Combien de groupes de cliniques privées sont certifiés ISO 42001 en France ?

L'observatoire Audaria a étudié les huit principaux groupes d'hospitalisation privée à dominante MCO en France : aucun ne figure dans les registres publics des organismes certificateurs accrédités (IAF CertSearch, Bureau Veritas, AFNOR Certification, BSI) comme détenteur d'une certification ISO/IEC 42001:2023, à la date du recensement, arrêté au 15 mai 2026. Aucun n'a non plus rendu publique une démarche en cours.

La certification ISO 42001 est-elle obligatoire pour une clinique privée ?

Non. ISO/IEC 42001:2023 est une norme volontaire ; aucun texte n'en impose la certification, et l'AI Act ne l'exige pas. L'absence de certification ne constitue donc pas un manquement réglementaire. La norme reste un référentiel de structuration : elle organise la gouvernance des systèmes d'IA et recouvre une large part des exigences procédurales attendues d'un déployeur par le règlement (UE) 2024/1689.

Une clinique privée est-elle concernée par l'AI Act ?

Oui dès lors qu'elle utilise des systèmes d'IA pour le triage de patients, l'aide au diagnostic ou la priorisation des soins. Ces usages relèvent du haut risque au sens de l'Annexe III, point 5, du règlement (UE) 2024/1689. Par ailleurs, un système d'IA qui constitue un dispositif médical au sens du MDR ou de l'IVDR est classé haut risque. La clinique qui déploie ces outils est déployeur au sens de l'Article 3 §4.

ISO 42001 et la certification HDS, est-ce la même chose ?

Non. La certification HDS (Hébergeur de Données de Santé) encadre la sécurité de l'hébergement des données de santé ; elle s'adosse pour l'essentiel à la norme ISO/IEC 27001. ISO/IEC 42001:2023 porte, elle, sur le management de l'intelligence artificielle : gouvernance, analyse des risques propres à l'IA, supervision humaine. Une organisation certifiée HDS dispose d'une base solide pour bâtir un système de management de l'IA, mais les deux référentiels ont des périmètres distincts.

Quand les obligations AI Act s'appliquent-elles aux établissements de santé ?

L'Article 113 du règlement (UE) 2024/1689 prévoit l'application générale, dont les obligations haut risque de l'Annexe III, au 2 août 2026. Un accord politique provisoire conclu le 7 mai 2026 dans le cadre du Digital Omnibus on AI prévoit un report de l'Annexe III au 2 décembre 2027 ; tant qu'il n'est pas formellement adopté et publié au Journal officiel de l'Union européenne, la date du 2 août 2026 demeure juridiquement en vigueur.

Cas d'usage · Observatoire

Cliniques privées et ISO 42001 : l'observatoire 2026

Q: Comment l'observatoire a-t-il vérifié l'absence de certification ?

Chaque groupe a fait l'objet de quatre vérifications : examen du site officiel (pages qualité, certifications, engagements), recherche sur moteur, consultation des registres publics des organismes certificateurs accrédités (IAF CertSearch, Bureau Veritas, AFNOR Certification, BSI, LNE) et examen de la page LinkedIn de l'entité. Le statut retenu est celui constaté dans ces sources publiques au 15 mai 2026.

Audaria a constitué un panel des huit principaux groupes d'hospitalisation privée français — qui exploitent ensemble plus de 450 établissements de santé. Aucun ne détient, à la date du recensement, la certification ISO/IEC 42001:2023, la norme de management de l'intelligence artificielle. Un constat d'autant plus net que ces mêmes groupes certifient déjà, eux, la sécurité de leur donnée de santé.

L'équipe Audaria Publié le 15 mai 2026 9 min de lecture

I. Le constat : huit groupes, aucun management de l'IA certifié

L'intelligence artificielle s'est installée dans les cliniques privées sans bruit : aide au diagnostic, détection d'anomalies en imagerie médicale, priorisation des examens, gestion des flux de patients. Ces usages relèvent, pour plusieurs d'entre eux, du périmètre haut risque défini par le règlement (UE) 2024/1689.

Audaria a souhaité mesurer un signal observable : combien de grands groupes d'hospitalisation privée française ont engagé une démarche de management structuré de leur intelligence artificielle, en prenant la certification ISO/IEC 42001:2023 comme indicateur.

