Intégrer une feature IA sur des données patients sans casser le RGPD
« Le dev sait coder. Quand il touche aux données patient, il ne sait pas quoi coder. »
Ce qu'on observe sur le marché
Les SaaS santé, medtech et pharmatech entre 5 et 20 personnes ont presque tous tenté d'intégrer une feature IA en 2024 et 2025 — résumé automatique de consultation, transcription, scoring de symptômes, suggestion de protocole. La feature marche en démo. Et c'est précisément à ce moment que la question RGPD devient bloquante.
Ces structures n'ont pas de DPO interne. Elles s'appuient sur un DPO externe qui passe une demi-journée par mois. Le développeur fait au mieux avec ce qu'il connaît : un appel API à un LLM, un log applicatif, un déploiement sur un cloud européen. Il manque les couches qui rendent l'usage défendable juridiquement : anonymisation amont, traçabilité fine des accès, contrat de sous-traitance signé avec le fournisseur LLM, processus en cas de demande d'exercice de droits.
Le déclencheur récurrent : le DPO externe identifie la faille pendant un audit annuel, ou un client enterprise refuse de signer parce que la sécurité IA n'est pas documentée. La feature qui devait débloquer le commercial bloque en réalité un contrat à 50 000 ou 100 000 €.
Cas observé
Le pattern qu'on rencontre sur ce segment : SaaS santé de 8 à 15 personnes, deux à trois développeurs, un produit en production avec quelques centaines à quelques milliers d'utilisateurs professionnels (médecins, pharmaciens, infirmiers). Une feature IA est en place ou en cours d'intégration, sans contrat de sous-traitance signé avec le fournisseur LLM, sans cartographie des données qui transitent.
Stack logicielle en place
SaaS produit (Next.js / Node) · LLM EU endpoint (Claude Anthropic EU, Mistral, ou Azure OpenAI région EU) · hébergement AWS Frankfurt ou Azure Paris · base de données patients chiffrée · sans DPO interne, sans logging d'accès aux données IA
Déclencheur exprimé
« Le DPO externe a flaggé une feature résumé de consultation. Sans contrat de sous-traitance et sans logging, on ne peut pas signer le contrat avec un client enterprise. Il faut qu'on remette à plat ce qu'on fait passer dans Claude, et qu'on le documente. »
Workflow proposé
Formaliser — cartographie du data flow IA
Inventaire de chaque feature IA en production ou en intégration : quelles données sortent du SaaS, où elles vont, sous quelle forme, avec quelle persistance, qui peut les voir. Livrable : un schéma de flux validé par le DPO externe.
Orchestrer — architecture de mise en conformité
Trois couches à construire : anonymisation amont (pseudonymisation des identifiants patient avant tout appel LLM), logging structuré des accès (qui, quand, sur quelle donnée), contrat de sous-traitance signé avec le fournisseur LLM. Définition des garde-fous techniques : pas d'envoi de données brutes hors UE, prompts validés en revue.
Réaliser — build 1 à 2 semaines
Implémentation des trois couches en collaboration avec le développeur interne. Le code est versionné, les tests couvrent les cas d'erreur (donnée non anonymisée détectée, fournisseur LLM hors UE, log manquant). Le DPO externe valide à mi-parcours.
Garantir — tests d'intégration et pen test
Tests d'intégration sur le workflow complet, simulation d'une demande d'exercice de droits (effacement, portabilité), pen test ciblé sur les endpoints IA. La feature tourne 7 jours en pré-production sous monitoring renforcé avant basculement.
Évoluer — guide de conformité interne
Document de conformité interne : règles à respecter pour toute future feature IA, processus de signature des contrats de sous-traitance, modèle de log à reproduire. Le développeur sait construire la prochaine feature IA sans repasser par nous. Le DPO externe a une checklist d'audit.
Outcome attendu
- →Risque RGPD maîtrisé et documenté
Feature IA défendable lors d'un audit DPO ou d'un contrôle CNIL, processus prévu en cas de demande d'exercice de droits.
- →Déblocage des contrats enterprise
Les clients qui refusaient de signer faute de documentation IA peuvent enfin engager. Sur ce segment, un contrat enterprise se chiffre couramment entre 50 et 150 k€/an.
- →Autonomie du développeur sur les futures features
Le pattern est documenté. La prochaine feature IA suit le même modèle sans avoir à reconstruire l'architecture de conformité.
- →Argument différenciant face aux concurrents
Sur un marché santé où la conformité est une barrière, pouvoir documenter sa stack IA devient un avantage commercial concret.
Votre cas ressemble à celui-là ?
Décrivez-nous votre situation en quelques lignes. Nous vous répondons sous 48 h avec un diagnostic rapide.
Échanger avec un architecte →Cas pratique observé depuis la veille marché européenne. Identité du donneur d'ordre anonymisée. Chiffres reconstitués à partir du brief original et des ordres de grandeur sectoriels.