L'IA en milieu hospitalier,
avec pseudonymisation des données patients.

Oui, dès lors que le service traite ou stocke des données de santé identifiantes. Le datacenter WebAxys (Rouen) où tourne Machina est certifié HDS depuis 2023 (couvre les activités 1-2 du référentiel HDS : mise à disposition et hébergement d'infrastructure). La certification HDS de l'activité SaaS Machina elle-même (activités 5-6 : administration et exploitation du SI contenant des données de santé) est planifiée Q1 2027. D'ici là, un CH qui traite des données de santé identifiables via Machina doit contractualiser sa propre chaîne de sous-traitance HDS et s'assurer que les données identifiantes sont masquées côté client par Sentinel avant tout envoi. La certification HDS est délivrée par des organismes accrédités sous l'autorité de l'Agence du Numérique en Santé (ANS), et non par la HAS.

Sentinel détecte et pseudonymise en amont NIR, ALD, diagnostics CIM-10 / ICD-11, traitements, résultats bio, noms de patients et numéros de carte vitale avant envoi au modèle IA. Dans le tier Compliance, votre DPO peut verrouiller l'usage exclusif des modèles open source hébergés en France (Llama, GPT-OSS, Mistral, Qwen) via la console d'administration, bloquer les fournisseurs hors UE et forcer le mode Sentinel « Complet » pour tous les flows sensibles. La ré-hydratation se fait côté client, dans votre périmètre CNIL. Machina fournit les outils de conformité ; la politique effective reste définie par votre DPO.

Sentinel détecte 58 entités PII par deux couches (REGEX + analyse contextuelle). Si une donnée sensible non-catchée passe, le journal d'audit horodate l'incident et le RSSI peut être alerté. Le mode « Complet » (forçable par votre DPO) systématise l'analyse contextuelle avant chaque envoi. Sentinel est un assistant de détection : la vigilance de l'utilisateur reste la première ligne de défense, et la politique de verrouillage des modèles (par exemple : bloquer les fournisseurs US pour les flows santé) appartient à votre admin.

Le chapitre Gouvernance des risques de la certification HAS V2024 impose la traçabilité des dispositifs numériques d'aide à la décision. Machina produit un registre exportable (modèle utilisé, catégorie de traitement, masquages appliqués, horodatages) pour un audit HAS. Un référentiel IA HAS dédié est attendu fin 2026 ; Machina s'aligne sur les travaux en cours. Un CH qui déploie l'IA sans registre risque un écart majeur conduisant à une réserve lors de la visite HAS.

Machina ne remplace ni n'interfère avec votre DPI. C'est une couche IA accessible via navigateur ou intégration API (pour le codage PMSI notamment). Les données restent dans votre DPI ; les collaborateurs copient-collent un extrait ou importent un PDF. Pour les intégrations profondes HL7 / FHIR (flow bidirectionnel DPI ↔ Machina), le tier Souverain / Sur-mesure inclut un accompagnement via partenaires éditeurs.

Oui, obligatoire au sens de l'Art. 35 RGPD pour tout traitement de données de santé à grande échelle. Machina fournit une trame DPIA pré-remplie couvrant : finalités (aide à la décision clinique, codage PMSI, rédaction documentaire), base légale (Art. 9.2.h RGPD — médecine préventive, diagnostic médical, prise en charge sanitaire), mesures techniques (pseudonymisation Sentinel, modèles open source hébergés en France, chiffrement AES-256), mesures organisationnelles (console DPO, audit log, policies verrouillables). Le DPO du CH ou le DPO Kyoss personnalise en 4-6 heures pour votre organisation. La DPIA est déposée en interne et présentée à la CNIL uniquement si risque résiduel élevé non réduit.

