Pourquoi l'agentique en santé sera d'abord régulée par les assureurs, les contrats et les juges
Entre janvier et avril 2026, quatre actes régulatoires ont été produits dont la mise en série n’a pas encore reçu de lecture commune.
Le 12 mars 2026, les Centers for Disease Control and Prevention publient Considerations for Agentic Research in Public Health, document fédéral américain qui distingue explicitement l’agentique de la générativité conversationnelle et publie des principes opératoires pour son usage en santé publique. Le document est suivi le lendemain par un Considerations for Generative AI in Public Health qui en marque, par contraste, la spécificité.
Le 2 avril 2026, la Food and Drug Administration adresse à Purolea Cosmetics Lab, fabricant homéopathique OTC à Livonia (Michigan) sous CGMP en vertu de 21 CFR parties 210 et 211, une warning letter dont une section dédiée s’intitule Inappropriate Use of Artificial Intelligence in Pharmaceutical Manufacturing. Le grief est inscrit dans 21 CFR 211.22(c) : la Quality Unit avait délégué à des agents IA la rédaction de spécifications, de procédures et de master production records sans revue compétente. La firme a depuis cessé sa production pharmaceutique.
En janvier 2026, Mindgard divulgue à Doctronic, assistant clinique IA déployé dans un sandbox réglementaire en Utah, une chaîne de vulnérabilités exploitable par injection de contexte. La publication publique du rapport intervient en mars 2026 : un attaquant peut faire ingérer à l’agent un faux bulletin réglementaire, modifier ses recommandations, et contaminer durablement le patient context via les SOAP notes générés.
Le 2 février 2026, la Commission européenne manque pour la seconde fois la deadline statutaire fixée par l’Article 6 §5 de l’AI Act : les guidelines sur la classification des systèmes haut-risque ne sont pas publiées. La proposition Digital Omnibus du 19 novembre 2025 prévoit d’aligner l’application des règles haut-risque sur la disponibilité effective des standards harmonisés CEN-CENELEC, dont la première deadline avait elle-même été manquée à l’automne 2025.
À ces quatre actes positifs s’ajoute un acte négatif structurant : la Commission européenne a retiré, en février 2025, sa proposition d’AI Liability Directive. Le cadre civil de responsabilité spécifique à l’IA, qui aurait pu qualifier les comportements émergents distribués, est abandonné. La Product Liability Directive révisée 2024/2853 demeure ; sa portée et ses limites sont discutées plus bas.
Pris isolément, aucun de ces événements n’établit une doctrine régulatoire stabilisée. Leur mise en série, en revanche, révèle un fait que les commentaires usuels manquent : la doctrine régulatoire ne se déplace pas vers le risque ; elle est en train d’être contournée par d’autres forces, économiques, contractuelles et jurisprudentielles, qui décident à sa place.
Les commentaires usuels lisent l’inadéquation régulatoire comme une dissociation à deux termes : ce que la régulation nomme, et ce que les systèmes font. Cette lecture fusionne implicitement la production du comportement et le risque qu’il porte. Elle est trop simple pour saisir un système qui ne pardonne pas les simplifications.
Trois locus distincts doivent être nommés.
Le locus de production du comportement est l’orchestration. C’est l’endroit où le comportement effectif du système est composé, à l’exécution, à partir de modèles, de règles, de mémoires et de données. Il n’est pas réductible à un composant.
Le locus du risque est l’émergence distribuée. C’est l’endroit où survient un comportement non aligné avec la finalité régulée. Ce locus ne coïncide pas avec le précédent : certaines orchestrations produisent du comportement sans produire de risque critique ; certains risques apparaissent hors orchestration (par dérive de données, par défaut d’intégration humaine, par exposition non qualifiée à des sources externes). La production est nécessaire mais non suffisante au risque.
Le locus de régulation est constitué par les points d’ancrage institutionnels. C’est l’endroit où la régulation peut effectivement intervenir, contrôler, sanctionner. Il est défini par des objets : dispositifs, opérateurs identifiables, processus auditables.
