IA agentique en santé : le guide pour ne pas perdre la main face aux dépendances américaines

# IA agentique en santé : le guide pour ne pas perdre la main face aux dépendances américaines

> En 2026, Doctolib expérimente l'IA agentique dans ses outils de gestion médicale. Une étape qui illustre un mouvement de fond dans le secteur de la santé européenne. Ce guide s'adresse aux DSI, RSSI et CTO de structures de santé — cliniques, hôpitaux, groupements médicaux — qui veulent comprendre ce que cela implique concrètement, et comment rester maîtres de leur infrastructure.

C'est quoi, l'IA agentique ? Commençons par le début.

Une IA agentique (de l'anglais *agentic AI*) est une intelligence artificielle capable d'agir de façon autonome pour accomplir des tâches complexes, en enchaînant plusieurs étapes sans intervention humaine à chaque étape.

Concrètement : au lieu de vous répondre à une question, elle planifie, exécute, vérifie, et recommence jusqu'à atteindre un objectif. Elle peut consulter un agenda, rédiger un compte-rendu, déclencher une action dans un logiciel tiers, alerter un professionnel de santé.

C'est un saut qualitatif important par rapport aux chatbots ou aux assistants IA classiques. Et dans un secteur aussi sensible que la santé, ce saut soulève des questions que beaucoup d'équipes IT n'ont pas encore posées.

Pourquoi ce sujet est stratégique pour les DSI européens

Doctolib est une entreprise française. C'est un fait. Mais le fait qu'un acteur européen expérimente l'IA agentique ne signifie pas automatiquement que la chaîne technologique sous-jacente est souveraine.

Derrière toute solution d'IA agentique se cache une couche de modèle de langage (LLM — *Large Language Model*). Aujourd'hui, les LLM les plus puissants disponibles sur le marché sont majoritairement développés et opérés par des acteurs américains. Quand une entreprise européenne intègre de l'IA agentique, la question qui compte n'est pas le nom de l'intégrateur : c'est où tourne le modèle, qui en contrôle les données d'entraînement, et sous quelle juridiction les données traitées sont stockées.

En santé, ces données sont parmi les plus sensibles qui existent. Elles sont soumises au RGPD (Règlement Général sur la Protection des Données) et, en France, aux règles spécifiques du Référentiel HDS (Hébergeur de Données de Santé). Une dépendance mal évaluée ici peut exposer votre organisation à des risques réglementaires, opérationnels et géopolitiques.

Étape 1 — Cartographiez les couches de dépendance de votre chaîne IA

Avant de valider ou rejeter tout projet d'IA agentique dans votre SI santé, vous devez comprendre l'architecture de dépendance. Elle comporte généralement quatre niveaux :

1. Le modèle de langage (LLM) : qui l'a entraîné ? Où est-il hébergé ?

2. L'infrastructure cloud : sur quels serveurs tourne-t-il ? En Europe ou ailleurs ?

3. L'orchestrateur d'agents : le logiciel qui coordonne les actions de l'IA. Est-il open source ? Propriétaire ?

4. L'intégrateur applicatif : l'entreprise qui connecte tout cela à votre logiciel métier.

Pour chaque couche, posez une seule question : quel acteur a la capacité de couper l'accès, modifier les conditions, ou accéder aux données sans votre consentement explicite ?

Cette cartographie n'est pas un exercice théorique. C'est un prérequis à tout appel d'offres ou pilote.

Étape 2 — Appliquez le filtre HDS + RGPD dès la phase de cadrage

En Europe, et particulièrement en France, les données de santé ne peuvent pas être traitées par n'importe quel prestataire. Le prestataire doit être certifié HDS (Hébergeur de Données de Santé). Cette certification existe. Elle est vérifiable. Utilisez-la comme premier filtre.

Ce que vous devez exiger de tout fournisseur d'IA agentique en santé :

• Certification HDS vérifiable (numéro de certification, organisme certificateur)
• Localisation des données en Union Européenne, documentée contractuellement
• Interdiction contractuelle d'utiliser vos données pour entraîner ou améliorer le modèle
• Clause de réversibilité : vous devez pouvoir récupérer vos données et changer de prestataire
• Identification précise du sous-traitant hébergeant le LLM (pas seulement l'intégrateur)

Si un prestataire ne peut pas répondre clairement à ces points en phase commerciale, c'est un signal d'alerte. Pas une raison de négocier davantage : une raison d'écarter.

Étape 3 — Évaluez le risque de lock-in applicatif

Le lock-in (enfermement propriétaire) est le scénario dans lequel vous devenez si dépendant d'un outil ou d'un fournisseur qu'il devient impossible — ou trop coûteux — d'en changer.