Art. 9.2.h RGPD (médecine préventive ou médecine du travail, diagnostic médical, prise en charge sanitaire ou sociale) combiné à Art. 9.3 (obligation de secret professionnel). La finalité IA doit être documentée dans le registre Art. 30. Si l'IA est utilisée dans un cadre de recherche clinique, la base légale peut être l'intérêt public (Art. 9.2.j) avec mesures appropriées (Art. 89 RGPD). La DPIA précise la base légale par usage. Pour les cas limites (scoring, aide au diagnostic autonome), validation Kyoss recommandée avant déploiement.

L'Art. 50 du règlement UE 2024/1689 impose au déployeur d'IA générative principalement des obligations de transparence : (1) informer la personne qui interagit qu'elle dialogue avec un système d'IA (par. 1) ; (2) marquer les sorties synthétiques (texte, image, audio, vidéo) en format machine-readable lorsque ces obligations s'appliquent au fournisseur (par. 2) ; (3) divulguer les deepfakes et les textes publiés d'intérêt public générés par IA (par. 4). Pour un CH : mention dans le livret d'accueil, fiche d'information patient pour les usages cliniques (codage PMSI, aide à la rédaction), traçabilité dans le journal d'audit. Ces mesures de transparence viennent en complément du registre RGPD Art. 30 (registre des activités de traitement, déjà obligatoire). Sanctions Art. 99 §4 : jusqu'à 15 M€ ou 3 % du CA mondial annuel.

Transparence obligatoire à partir du 2 août 2026 au titre de l'Art. 50 EU AI Act et, dès maintenant, au titre du devoir d'information médicale (Art. L1111-2 CSP). Machina livre un modèle de mention d'information patient à intégrer dans le livret d'accueil ou la fiche de consentement, qui précise : types d'usages IA (aide à la rédaction, aide au codage — pas d'aide au diagnostic autonome), mesures de protection (pseudonymisation, hébergement France, pas de réentraînement), droit d'accès aux journaux d'usage. L'audit log Machina permet de produire la liste des usages IA appliqués à un dossier donné sur demande du patient.

Oui. Accès via navigateur responsive (smartphone, tablette, PC) avec SSO (annuaire AD / Azure AD / Google Workspace du CH) et MFA TOTP obligatoire. Les connexions sont chiffrées TLS 1.3, les sessions expirent automatiquement à 30 minutes d'inactivité. Une application mobile native est prévue Q2 2027. Pour les visites ou astreintes à domicile, l'accès reste le même avec les policies Sentinel appliquées (y compris forçage modèles open source hébergés en France).

Violation potentielle Art. 9 RGPD (pas de base légale spécifique, transfert hors UE sous Cloud Act sans garanties), risque au regard de l'Art. L1110-4 CSP (secret médical), violation potentielle du référentiel HDS si données identifiantes. Sanctions cumulables : amende CNIL jusqu'à 20 M€ ou 4 % du CA mondial annuel (Art. 83 §5 RGPD), action pénale Art. 226-13 CP (1 an d'emprisonnement et 15 000 € d'amende) pour le praticien, écart majeur HAS pour l'établissement. Machina cartographie le shadow IT IA et fournit une alternative conforme, supprimant le risque à la source.

Le tier Compliance permet une policy workspace partagée entre tous les établissements du GHT, un registre Art. 30 centralisé et des policies verrouillables par type de données. Chaque établissement conserve ses propres utilisateurs et ses propres journaux d'audit. Le tier Souverain / Sur-mesure prévoit une instance dédiée par GHT avec isolation des données inter-établissements et chaîne HDS unique pour le groupement.

Non. Sentinel est une couche complémentaire spécifique à l'usage IA générative — il intercepte les prompts avant envoi aux modèles IA externes (Claude, GPT, Mistral, ou les modèles open source auto-hébergés chez Machina). Votre DPI conserve ses propres contrôles d'accès et sa journalisation. Sentinel n'extrait rien de votre DPI : c'est le collaborateur qui copie-colle un extrait ou importe un PDF. Aucune donnée patient ne transite par Machina si vos équipes n'initient pas de requête IA.

