CFM 2.454/2026 : Le nouveau cadre juridique de l’IA dans la santé et ses impacts pratiques
La résolution CFM n° 2.454/2026 établit un tournant décisif dans la médecine brésilienne en réglementant l’utilisation de l’intelligence artificielle dans le secteur. Les médecins, les cliniques et les hôpitaux ont jusqu’en août 2026 pour adapter leurs structures technologiques et leurs processus de gouvernance à ce nouveau cadre, qui vise à garantir la sécurité du patient et la responsabilité éthique du professionnel face à l’avancement des outils numériques.
Le contexte de la résolution CFM 2.454/2026
L’intégration rapide des systèmes d’intelligence artificielle (IA) dans la vie clinique quotidienne a apporté des avantages indéniables, mais aussi des lacunes réglementaires dangereuses. La résolution CFM 2.454/2026 ne surgit pas de manière isolée ; elle est le bras opérationnel de législations plus larges, telles que la loi générale sur la protection des données (LGPD) et le cadre juridique de l’IA au Brésil. L’objectif est de transformer les principes éthiques génériques en obligations pratiques et auditables.
Avant cette norme, il y avait une zone grise sur qui répondrait d’une erreur de diagnostic suggérée par un algorithme. Désormais, le Conseil fédéral de médecine indique clairement que la technologie doit servir de support, et jamais de substitut au jugement humain. Pour les responsables de la santé, la norme exige une transition d’une adoption technologique passive vers une gouvernance numérique active.
Les quatre piliers de la conformité en IA dans la santé
La nouvelle réglementation s’articule autour de quatre axes fondamentaux qui doivent guider l’action de toute entité prestataire de services de santé :
1. Supervision médicale et décision humaine
C’est le pilier central. La résolution interdit catégoriquement la délégation de décisions cliniques critiques exclusivement à des systèmes automatisés. Le concept de “human-in-the-loop” (humain dans la boucle) devient obligatoire. Cela signifie que tout rapport, tri ou plan de traitement généré par l’IA doit être validé par un médecin dûment enregistré, qui assume la responsabilité éthique et juridique de la conduite adoptée.
2. Transparence et droit à l’information
Le patient a le droit de savoir quand sa santé est surveillée ou évaluée par des outils d’IA. La transparence doit être documentée de manière compréhensible. Il ne suffit pas d’informer que le système a été utilisé ; il faut expliquer clairement le rôle de la technologie dans le processus, en respectant le Code de déontologie médicale et les droits du titulaire des données prévus par la LGPD.
3. Gouvernance et traçabilité des systèmes
Les hôpitaux et les cliniques doivent tenir un inventaire rigoureux de tous les logiciels d’IA en usage. Cela inclut aussi bien les outils complexes de radiologie que les chatbots de service à la clientèle qui utilisent le langage naturel. L’institution doit être capable de prouver :
- L’origine et la qualité des données qui alimentent le système ;
- Qui est le responsable technique du suivi de l’outil ;
- Quelles sont les finalités spécifiques de chaque algorithme.
4. Gestion des risques et des incidents
Les défaillances des algorithmes, les erreurs de diagnostic dues aux biais des données ou les fuites d’informations sensibles doivent faire l’objet de protocoles de réponse immédiate. La gestion des risques doit être préventive, avec des audits périodiques pour identifier si l’IA présente des comportements inattendus ou discriminatoires.
La responsabilité partagée entre les médecins et les institutions
Un point crucial de la résolution 2.454/2026 est l’expansion du spectre de responsabilité. Elle ne touche pas seulement le médecin qui signe le dossier médical. La responsabilité est désormais partagée avec les directeurs techniques, les responsables de la technologie et les administrateurs hospitaliers.
“L’absence de politique interne de gouvernance de l’IA peut être interprétée comme une négligence institutionnelle, exposant l’entité à des sanctions non seulement du CFM, mais aussi de l’ANPD et des organes de défense des consommateurs.”
Cela implique que les contrats avec les fournisseurs de technologie (vendeurs de TI) doivent être revus immédiatement. Les clauses de responsabilité, les niveaux de service (SLA) et la transparence sur le fonctionnement de l’algorithme (ce qu’on appelle l'”explicabilité”) deviennent des éléments de survie juridique pour les prestataires de santé.
Étape par étape pour la mise en œuvre jusqu’en août 2026
Le délai d’adaptation est court compte tenu de la complexité de la tâche. Il est recommandé d’établir un calendrier d’action immédiat :
- Cartographie de l’inventaire (analyse des écarts) : Identifier les systèmes qui possèdent déjà des composants d’IA, souvent cachés dans les modules des logiciels de gestion existants.
- Audit des données : Vérifier si le traitement des données effectué par l’IA est en pleine conformité avec la LGPD, en garantissant le traitement adéquat des données sensibles.
- Élaboration de la politique de gouvernance de l’IA : Créer un document normatif interne qui définit les limites d’utilisation de la technologie dans l’institution.
- Formation du corps clinique : Éduquer les médecins sur les implications éthiques et légales de la validation des décisions suggérées par les machines.
Conclusion
L’arrivée de la résolution CFM 2.454/2026 représente la fin de l’ère de l’expérimentation non réglementée de l’IA dans la santé brésilienne. Plus qu’un obstacle bureaucratique, cette norme doit être considérée comme une opportunité pour les institutions de santé d’élever leur niveau de qualité et de sécurité juridique.
Août 2026 sera la date à laquelle la non-conformité deviendra un passif insoutenable. Investir dans des conseils juridiques spécialisés et dans des processus robustes de gouvernance numérique n’est plus une option ; c’est l’exigence fondamentale pour la pratique d’une médecine moderne et éthique.