L'IA s'installe dans les EHPAD — et avec elle, de nouvelles responsabilités

Systèmes de détection acoustique des chutes, logiciels d'aide à la prescription médicamenteuse, outils de planification automatisée des roulements infirmiers, automatisation des comptes-rendus de soins : l'intelligence artificielle est désormais présente dans un nombre croissant d'EHPAD. Mais 2026 marque un tournant réglementaire majeur : les cadres juridiques définissant les responsabilités des professionnels qui utilisent — ou qui négligent d'utiliser — ces outils se précisent simultanément à l'échelle nationale et européenne.

La MACSF a publié le 11 mai 2026 une analyse juridique complète sur la responsabilité liée à l'usage de l'IA dans la pratique quotidienne, rédigée par une juriste spécialisée en droit médical. Le message adressé aux professionnels de santé est sans détour : l'IA ne supprime pas la responsabilité professionnelle, elle la redistribue — et parfois l'amplifie. L'IDEC, coordinatrice de l'organisation des soins, est directement concernée par quatre risques distincts.

Risque n°1 : ne pas utiliser l'IA disponible peut constituer une faute

C'est le point le plus contre-intuitif — et l'un des plus chargés de conséquences. L'Académie nationale de médecine a formalisé le principe dans son rapport sur l'IA et la responsabilité médicale : si un outil d'intelligence artificielle pertinent est disponible et n'est pas utilisé, cela peut constituer une perte de chance indemnisable pour le patient.

Le fondement juridique repose sur l'article R.4127-32 du Code de la santé publique : le professionnel doit assurer "des soins consciencieux, dévoués et fondés sur les données acquises de la science." En 2026, pour certaines situations cliniques — détection précoce des chutes à risque, repérage de dénutrition, surveillance nocturne des résidents fragiles —, l'IA intégrée au dispositif de soins peut être considérée comme faisant partie de ces données acquises de la science.

Concrètement : si l'EHPAD dispose d'un système de détection des chutes et qu'un résident chute dans une chambre non couverte (par choix organisationnel non documenté ou par négligence), la responsabilité de l'IDEC en tant que coordinatrice de l'organisation des soins peut être engagée. L'enjeu n'est pas d'équiper systématiquement chaque chambre, mais de documenter les choix d'organisation et de s'assurer que les outils disponibles sont effectivement utilisés selon leur destination.

Risque n°2 : vous restez responsable même quand l'IA se trompe

Le cas de jurisprudence le plus structurant récent est l'affaire tranchée par la Cour de cassation en mars 2025. Un système d'aide au diagnostic avait mal classifié des symptômes, retardant la prise en charge d'une pathologie grave. La Cour a établi le principe fondateur : "l'utilisation d'un outil d'aide décisionnelle ne transfère pas la responsabilité" vers le fabricant du logiciel. Le professionnel reste "maître de son jugement clinique."

Ce principe s'applique à tous les outils IA utilisés en EHPAD. Un algorithme de planification qui produit des affectations inadaptées, un système de détection qui génère un faux négatif sur une chute, un logiciel d'aide à la prescription qui manque une interaction médicamenteuse : dans chacun de ces cas, c'est le professionnel qui supervise le processus qui porte la responsabilité. La Cour a notamment introduit la notion de contrôle humain significatif — exigence désormais reprise et formalisée par l'AI Act européen.

Une nuance importante : à partir du 9 décembre 2026, la directive européenne 2024/2853 sur les produits défectueux introduira une présomption de responsabilité du fabricant en cas de dysfonctionnement manifeste non divulgué. Mais cette évolution ne décharge pas le professionnel de son obligation de supervision. Elle ouvre un recours supplémentaire en cas de défaillance prouvée du fournisseur.

Risque n°3 : l'obligation d'informer le résident de l'usage de l'IA

L'article L.4001-3 du Code de la santé publique impose au professionnel d'informer le patient de l'utilisation d'outils d'aide décisionnelle et "de l'interprétation qui en résulte." Cette obligation d'information s'étend aux résidents en EHPAD — et à leur personne de confiance lorsqu'ils ne peuvent exprimer pleinement leurs choix.

Dans la pratique : si l'établissement utilise un système IA pour évaluer les risques de chute, de dénutrition ou d'escarre, le résident ou ses proches doivent en être informés. Le livret d'accueil, le contrat de séjour et le règlement intérieur sont les supports adaptés pour formaliser cette information. Le guide conjoint HAS-CNIL sur l'IA en soins, dont la consultation publique s'est achevée en avril 2026 et dont la version définitive est attendue prochainement, précisera les modalités pratiques de cette obligation d'information dans les établissements médico-sociaux.

Risque n°4 : l'AI Act impose une supervision humaine "effective" dès le 2 août 2026

Le règlement européen sur l'intelligence artificielle (AI Act, Règlement UE 2024/1689) entre en application complète pour les systèmes à haut risque le 2 août 2026 — soit dans moins de trois mois. Les systèmes d'IA utilisés dans les services de santé essentiels entrent dans cette catégorie à haut risque.

L'article 14 du règlement impose aux établissements déployant ces systèmes d'assurer une supervision humaine effective — pas seulement théorique. Concrètement, cela implique :

Les sanctions pour non-conformité peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les manquements sur systèmes à haut risque. Pour un EHPAD de taille standard, la priorité est moins la sanction financière que la mise en place rapide d'une gouvernance documentée des outils IA — une démarche qui protège aussi l'établissement en cas de litige.

La cybersécurité : un risque organisationnel sous-estimé en EHPAD

L'Agence du Numérique en Santé (ANS) a publié le 5 mai 2026 le rapport annuel du CERT Santé : 764 incidents de sécurité informatique déclarés dans les structures de santé et médico-sociales en 2025, dont 38 % ont entraîné une dégradation ou une interruption des soins. Le secteur médico-social a enregistré une hausse de 48 % des signalements en un an, et quatre EHPAD ont subi des attaques majeures.

Les conséquences opérationnelles d'une cyberattaque en EHPAD sont immédiates : perte d'accès aux dossiers patients, impossibilité de consulter les prescriptions médicamenteuses en cours, paralysie des systèmes de communication interne. Dans ces situations, c'est généralement l'IDEC qui doit piloter le plan de continuité d'activité en mode dégradé — et qui doit donc l'avoir anticipé et testé.

Actions prioritaires : intégrer un scénario "panne ou cyberattaque informatique" dans la gestion des événements indésirables, formaliser des procédures dégradées claires (prescription papier, tracing manuel, accès aux dossiers de secours), vérifier que les données critiques font l'objet de sauvegardes accessibles hors système principal, et s'assurer que les équipes connaissent les contacts d'astreinte informatique.

Ce que l'IDEC doit mettre en place concrètement

L'ensemble de ces évolutions réglementaires converge vers une même exigence : l'IDEC doit devenir le pivot de la gouvernance des outils numériques dans son établissement, au même titre qu'elle coordonne l'organisation des soins. Le guide HAS propose le cadre A.V.E.C. : Apprendre (s'approprier les outils), Vérifier (contrôler les résultats), Estimer (évaluer la qualité en continu), Communiquer (partager les retours d'expérience). Un repère simple pour faire de l'IA un outil maîtrisé plutôt qu'un risque subi.

Étapes prioritaires avant le 2 août 2026 :

La transformation numérique des EHPAD est irréversible. Elle crée de réelles opportunités pour améliorer la qualité des soins — mais aussi de nouveaux risques professionnels que l'IDEC doit documenter, anticiper et gérer avec la même rigueur que les risques cliniques traditionnels.