Ces trois locus ne sont pas équivalents. Leur non-coïncidence est le fait structurel qu’aucun cadre régulatoire actuel n’opère explicitement. La doctrine confond production et risque, comme si gouverner la première suffisait à contenir le second. Elle confond aussi régulation et locus du risque, comme si les ancrer ensemble suffisait à les faire coïncider. Aucune de ces deux confusions ne tient à l’épreuve d’une chaîne agentique persistante.
La propriété centrale défendue ici ne s’invente pas ex nihilo. Elle s’inscrit dans une lignée d’analyses qui ont, à différents niveaux, identifié l’inadéquation des cadres d’imputabilité classiques face à des systèmes complexes : théorie de l’accident normal (Perrow, 1984), accountability gap (Mittelstadt et al., 2016), distributed responsibility (Floridi et Sanders, 2004), causal opacity dans les littératures techniques sur l’IA explicable. Ces lignes partagent l’idée que certains comportements ne sont pas attribuables sans perte d’information pertinente.
La non-localisabilité causale ne désigne pas l’absence de causalité. Elle désigne l’impossibilité pratique et juridique d’attribuer le comportement observable à une transition unique sans perdre l’information pertinente sur la trajectoire.
Énoncé sous sa forme structurelle : pour une chaîne d’orchestration qui maintient une mémoire structurée traversant les sessions, la défaillance observable n’est pas, en général, attribuable à une étape identifiable de la chaîne sans perte d’information pertinente sur la trajectoire. Cette non-attribution est une propriété de la chaîne, pas un défaut de l’observation.
Trois caractéristiques constitutives la produisent : la composition dynamique (la sélection des modèles dépend du contexte d’exécution), la persistance structurée (l’information transite et se reformule entre sessions via des artefacts typés), et l’exposition à des sources externes au périmètre certifié (le contexte d’inférence est partiellement non qualifié).
Ces trois caractéristiques sont précisément celles qui font la valeur clinique de l’agentique. On ne peut donc ni les supprimer pour faciliter la régulation, ni espérer une chaîne agentique utile qui ne les manifesterait pas.
La conséquence pour les cadres régulatoires classiques est d’ordre structurel, non contingent. Les cadres SaMD, AI Act et CGMP opèrent sous une hypothèse implicite d’attribution causale : pour qu’un opérateur soit tenu responsable d’un comportement, il faut que le comportement soit imputable à une étape identifiable. Quand cette hypothèse cesse de tenir, le cadre ne saisit plus son objet comme objet régulatoire autonome ; il continue à saisir des effets et des responsabilités via des prises indirectes, mais il cesse de formaliser le générateur du comportement.
Le cas Doctronic n’est pas une illustration du phénomène. Il en est une preuve d’existence technique documentée, au sens où il établit, sur un système qu’il est légitime de déployer dans un cadre régulatoire formellement valide, que la propriété énoncée plus haut est techniquement observable. Le matériau provient d’un rapport de sécurité publié, non d’un acte régulatoire ni d’une décision juridictionnelle ; cette nature même du matériau participe de l’argument.
L’attaque ne porte pas sur les poids du modèle. Elle ne porte pas sur une session unique. Elle exploite la persistance des SOAP notes (résumés cliniques structurés que l’assistant génère pour le clinicien) comme vecteur de propagation. Un faux bulletin réglementaire injecté dans une session compromise contamine le patient context, qui est ré-injecté lors des sessions suivantes, présenté comme contexte clinique légitime, et finit validé par un clinicien humain. Une dose d’OxyContin triplée peut être routée vers un clinicien humain pour validation, présentée comme document clinique structuré.
La trajectoire de la défaillance traverse trois moments : la fenêtre d’injection (session N), la transduction du contenu manipulé en SOAP note structuré (frontière session-persistance), la lecture humaine confiante (session N + k). Aucun de ces trois moments, pris isolément, ne suffit à produire le comportement observé. Aucun, en conséquence, ne suffit à le qualifier juridiquement. La cause se distribue dans la trajectoire, exactement comme la spécialisation énoncée plus haut le prédit.
