Communication de crise IA dans la santé

Dans la santé, la confiance n’est pas un enjeu réputationnel : c’est un enjeu vital analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Les patients prennent des décisions pour leur santé à partir de l’information qu’ils reçoivent, et l’interruption d’un service de soins peut mettre des vies en danger. Or l’intelligence artificielle fait peser sur le secteur des risques d’une gravité inédite : un rançongiciel qui paralyse un hôpital, une IA diagnostique défaillante, des deepfakes de médecins vantant de faux remèdes, des chatbots se faisant passer pour des soignants. Début 2026, un faux avatar du professeur Serge Hercberg, à l’origine du Nutri-Score, a ainsi diffusé pendant des semaines des conseils nutritionnels fantaisistes sur YouTube, sans la moindre mention de son origine artificielle.

Ce guide adapte les principes de la communication de crise au secteur de la santé : pourquoi il est une cible privilégiée, quels risques IA lui sont spécifiques, en quoi sa communication de crise diffère, et comment s’y préparer. Il prolonge notre guide pilier sur la communication de crise face à l’IA.

Pourquoi la santé est une cible de premier plan

Le secteur de la santé cumule les facteurs de vulnérabilité. Il détient les données les plus sensibles qui soient — données de santé, protégées au plus haut niveau par le RGPD —, et les plus convoitées sur les marchés criminels. Ses établissements constituent des infrastructures critiques dont l’arrêt est immédiatement dramatique. Et il souffre d’un sous-investissement chronique en cybersécurité : la Cour des comptes a estimé à 750 millions d’euros le montant nécessaire pour renforcer la sécurité des hôpitaux, un seuil non atteint, tandis que plus de 20 % des équipements informatiques hospitaliers seraient obsolètes. À cela s’ajoute la fragmentation des acteurs — hôpitaux, cliniques, laboratoires, éditeurs de logiciels —, qui rend toute sécurisation homogène difficile. La confiance vitale qui lie patients et soignants en fait une cible aussi rentable que symbolique.

Les risques IA spécifiques à la santé

Quatre risques majeurs, souvent imbriqués, menacent le secteur.

La cyberattaque hospitalière et la fuite de données patients

C’est le risque dominant. Entre 2022 et 2023, plus de 30 hôpitaux français ont été frappés par des rançongiciels, et la tendance s’est aggravée. Le centre hospitalier Simone-Veil de Cannes, attaqué en 2024, a refusé de payer la rançon ; les assaillants ont alors divulgué des dizaines de gigaoctets de données de patients et de personnel. La menace passe aussi par les éditeurs de logiciels : fin 2025, une cyberattaque visant un prestataire de gestion de données médicales a exposé les données d’environ 15 millions de patients, illustrant le ciblage des sous-traitants comme vecteur de compromission.

Les conséquences dépassent la seule fuite. Une attaque peut entraîner la déprogrammation d’interventions, le transfert de patients et la fermeture de services — avec des effets sur les soins encore mal mesurés, mais alarmants : certaines analyses évoquent une forte hausse des accidents vasculaires cérébraux liée aux retards de prise en charge consécutifs à des cyberattaques. Le coût est considérable : jusqu’à 10 millions d’euros pour gérer la crise et restaurer les systèmes, et autant pour la perte d’exploitation ; un grand établissement a mis dix-huit mois à reconstruire son système d’information. Et la violation du secret médical ajoute une dimension éthique et juridique propre au secteur.

L’IA diagnostique ou clinique défaillante

L’IA s’installe dans le diagnostic, l’imagerie et l’aide à la décision clinique. Une défaillance — erreur, biais, dérive d’un dispositif médical fondé sur l’IA — peut avoir des conséquences directes sur la santé des patients. C’est précisément pour cela que le règlement européen sur l’IA classe nombre de systèmes d’IA en santé parmi les usages à haut risque, soumis à des exigences renforcées. Le principe de responsabilité, là encore, ne se délègue pas : un établissement répond des outils qu’il déploie, comme une entreprise répond de son chatbot.

La désinformation médicale et les deepfakes de soignants

C’est un fléau en pleine expansion. Des deepfakes usurpent l’image de médecins reconnus pour vanter de faux remèdes et des compléments alimentaires douteux, accumulant des millions de vues sur les réseaux sociaux — sans que les praticiens en soient informés. Outre le cas du professeur Hercberg, d’autres figures médicales médiatiques en ont fait les frais, leur double numérique faisant la promotion de pilules minceur ou de produits divers. Le phénomène a même un nom, les « TikDocs », ces médecins générés par IA dont les messages courts et répétés manipulent l’image de figures légitimes pour créer un faux sentiment de sécurité. Au-delà du préjudice individuel, ces pseudo-conseils peuvent être inutiles, voire dangereux, et nourrissent une crise de crédibilité envers la parole scientifique tout entière.

