Présenté aux États-Unis comme un outil d’assistance au bien-être, ChatGPT Santé interroge, au regard du droit européen, les frontières entre information médicale, dispositif de santé et traitement de données sensibles. Si le modèle américain repose sur la responsabilité contractuelle, le cadre européen, fondé sur le RGPD et le règlement relatif aux dispositifs médicaux, impose un régime de protection bien plus exigeant. L’enjeu n’est pas tant technologique que juridique : comment concilier innovation et respect des principes fondamentaux du droit de la santé et des données personnelles ?
Le 7 janvier 2026, OpenAI a présenté ChatGPT Santé, une version de son modèle conversationnel destinée à accompagner les utilisateurs dans la compréhension de leur santé et de leur bien-être.
L’outil ambitionne d’aider chacun à interpréter ses résultats médicaux, préparer ses consultations et mieux gérer ses données de santé, notamment par des connexions avec des applications de suivi ou des dossiers médicaux électroniques.
Sous l’angle technologique, le service s’inscrit dans une évolution logique des assistants numériques vers la santé personnalisée.
Sous l’angle juridique, il soulève au contraire des difficultés considérables, tant au regard du droit des dispositifs médicaux que du RGPD.
Le contexte et la présentation de l’outil
ChatGPT Santé se présente comme un environnement distinct, isolé du reste du service ChatGPT.
OpenAI affirme que :
- les conversations santé sont chiffrées “au repos” et “en transit” ;
- les données sont cloisonnées et non utilisées à des fins d’entraînement ;
- les utilisateurs peuvent supprimer leurs échanges et révoquer les autorisations ;
- et l’outil est conçu en partenariat avec des professionnels de santé, mais sans prétention médicale.
L’entreprise insiste sur ce point : ChatGPT Santé n’a ni fonction de diagnostic, ni fonction thérapeutique.
Cette précision n’est pas anodine : c’est elle qui lui permet, aux États-Unis, de rester en dehors du champ des dispositifs médicaux réglementés.
La position américaine : un produit de « bien-être général »
La Food and Drug Administration (FDA), autorité fédérale de régulation des produits de santé, encadre depuis longtemps les interfaces technologiques liées à la santé.
Dans sa General Wellness Policy for Low Risk Devices (mise à jour janvier 2026), elle distingue deux grandes catégories :
- Les dispositifs médicaux, soumis au Federal Food, Drug, and Cosmetic Act (§201(h)), dès lors qu’ils visent à diagnostiquer, traiter ou prévenir une maladie ;
- Et les produits de bien-être général (General Wellness Products), à faible risque, dont la finalité est la promotion d’un mode de vie sain, la gestion du stress, du sommeil, de la nutrition ou de la condition physique.
Ces derniers échappent à toute procédure d’autorisation ou de certification.
ChatGPT Santé, qui ne délivre aucun diagnostic ni recommandation médicale, relève donc, selon la FDA, de cette seconde catégorie.
Il est soumis à des exigences de sécurité et de confidentialité conformes à la Health Insurance Portability and Accountability Act (HIPAA), qui régit la protection des données médicales aux États-Unis.
La HIPAA, bien que stricte sur la confidentialité, n’instaure pas un principe général de protection des données comparable au RGPD.
En effet, elle s’applique uniquement aux covered entities (hôpitaux, assureurs, prestataires agréés) et repose essentiellement sur la responsabilité contractuelle.
Ainsi, pour OpenAI, la conformité repose sur le partenariat avec des acteurs certifiés et non sur une obligation systémique de protection.
En droit européen : le double encadrement des dispositifs médicaux et des données de santé
1. Le règlement (UE) 2017/745 : un champ d’application étendu
En Europe, la qualification juridique de ChatGPT Santé serait vraisemblablement très différente.
Le règlement (UE) 2017/745 du 5 avril 2017 relatif aux dispositifs médicaux (dit MDR) établit un cadre rigoureux fondé sur la finalité d’usage réelle du produit.
Son article 2 §1 définit comme dispositif médical tout instrument, appareil, logiciel ou application « destiné par le fabricant à être utilisé chez l’homme à des fins de diagnostic, de prévention, de contrôle, de traitement ou d’atténuation d’une maladie ».
La doctrine européenne et notamment le Groupe de coordination en matière de dispositifs médicaux interprètent cette finalité de manière fonctionnelle (MDCG 2019-11 Guidance on Software).
Ainsi, même sans prétention médicale explicite, un logiciel est considéré comme dispositif médical dès lors qu’il influence une décision médicale ou interprète des données de santé.
Or, ChatGPT Santé :
- permet d’analyser et de reformuler des bilans médicaux ;
- aide à préparer des consultations médicales ;
- et manipule des données de santé susceptibles d’influer sur la compréhension ou la décision d’un patient.
Dès lors, il pourrait être considéré comme un dispositif médical logiciel, soumis à évaluation de conformité, marquage CE, et surveillance post-commercialisation.
Sa mise à disposition sans ces garanties serait contraire au règlement.
Cette seule qualification rendrait déjà son déploiement impossible en Europe, en l’absence de certification préalable auprès d’un organisme notifié.
2. Le RGPD : une protection de la donnée de santé d’ordre public
Mais c’est surtout du point de vue du RGPD que l’importation de ChatGPT Santé devient illusoire.
a. Une donnée « spéciale » au sens de l’article 9
L’article 9 du RGPD classe les données relatives à la santé parmi les catégories de données dites « spéciales », dont le traitement est interdit par principe.
Cette interdiction s’applique à toute information permettant de déduire, directement ou indirectement, l’état physique ou mental d’une personne, y compris les données générées par des applications de bien-être ou des objets connectés.