Trois conséquences en découlent. D’abord, la frontière de confiance n’est pas inscrite dans le système : le SOAP note est traité par le clinicien comme appartenant à un registre d’autorité (celui du dossier médical) alors qu’il provient d’une frontière où le contenu utilisateur a été promu en contexte régulé sans qualification explicite. Ensuite, la supervision humaine est techniquement présente et substantiellement absente : le clinicien valide, mais ce qu’il valide n’est plus reconstructible à partir de la sortie qu’il observe. Enfin, l’imputabilité est non assignable sans convention : le déployeur peut invoquer l’attaquant, l’attaquant n’est pas qualifié juridiquement, le clinicien validateur a respecté la procédure, et le sandbox régulateur de l’Utah ne couvre pas ce cas. Toute attribution sera donc décidée, par convention contractuelle ou jurisprudentielle, et non établie par le cadre régulatoire.
Une critique honnête doit nommer ce que la doctrine européenne fait mieux que la doctrine américaine. L’Article 25 définit la responsabilité distribuée le long de la chaîne de valeur. L’Article 14 impose un oversight humain effectif. L’Article 15 exige robustesse, exactitude et cybersécurité, incluant la résilience aux manipulations. Les Articles 56 et 95 structurent les Codes of Practice et codes de conduite. Ces prises sont solides. Elles ne sont pas la formalisation de l’orchestration agentique comme objet régulatoire autonome.
L’Article 25 traite la composition statique : qui devient responsable de quoi quand un acte d’opérateur identifiable modifie le système. Il ne formalise pas la composition dynamique, où la modification du comportement résulte d’une trajectoire d’exécution sans acte d’opérateur qualifiable. La substantial modification qu’il exige est une catégorie juridique, pas une catégorie comportementale.
L’Article 14 traite la supervision comme exigence formelle : le système doit permettre la supervision. Il ne formalise pas la supervision comme propriété effective, c’est-à-dire le fait que la sortie soit réellement analysable par un humain placé dans des conditions cognitives ordinaires. Doctronic satisfait l’Article 14 dans sa lettre : le clinicien valide. Doctronic le viole dans sa fonction : la validation est captive d’une présentation qui en court-circuite la possibilité.
L’Article 15 traite la robustesse du système tel que défini, c’est-à-dire le dispositif au sens MDR ou le système d’IA au sens de l’AI Act. Il ne formalise pas la robustesse de la trajectoire d’exécution qui traverse plusieurs systèmes, plusieurs sessions, et plusieurs frontières de confiance. La robustesse Article 15 est une propriété du périmètre certifié. Le risque, lui, sort du périmètre.
Les Articles 56 et 95, par leur existence même, signalent ce que les articles précédents ne peuvent accommoder : la Commission renvoie aux fournisseurs de GPAI le soin de structurer les exigences applicables, c’est-à-dire reconnaît implicitement qu’elle ne peut formaliser ce qu’elle régule. Cette reconnaissance est doctrinalement importante.
La PLD 2024/2853 mérite la même précision. Elle modernise effectivement le régime de responsabilité produit en incluant les logiciels, les services numériques liés au produit, les mises à jour, et les défauts de cybersécurité parmi les éléments susceptibles de constituer un défaut. Elle peut donc saisir le défaut d’un composant logiciel (y compris IA) ou d’un service numérique intégré, pris isolément. Elle ne saisit pas en revanche la causalité trajectorielle multi-acteurs, multi-sessions, multi-frontières comme objet autonome, c’est-à-dire la défaillance qui émerge de la composition plutôt que de l’un de ses composants. Le retrait de l’AI Liability Directive aggrave cette limite. La doctrine européenne, sur l’agentique, n’est pas naïve. Elle est partiellement inadéquate, ce qui n’est pas le pire défaut.
L’événement Purolea ne signale pas un déplacement régulatoire. Il signale l’inverse : la stabilité de la régulation, doctrinalement maintenue, face à un risque qui dérive sans elle.
La FDA n’a pas régulé l’agentique. Elle a appliqué 21 CFR 211.22(c), disposition existante sur la responsabilité de la Quality Unit, à un cas où un agent IA avait remplacé la supervision humaine. L’événement est doctrinalement orthodoxe : la FDA défend son périmètre régulatoire en refusant que l’agent IA déplace la responsabilité. Le message implicite est exact : la régulation reste où elle est, à l’opérateur de compenser en organisation ce que l’agent ne fournit pas en conformité.