L'IA agentique amplifie ce risque pour une raison simple : plus un agent IA est intégré profondément dans vos processus (prise de rendez-vous, génération de comptes-rendus, alertes cliniques, coordination entre services), plus il devient difficile à remplacer.

Les signaux d'un lock-in fort à surveiller :

• Les données générées par l'agent ne sont exportables qu'en format propriétaire
• Les workflows construits avec l'outil ne peuvent pas être recréés ailleurs sans effort majeur
• Le prestataire est le seul à pouvoir intervenir sur la configuration de l'agent
• Il n'existe pas d'API (interface de programmation) ouverte et documentée

Ce que vous pouvez exiger à la place :

• Formats d'export standards (JSON, HL7 FHIR pour la santé)
• Documentation technique complète des agents déployés
• Accès aux logs d'activité de l'IA dans votre propre environnement

Étape 4 — Regardez qui émerge côté européen sur ce créneau

L'erreur serait de conclure que l'alternative à une dépendance américaine, c'est le statu quo technologique. Des acteurs européens travaillent sur des briques d'IA agentique adaptées aux contraintes réglementaires européennes, y compris en santé.

Sans faire de catalogue, deux dynamiques méritent l'attention des DSI en 2026 :

Les modèles de langage souverains : des laboratoires européens ont développé des LLM qui peuvent être déployés on-premise (sur votre propre infrastructure) ou sur des clouds certifiés HDS. Cela change radicalement l'équation de dépendance : si le modèle tourne dans votre datacenter, vous contrôlez l'accès aux données.

Les orchestrateurs open source : des frameworks d'orchestration d'agents IA existent sous licence ouverte. Ils ne sont pas liés à un fournisseur unique. Ils peuvent être déployés sur l'infrastructure de votre choix. Leur adoption demande des compétences internes ou un intégrateur compétent, mais elle préserve votre autonomie.

La question n'est pas « est-ce que la solution européenne est aussi bonne que l'offre dominante américaine ? ». La question est : quel niveau de performance êtes-vous prêt à accepter en échange d'une souveraineté réelle ? Pour des données de santé, beaucoup d'organisations répondront : un niveau élevé.

Étape 5 — Intégrez la gouvernance IA dans votre politique de sécurité SI

Un agent IA n'est pas un logiciel comme les autres. Il prend des décisions. Il agit. Dans un contexte médical, une action erronée ou non traçable peut avoir des conséquences concrètes sur des patients.

Ce que votre politique de sécurité SI (PSSI) doit maintenant couvrir :

• Périmètre d'action de l'agent : quelles tâches peut-il accomplir seul ? Lesquelles nécessitent une validation humaine ? Ce périmètre doit être documenté, pas implicite.
• Traçabilité des décisions : chaque action de l'agent doit être journalisée et auditable. Qui a fait quoi, quand, sur la base de quelle donnée.
• Procédure de désactivation d'urgence : vous devez pouvoir couper l'agent en moins de dix minutes si un comportement anormal est détecté. Cette procédure doit être testée, pas seulement rédigée.
• Revue périodique des droits d'accès : un agent IA ne doit accéder qu'aux données strictement nécessaires à sa tâche. Appliquez le principe du moindre privilège, exactement comme vous le faites pour un utilisateur humain.

Le RSSI (Responsable de la Sécurité des Systèmes d'Information) doit être impliqué dès le cadrage de tout projet d'IA agentique, pas en phase de recette.

Ce que ce mouvement dit de la position européenne en 2026

Doctolib qui expérimente l'IA agentique, c'est un signal positif sur la capacité d'innovation d'un acteur européen de la santé numérique. Mais c'est aussi un révélateur.

L'Europe dispose de règles parmi les plus protectrices au monde sur les données de santé. Elle dispose de capacités industrielles dans le cloud et dans l'IA qui progressent. Ce qui lui manque encore, c'est la systématisation des réflexes souverains dans les équipes IT.

Chaque DSI qui exige une certification HDS réelle, une clause de réversibilité solide, et un LLM localisé en Europe, contribue à rendre le marché européen moins facile à coloniser par des offres dominantes américaines. Ce n'est pas idéologique. C'est de la gestion de risque.

La santé est le secteur où cette discipline est la plus urgente. Les données en jeu sont les plus sensibles. Les conséquences d'une dépendance mal maîtrisée sont les plus concrètes.

*Guide rédigé pour les DSI, CTO et RSSI de structures de santé européennes. Les certifications et réglementations mentionnées (HDS, RGPD) sont vérifiables auprès des organismes compétents (ANS en France, CNIL, ANSSI).*