Ainsi, les informations échangées via ChatGPT Santé (symptômes, traitements, habitudes de vie) relèvent de cette catégorie, quand bien même elles sont fournies volontairement par l’utilisateur.
b. Les exceptions limitées à l’interdiction
Le traitement de ces données n’est possible que dans les cas limitativement énumérés par l’article 9 §2.
Trois seulement pourraient être invoqués par OpenAI :
- le consentement explicite de l’utilisateur (art. 9 §2 a) ;
- le traitement nécessaire à la médecine préventive ou au diagnostic, par un professionnel soumis au secret (art. 9 §2 h) ;
- ou le motif d’intérêt public en matière de santé (art. 9 §2 i).
OpenAI ne relevant d’aucune mission médicale ni d’un régime de droit public, le seul fondement théorique pourrait être le consentement explicite.
Mais pour être valable, ce consentement doit être libre, éclairé, spécifique et univoque. Il ne peut être implicite, ni global, ni subordonné à l’accès au service.
Il semble évident que dans un environnement conversationnel automatisé, cette exigence est difficilement conciliable avec l’expérience utilisateur.
c. Les principes fondamentaux de l’article 5
Au-delà de la base légale, le RGPD impose le respect de principes substantiels :
- Finalité déterminée et légitime : les données ne peuvent être réutilisées pour entraîner ou ajuster le modèle sans nouveau consentement ;
- Minimisation : seules les données strictement nécessaires doivent être traitées (peu compatible avec la logique de collecte contextuelle des IA conversationnelles) ;
- Exactitude et limitation de la conservation : les données doivent être exactes et supprimées dès que la finalité est atteinte ;
- Sécurité et confidentialité : le traitement doit garantir un haut niveau de protection technique et organisationnelle.
Toute défaillance à ces obligations expose le responsable de traitement à des sanctions administratives lourdes et, potentiellement, à une interdiction de traitement.
d. Les transferts internationaux
Le RGPD interdit tout transfert de données personnelles vers un pays tiers sans garantie adéquate.
Les États-Unis ne disposent pas, en tant que tels, d’un statut d’adéquation général : seules les entreprises certifiées au titre du Data Privacy Framework (2023) peuvent recevoir des données européennes.
Mais même dans ce cas, le responsable de traitement doit réaliser une analyse d’impact relative à la protection des données (AIPD) telle que prévue à l’article 35 du RGPD et documenter les garanties techniques et contractuelles mises en œuvre (clauses types, pseudonymisation, chiffrement).
OpenAI, dont l’infrastructure de traitement reste localisée aux États-Unis, ne satisfait pas à ces exigences en conséquence de quoi, l’hébergement européen constituerait donc une condition préalable à toute conformité.
e. La pseudonymisation : une protection relative
La pseudonymisation, souvent invoquée comme parade, ne retire pas à la donnée son caractère personnel. En effet, selon l’article 4 §5 du RGPD, elle demeure identifiable dès lors qu’une réidentification est possible.
Dans un échange conversationnel, cette réidentification est quasi certaine, l’utilisateur révélant lui-même des éléments contextuels.
Un modèle juridique incompatible : prévention contre contractualisme
Cette double approche, dispositif médical d’une part, protection absolue des données de santé d’autre part, place ChatGPT Santé face à un Everest réglementaire.
Le droit américain, centré sur la responsabilité individuelle, privilégie la conformité contractuelle et la régulation par les acteurs.
Le droit européen, centré sur la protection des droits fondamentaux, organise la prévention du risque avant son occurrence.
Pour franchir cet océan, OpenAI devrait :
- héberger les traitements dans l’Union européenne ;
- obtenir une certification CE au titre du règlement (UE) 2017/745 ;
- documenter l’ensemble des traitements dans une AIPD exhaustive ;
- et garantir un consentement explicite, granularisé et révocable.
Autant dire qu’une telle refonte dépasse, pour l’heure, la logique de déploiement rapide des outils numériques.
En conclusion : la prudence, condition de la confiance
ChatGPT Santé n’est pas un scandale, mais un signal. Il illustre la tension entre innovation et régulation, entre la promesse de l’assistance numérique et la protection de l’intime.
En Europe, la donnée de santé n’est pas un simple flux informationnel, c’est une composante de la dignité humaine, juridiquement sanctuarisée.
OpenAI explore déjà d’autres domaines sensibles, notamment le droit, via des partenariats comme celui noué avec la bien nommée société Harvey et encore LexisNexis.
Ici encore, les mêmes principes s’imposeront : secret, consentement, responsabilité et transparence.
En définitive, l’innovation n’est pas incompatible avec le droit : elle le teste.
Mais dans un domaine aussi sensible que la santé, c’est encore le droit et lui seul, qui fixe les conditions de la confiance et partant, les règles du jeu.
Il n’en demeure pas moins que cette exigence normative, garante de la protection du citoyen, peut aussi produire un effet de bord : celui d’un retard d’accès à certaines technologies, dont les concepteurs, confrontés à la densité du cadre européen, pourraient choisir de réserver leurs développements à d’autres marchés.
Le modèle européen ne repose pas d’abord sur une défiance envers l’innovation, mais sur une fidélité à certaines valeurs : la primauté de la dignité humaine, le respect de la vie privée, la proportion entre les moyens techniques et les fins poursuivies.
Ces valeurs ne sont pas des freins : elles sont le socle d’un choix collectif, celui d’un progrès assorti d’une conscience.
Le véritable enjeu n’est donc pas de choisir entre innovation et régulation, mais de maintenir ce dialogue permanent entre progrès technologie et valeurs communes.
Pas de contribution, soyez le premier