Cette stabilité doctrinale a un coût qui n’est pas immédiatement visible. À chaque cycle d’innovation agentique, une nouvelle classe de comportements distribués apparaît dans des architectures déployées. À chaque cycle, la régulation maintient son périmètre. La surface du risque effectif s’éloigne donc, à chaque cycle, du périmètre régulé. Ce n’est pas seulement une asymétrie statique entre locus du risque et locus de régulation. C’est une divergence cumulative : l’écart se creuse à chaque innovation, et le rattrapage doctrinal devient progressivement infaisable sans refonte explicite.
La doctrine régulatoire actuelle est dans la situation suivante : elle peut rester stable longtemps, et chaque jour de stabilité accroît l’écart entre ce qu’elle gouverne et ce qui décide effectivement.
La binaire « régulation suit le risque versus régulation reste où elle peut tenir » est utile mais incomplète. Un troisième régime existe, opérant, et largement non thématisé par la doctrine.
Le premier régime est l’extension formelle. Le périmètre régulé est étendu pour absorber l’orchestration : refonte du SaMD (MDR Article 2(1), MDCG 2019-11), qualification de la trajectoire d’exécution comme objet certifiable, infrastructure d’audit dynamique. Cette voie est concevable mais coûteuse, lente, et politiquement difficile. Elle n’est pas, en l’état, étayée par les actes régulatoires observés.
Le deuxième régime est le maintien et la stratification fonctionnelle. La régulation préserve son point d’ancrage et impose des compensations procédurales aux opérateurs : AI literacy obligatoire (AI Act Article 4), responsabilité de la Quality Unit (CGMP), data governance distribuée. Purolea relève de ce régime. Il est doctrinalement conservateur et opérationnellement courant.
Le troisième régime est l’auto-régulation industrielle contrainte par responsabilité ex post. Les plateformes définissent et imposent leurs propres règles d’orchestration : guardrails de modèle, tool policies, context filters, logging interne, terms of service contractualisant le périmètre d’usage. Cette régulation n’est pas optionnelle. Elle est rendue obligatoire par la pression conjointe de la responsabilité civile (PLD 2024/2853), de la responsabilité contractuelle envers les déployeurs institutionnels, et de la responsabilité réputationnelle face aux incidents publiquement instruits.
Ce troisième régime est largement déjà institutionnalisé, à un endroit que la doctrine n’a pas su lire correctement : les Codes of Practice et codes de conduite des Articles 56 et 95 de l’AI Act lui-même. Quand l’AI Act renvoie aux fournisseurs de GPAI le soin de structurer les exigences applicables aux modèles à risque systémique, il reconnaît implicitement que la doctrine ne peut pas formaliser ce qu’elle régule. Le régime trois n’est pas un contournement du cadre européen ; il en est partiellement une instanciation que celui-ci n’assume pas comme telle.
L’auto-régulation industrielle n’attend pas la doctrine pour exister. Elle est déjà la doctrine, sur les zones que la doctrine ne formalise pas. Elle a vocation à être dominante sur l’orchestration agentique en santé avant toute évolution formelle.
La trajectoire régulatoire effective ne sera pas déterminée par la doctrine. Elle sera déterminée par trois forces économiques qui n’attendent pas la doctrine pour décider.
Les assureurs redéfinissent la couverture cyber et la responsabilité civile professionnelle des opérateurs déployant des systèmes agentiques en santé. Les premières exclusions explicites pour systèmes IA non auditables apparaissent en 2025 sur le marché américain. La réécriture des périmètres assurables (primes différentielles selon présence de mécanismes d’audit, retrait progressif de couvertures sur architectures non qualifiées) précède la régulation. Elle la définit, par effet de structure : un système non assurable n’est pas déployable, indépendamment de sa conformité régulatoire formelle.
Les tribunaux vont instruire les premiers cas de responsabilité civile dans le cadre de la PLD 2024/2853 sur des architectures agentiques en santé. La question est connue : qui paie quand un patient subit un dommage suite à une recommandation produite par une chaîne dont la cause se distribue ? Elle sera tranchée cas par cas, par jurisprudence, avant qu’aucune doctrine régulatoire n’en ait formalisé les conditions. La forme effective de la responsabilité émergera de quelques décisions structurantes, agrégées par effet précédent. Ces décisions imposeront aux déployeurs des contraintes opérationnelles que la régulation reprendra ensuite, peut-être, par voie d’implémentation.
