualite des soins que vous prodiguez a vos patients. Le reglement europeen sur l'IA est le cadre qui nous permet d'atteindre cet objectif en toute confiance.
Cet article est a titre informatif et ne se substitue pas a un conseil juridique specialise. Pour des questions specifiques a votre situation, consultez un avocat specialise en reglementation de l'IA et en protection des donnees.