Le chiffre

Audaria a constitué un panel des huit principaux groupes d'hospitalisation privée à dominante MCO (médecine, chirurgie, obstétrique), qui exploitent ensemble plus de 450 établissements et représentent de l'ordre de 40 % du marché de l'hospitalisation privée. À la date du recensement — 15 mai 2026 — aucun ne figure dans les registres publics des organismes certificateurs accrédités comme détenteur d'une certification ISO/IEC 42001:2023, et aucun n'a rendu publique une démarche en cours.

Une précision s'impose d'emblée : l'absence de certification ISO 42001 n'est pas un manquement réglementaire. La norme est volontaire et l'AI Act ne l'impose pas. Le constat ne décrit donc pas un défaut de conformité ; il décrit un état de maturité du secteur en matière de formalisation de la gouvernance de l'IA.

II. Méthodologie de l'observatoire

La valeur d'un observatoire tient à la transparence de sa méthode. Celle-ci repose sur deux choix : le périmètre du panel, puis la vérification du statut de certification.

Pourquoi un panel de groupes, et non de cliniques isolées

ISO/IEC 42001:2023 décrit un système de management : il se pilote à l'échelle de l'organisation qui détient la gouvernance de l'IA et la direction des systèmes d'information. Pour un réseau de cliniques privées, ce niveau est le groupe, dont la direction informatique est mutualisée — et non l'établissement isolé, qui hérite de la gouvernance de sa maison mère. Le bon niveau d'analyse est donc le groupe.

Le panel réunit les huit principaux groupes à dominante MCO : Elsan, Ramsay Santé, Vivalto Santé, Almaviva Santé, Bridge, GBNA Santé, Capio France et Clinifutur. Ensemble, ils captent environ 40 % du marché de l'hospitalisation privée. Il n'existe pas de registre officiel isolant proprement le segment « MCO privé » : le chiffre de référence du secteur — 1 030 cliniques et hôpitaux privés recensés par la Fédération de l'Hospitalisation Privée — agrège plusieurs types d'établissements. L'observatoire ne prétend donc pas mesurer l'ensemble du secteur : il étudie le périmètre où une démarche ISO 42001 serait portée si elle existait.

Vérification du statut de certification

Chaque groupe du panel a fait l'objet de quatre vérifications indépendantes :

Site officiel — examen des pages « qualité », « certifications », « engagements » et des mentions légales, à la recherche d'une mention ISO 42001 ou AIMS (AI Management System).
Recherche sur moteur — requête nominative associant le nom du groupe et la norme.
Registres des organismes certificateurs accrédités — consultation d'IAF CertSearch, du registre Bureau Veritas, d'AFNOR Certification, de BSI et du LNE. Une certification ISO 42001 valide y est nécessairement répertoriée.
Page LinkedIn de l'entité — examen des publications et communiqués récents.

Limites assumées

L'observatoire mesure un statut public et déclaratif à une date donnée : une certification obtenue mais non encore communiquée échapperait au recensement — hypothèse peu probable pour une norme aussi récente et valorisante. Le panel couvre les grands groupes, soit l'activité structurée et mutualisée ; le tissu des cliniques indépendantes, qui représente une part importante du secteur, n'est pas vérifié établissement par établissement. Le constat se lit comme la photographie d'un panel, non comme un audit individuel.

III. Pourquoi les cliniques privées sont concernées par l'AI Act

Le règlement (UE) 2024/1689 repose sur une approche par les risques, et sa liste des systèmes d'IA à risque élevé figure à l'Annexe III. Le point 5 de l'Annexe III couvre l'accès aux services essentiels : il vise notamment les systèmes d'IA destinés à être utilisés pour le triage des patients et l'évaluation de l'éligibilité aux soins.

Une seconde voie de classement existe. Un système d'IA qui constitue lui-même un dispositif médical — ou un composant de sécurité d'un dispositif médical — régulé par le règlement (UE) 2017/745 (MDR) ou le règlement (UE) 2017/746 (IVDR) est classé haut risque par le jeu de l'Article 6 du règlement sur l'IA. Or beaucoup d'outils d'aide au diagnostic et d'imagerie utilisés en clinique sont déjà des dispositifs médicaux marqués CE. L'AI Act se superpose à ce cadre sans s'y substituer.

Dans la quasi-totalité des cas, ces systèmes sont des logiciels tiers intégrés par le groupe ou la clinique. Le groupe n'en est donc pas le fournisseur : il en est le déployeur, au sens de l'Article 3 §4 du règlement, avec les obligations propres au déployeur d'un système à haut risque — usage conforme à la notice, supervision humaine, conservation des journaux, information des personnes concernées.