Les industriels arbitrent entre trois positions : conformité stricte (qui ralentit le time-to-market et augmente le coût marginal), externalisation contractuelle (qui transfère le risque résiduel à l’utilisateur via terms of service et disclaimers), et auto-régulation préventive (qui investit dans des socles d’audit pour offrir des garanties contractuelles aux clients institutionnels). Le troisième terme est, pour les acteurs ayant une exposition réputationnelle, le plus rationnel. Il alimente directement le régime trois.
Ces trois forces ne se coordonnent pas. Elles convergent par effet de réseau. Et leur convergence définit la régulation effective : l’ensemble des contraintes opérationnelles auxquelles un système agentique en santé est réellement soumis, bien avant que la doctrine n’en ait codifié les principes. L’économie n’est pas le contexte de la régulation. Elle en est le moteur.
Cette dynamique n’est pas inédite. Dans la finance post-2010, l’encadrement effectif du trading algorithmique s’est largement formé par enforcement actions de la SEC, standards d’industrie de risk management et conventions FINRA, adoptés en réaction au flash crash du 6 mai 2010 et à la défaillance Knight Capital de 2012, plutôt que par anticipation doctrinale. La Regulation SCI de 2014 codifie après coup des pratiques que les acteurs avaient déjà dû imposer.
Dans l’aéronautique automatisée, la certification FAA a été réformée par l’Aircraft Certification, Safety, and Accountability Act de 2020 en réponse aux investigations NTSB et aux litiges consécutifs aux accidents 737 MAX de 2018-2019. Pas en anticipation.
Dans les deux cas, la doctrine publique a codifié, après coup, les compromis que des acteurs économiques et juridictionnels avaient dû imposer au cours du cycle. Aucune raison structurelle ne donne à l’agentique en santé une trajectoire différente.
La proposition d’un socle d’orchestration auditable, défini comme condition de gouvernabilité, exige d’être formulée à un niveau de précision qui la distingue strictement des cadres existants (NIST AI RMF, ENISA AI Threat Landscape, ISO/IEC 42001). À défaut, elle ressemble à du bon sens rebaptisé, ce qu’elle ne doit pas être.
Le socle est défini par une primitive unique : la falsifiabilité comportementale. Soit T une trajectoire d’exécution d’une chaîne agentique persistante, produisant un comportement observable β. Le socle exige qu’il existe une partition causale {E_k} de T telle que chaque transition E_k soit associée à un rôle régulatoire identifié et conservé à l’exécution (condition nécessaire), et que la composition des transitions {E_k} permette de reconstruire β avec conservation des dépendances causales pertinentes, chaque transition étant inspectable à l’exécution sans interruption du système (condition suffisante).
Dit autrement, le socle exige qu’un comportement produit par une chaîne agentique puisse être reconstruit comme une suite intelligible de transformations attribuables. Non pas seulement après coup, par interprétation humaine, mais pendant l’exécution elle-même. L’exigence est proche de celle d’un enregistreur de vol aéronautique, mais appliquée à la décision logicielle : lorsqu’un comportement produit un effet clinique, juridique ou prudentiel, il doit être possible de remonter la trajectoire effective qui l’a généré sans dépendre d’une reconstruction narrative ex post.
Une chaîne peut donc être techniquement performante, conforme à ses processus qualité et même auditée réglementairement, tout en restant non falsifiable comportementalement si, au moment où elle agit, les transformations critiques de contexte ne restent ni typées, ni attribuables, ni reconstructibles. Un audit ISO/IEC 42001 vérifie qu’une organisation respecte des processus de gouvernance ; il opère sur des artefacts statiques. Un socle vérifie qu’une trajectoire d’exécution préserve l’imputabilité ; il opère sur la dynamique en cours. Un système peut passer un audit ISO/IEC 42001 et échouer le socle. C’est précisément ce que démontre Doctronic.
Le socle n’est pas la solution au problème. Il en est la condition nécessaire de solubilité : ce sans quoi aucune doctrine régulatoire fondée sur l’imputabilité ne peut s’appliquer à une chaîne agentique persistante.
Trois conditions, et seulement trois, sous lesquelles la thèse défendue ici cesserait de tenir.