Pré-inscription ouverte dès aujourd'hui pour la mise en service Q1 2027 post-certification HDS 5-6 Machina SaaS. D'ici là : audit compliance (7 jours), gap-analysis HDS, préparation de la chaîne de sous-traitance HDS via hébergeur tiers référencé, formation équipes médicales et RSSI. Le DPO Kyoss dédié pilote le projet pour préparer le registre RGPD Art. 30 articulé aux mesures de transparence EU AI Act Art. 50 et les affichages patients. Onboarding pilote sur 1 service (typiquement DIM ou cardiologie) puis généralisation par vagues sur 3-4 mois.

Les données génétiques (Art. 9 RGPD, catégorie particulière) et biométriques sont traitées comme données de santé sensibles par Sentinel. Les identifiants génétiques (séquences, biomarqueurs), numéros de dossier génétique et données biométriques (empreintes, iris) sont pseudonymisés au même titre que les NIR et diagnostics CIM-10. Pour la génomique clinique, la GWAS et les pipelines de séquençage à grande échelle, validation Kyoss spécifique recommandée — la pseudonymisation seule peut ne pas suffire à empêcher la re-identification par pattern génétique. Tier Souverain / Sur-mesure obligatoire pour ces usages.

Le praticien DIM reste seul responsable du codage PMSI validé et transmis à l'Assurance Maladie. Machina produit une proposition à valider, pas une décision automatique. Le journal d'audit Machina distingue proposition IA (horodatée) et validation humaine (horodatée), ce qui permet de documenter que le praticien a bien exercé son jugement. En cas de contrôle CPAM ou T2A, ce journal peut être produit comme preuve de validation humaine.

Le journal Machina exporte en CSV horodaté : utilisateur (pseudonymisé), modèle utilisé, catégorie de traitement, entités PII détectées (sans leur valeur en clair), timestamp. Un format conforme aux exigences ARS et au chapitre Gouvernance des risques HAS V2024 est disponible sur demande. Le tier Souverain / Sur-mesure inclut un format d'export personnalisé sur demande de l'ARS, du RSSI ou de l'auditeur HAS, avec mapping vers les indicateurs internes de votre programme qualité.

Pour la recherche clinique, la base légale et le cadre RGPD diffèrent (Art. 9.2.j, Art. 89 RGPD). Machina peut être utilisé pour la rédaction de protocoles, de cahiers d'observations, de rapports d'EI — à condition que les données patient soient pseudonymisées par Sentinel avant soumission. Pour les études interventionnelles (Phase II/III), une DPIA spécifique avec mention du sponsor, du CPP et de l'ANSM est requise. Validation Kyoss recommandée avant lancement d'une étude interventionnelle utilisant Machina dans la chaîne de traitement.

Non. Machina utilise les API des fournisseurs (Anthropic, OpenAI, Mistral AI, Google) avec des DPA qui interdisent explicitement l'utilisation des prompts pour l'entraînement des modèles. Pour le tier Compliance, les modèles open source sont hébergés sur OVH Public Cloud France — zéro transmission vers des serveurs d'entraînement tiers. Le DPA de chaque fournisseur est consultable dans la console admin.

Calcul ROI simplifié, basé sur nos hypothèses internes (à valider par tracking effectif chez vous) : un médecin DIM peut récupérer 1 à 2 h par jour sur le codage PMSI complexe selon les usages ; un interne peut récupérer 3 à 5 h par semaine sur la rédaction de lettres de sortie. Sur 50 utilisateurs actifs (médecins DIM + chefs de service + secrétaires médicales + DPO/RSSI), le tier Compliance à 29 € HT par user et par mois représente 17 400 € par an. Le ROI dépend des usages réels — nous fournissons des templates de tracking pour mesurer en interne après 4-6 semaines de pilote sur un service. Le tier Souverain / Sur-mesure (devis personnalisé) couvre les CHU avec instance dédiée, isolation GHT, intégrations DPI HL7 / FHIR, SLA renforcé et accompagnement DPO.