IV. Le contraste : un secteur qui certifie déjà — sauf son IA

Le constat « aucun groupe certifié ISO 42001 » prend tout son sens à la lumière d'un second fait : l'hospitalisation privée française n'est pas un secteur étranger à la certification.

Sur le terrain de la sécurité de la donnée de santé, plusieurs groupes ont investi tôt et publiquement. Almaviva Santé se revendiquait dès 2019 « premier groupe de santé certifié HDS et ISO 27001 ». Vivalto Santé a fait certifier sa direction des systèmes d'information selon ISO/IEC 27001 et au titre de l'hébergement de données de santé (HDS) la même année. Plus largement, la certification HAS, obligatoire et renouvelée tous les quatre ans, structure depuis longtemps la démarche qualité de l'ensemble des établissements.

À retenir

Le secteur sait acheter, auditer et communiquer une certification de management lorsqu'il perçoit l'enjeu — la donnée de santé en est la preuve. L'écart ne porte donc ni sur la culture, ni sur les moyens : il porte spécifiquement sur la formalisation managériale de l'intelligence artificielle, qui n'a pas encore franchi ce seuil.

Le seul cadre dédié à l'IA réellement mobilisé dans le secteur à ce jour est public et non-certifiant : le guide commun de la HAS et de la CNIL sur le bon usage des systèmes d'IA en contexte de soins — les deux autorités ont signé une convention de partenariat le 10 mars 2026, et le guide a été soumis à consultation publique au printemps 2026. C'est un référentiel de bonnes pratiques précieux : il décrit ce qu'il faut faire. Il ne fournit pas, en revanche, de système de management auditable permettant de démontrer que ces bonnes pratiques sont en place.

V. Ce que l'ISO 42001 apporterait au secteur

Pour un groupe d'hospitalisation privée, l'intérêt de la norme ne tient pas au logo de certification, mais à la méthode qu'elle impose : recenser les systèmes d'IA utilisés, les classer par niveau de risque, désigner les responsables de leur supervision humaine, documenter les contrôles et organiser leur révision.

Cet ensemble recoupe une large part — de l'ordre de 80 % — des exigences procédurales attendues d'un déployeur par le règlement (UE) 2024/1689. Et il ne part pas de rien : une direction des systèmes d'information déjà certifiée ISO/IEC 27001 et au titre de l'hébergement HDS dispose d'une chaîne documentaire et d'une culture d'audit interne sur lesquelles greffer un système de management de l'IA. La marche à suivre est détaillée dans notre guide Obtenir la norme ISO 42001, et la logique de la norme dans la page de référence ISO 42001.

VI. Calendrier et lecture réglementaire

Le règlement (UE) 2024/1689 est entré en vigueur le 1^er août 2024 et s'applique de façon échelonnée. Son Article 113 fixe l'application générale, qui inclut les obligations haut risque de l'Annexe III, au 2 août 2026.

Accord politique du 7 mai 2026

Le Parlement européen et le Conseil de l'Union européenne ont conclu le 7 mai 2026 un accord politique provisoire, dans le cadre du Digital Omnibus on AI, prévoyant le report de l'application des obligations Annexe III du 2 août 2026 au 2 décembre 2027. Tant que cet accord n'est pas formellement adopté par les co-législateurs et publié au Journal officiel de l'Union européenne, la date du 2 août 2026 demeure juridiquement en vigueur.

Reporté ou non, le calendrier ouvre une fenêtre de préparation. L'observatoire 2026 en fixe le point de départ pour l'hospitalisation privée : un secteur qui déploie largement l'IA clinique, qui maîtrise la certification de management lorsqu'il s'agit de ses données, mais dont aucun des grands groupes n'a encore étendu cette discipline au pilotage de son intelligence artificielle. Audaria réitérera ce recensement pour mesurer l'évolution du signal.

Aller plus loin

Pour le cadre de référence, la page pilier ISO 42001 présente la norme, et le guide Obtenir la norme ISO 42001 en détaille les étapes. Le même exercice d'observatoire a été conduit sur un autre secteur déployeur d'IA : l'executive search face à l'ISO 42001. Le dossier AI Act expose la logique de classification du règlement. Le texte de la norme est référencé sur le site de l'ISO et le règlement sur EUR-Lex.