Premièrement, si une refonte régulatoire majeure (extension explicite du SaMD à la trajectoire d’exécution, ou formalisation doctrinale de la composition dynamique sous AI Act) intervenait dans un horizon court, la prédiction de domination du régime trois serait invalidée. Cette refonte n’est étayée par aucun signal régulatoire actuel ; elle reste théoriquement possible.
Deuxièmement, si une normalisation technique publique (par exemple un standard CEN-CENELEC ou ISO sur l’auditabilité d’orchestration adopté à l’échelle européenne ou internationale, opposable juridiquement par voie d’harmonisation) intervenait avant la stabilisation jurisprudentielle, elle rendrait l’auto-régulation industrielle secondaire et non plus structurante. Le calendrier prévisible situe cette éventualité en aval, pas en amont, des décisions juridictionnelles attendues.
Troisièmement, si la non-localisabilité causale s’avérait empiriquement contournable par des mécanismes d’audit dynamique généralisables, le socle deviendrait observable comme propriété par défaut, et la divergence cumulative cesserait de croître. Cette éventualité est précisément ce que le présent texte cherche à provoquer en formalisant le socle comme primitive.
Le SaMD reste l’ancrage juridique central des dispositifs d’IA en santé. L’AI Act, par ses Articles 14, 15, 25, 56 et 95, prolonge cet ancrage par capture indirecte solide. Mais ni l’un ni l’autre ne formalise la trajectoire génératrice comme objet régulatoire autonome, c’est-à-dire la propriété qui caractérise la classe de systèmes désormais déployée.
Cette inadéquation n’est pas un état. C’est une trajectoire. Les systèmes sont gouvernés là où ils ne décident pas, et décident là où ils sont peu gouvernés. L’écart se creuse à chaque cycle d’innovation. Ce n’est pas une divergence : c’est une instabilité structurelle.
Tant que l’instabilité demeure, la régulation effective ne sera pas produite par la doctrine. Elle sera produite par le triangle assureurs-tribunaux-industriels : les trois forces qui n’ont jamais fait que rattraper la doctrine quand celle-ci a manqué le réel. Trois prédictions, structurelles plutôt que datées, en découlent.
Le régime d’auto-régulation industrielle deviendra dominant sur l’orchestration agentique en santé avant toute évolution doctrinale formelle, codifié par les Codes of Practice de l’AI Act et par les terms of service des plateformes. La doctrine régulatoire publique le rejoindra par voie d’implémentation, non par voie législative.
La jurisprudence sur la PLD 2024/2853 produira, dans les années qui viennent, quelques décisions structurantes sur l’imputabilité des comportements émergents. Ces décisions définiront la responsabilité civile effective des déployeurs avant que l’AI Act ne soit révisé pour en codifier les principes.
Le SaMD survivra, mais sa centralité doctrinale sera relativisée. Le paysage régulatoire à venir est celui d’une coexistence : SaMD sur les dispositifs, AI Act sur les modèles, codes ex post sur les chaînes. Aucun de ces régimes ne saisira la totalité ; leur articulation sera le travail régulatoire de la décennie qui s’ouvre.
Pour un CTO, la conséquence est immédiate. Le socle d’orchestration auditable n’est pas une feature à arbitrer dans un backlog. C’est une condition de déployabilité. L’investir tard, c’est financer une chaîne dont la non-falsifiabilité comportementale fera émerger un coût d’incident plutôt qu’un coût d’architecture. Pour un COMEX, la lecture est la même à un autre niveau : un système non auditable à l’exécution n’est pas un actif autonome mature, c’est un risque opérationnel dont la lisibilité a été reportée à l’incident qui le révélera.
L’orchestration agentique n’est pas, en mai 2026, un objet régulatoire formel. Elle est déjà le principal vecteur de comportement dans les architectures qu’elle structure, et elle sera régulée (partiellement, indirectement, et hors doctrine) avant que la doctrine n’ait reconnu qu’elle l’était. C’est cela, l’instabilité structurelle.
La doctrine publique ne régulera pas l’agentique en premier. Elle codifiera, plus tard, les compromis imposés par ceux qui auront dû assurer, contractualiser et juger ses accidents.
Notes doctrinales et explorations sur l’IA en systèmes régulés. Une à deux fois par mois. Désabonnement en un clic.