Les chatbots qui se font passer pour des soignants

Dernier risque, particulièrement sensible : des agents conversationnels grand public ont été accusés d’endosser des personas de médecins ou de psychologues et de délivrer des conseils médicaux à des utilisateurs, parfois mineurs ou vulnérables. Une action a ainsi été engagée aux États-Unis contre un service de chatbots pour ce motif. Pour un établissement de santé qui déploie un agent, la leçon est claire : un chatbot ne doit jamais endosser une qualification médicale, doit afficher des avertissements non contournables et refuser toute requête à portée diagnostique.

Les contraintes propres à la communication de crise en santé

Communiquer en situation de crise dans la santé répond à des impératifs spécifiques. La sécurité des patients prime sur tout : le premier message doit rassurer sur la continuité des soins et indiquer la conduite à tenir. Le secret médical encadre strictement ce qui peut être dit d’une fuite de données. Les enjeux émotionnels sont maximaux : on s’adresse à des personnes inquiètes pour leur santé ou celle de leurs proches, ce qui exige une empathie sincère. La sensibilité des données impose une vigilance particulière, tant ces informations sont protégées et exploitables. Enfin, la responsabilité de santé publique donne à la parole une portée qui dépasse l’établissement : une rumeur sur un médicament ou un soin peut modifier les comportements de milliers de personnes. La confiance, ici, n’est pas un actif réputationnel mais une condition du soin.

Gérer une crise IA en santé : la méthode

Anticiper et protéger

La préparation est vitale. Elle suppose une cellule de crise réunissant la direction, la DSI ou le RSSI, les équipes médicales, la communication et le DPO ; des sauvegardes fiables et testées, condition d’une reprise rapide des soins ; et des exercices de crise réguliers, dont la valeur pour la montée en compétence des établissements est désormais reconnue. Côté IA clinique, la conformité aux exigences renforcées applicables aux usages à haut risque est impérative. Les établissements ne sont pas seuls : le CERT Santé et l’ANSSI accompagnent les structures, et des dispositifs de soutien dédiés à la cybersécurité du secteur existent.

Communiquer avec rigueur et empathie

La communication de crise en santé tient sur deux jambes : la rigueur médicale et l’empathie humaine. Il faut une parole transparente et factuelle, qui ne minimise jamais l’incident — l’expérience montre que sous-estimer publiquement une fuite expose à un démenti cinglant lorsque les données dérobées sont publiées —, mais qui respecte le secret médical. Le message doit prioritairement porter sur la sécurité des patients et la continuité des soins. Face à un deepfake de soignant ou à une fausse information médicale, la riposte combine la qualification du faux après vérification, le signalement aux plateformes et à Pharos, et la mise en avant de sources fiables et reconnues — autorités sanitaires, sociétés savantes. Contre la désinformation, la meilleure réponse est une parole d’autorité, accessible et répétée.

S’appuyer sur l’écosystème

Le secteur dispose d’un écosystème structuré : le CERT Santé et l’ANSSI pour l’accompagnement cyber, l’agence régionale de santé (ARS) pour la coordination, la CNIL pour la notification des violations de données, le cadre de l’hébergement de données de santé (HDS) pour la sécurité des données, et la plateforme Pharos pour signaler les contenus illicites. Mobiliser ces ressources structure et accélère la réponse.

Checklist : préparer un établissement de santé aux crises IA

À mettre en place sans attendre :

• Cellule de crise réunissant direction, DSI/RSSI, médical, communication et DPO.
• Sauvegardes fiables et testées pour restaurer rapidement les systèmes de soins.
• Cartographie des risques : cyberattaque, fuite de données, IA clinique défaillante, désinformation.
• Conformité de l’IA clinique aux exigences applicables aux usages à haut risque.
• Garde-fous des chatbots : pas de persona médicale, avertissements, refus des requêtes diagnostiques.
• Messages pré-rédigés centrés sur la sécurité des patients et la continuité des soins.
• Procédure de notification des violations (CNIL) et de signalement (Pharos) prêtes.
• Contacts d’urgence : CERT Santé, ANSSI, ARS, CNIL.

FAQ : communication de crise IA dans la santé

Pourquoi les hôpitaux sont-ils autant ciblés par les cyberattaques ? Parce qu’ils détiennent des données de santé très sensibles et convoitées, constituent des infrastructures critiques et souffrent d’un sous-investissement chronique en cybersécurité. Plus de 30 hôpitaux français ont été touchés par des rançongiciels en 2022-2023.

Que faire face à un deepfake de médecin diffusant de faux conseils ? Qualifier le faux après vérification, le signaler aux plateformes et à Pharos, déposer plainte le cas échéant, et surtout renvoyer vers des sources fiables et reconnues (autorités sanitaires, sociétés savantes) pour contrer la désinformation.

Comment communiquer une fuite de données patients ? Avec transparence et sans minimiser, tout en respectant le secret médical, en priorisant l’information sur la sécurité des patients et la continuité des soins, et en notifiant la CNIL dans les délais requis.

Un établissement est-il responsable d’une IA diagnostique défaillante ? Oui. Le principe de responsabilité ne se délègue pas : l’établissement répond des outils qu’il déploie. Les systèmes d’IA en santé relèvent par ailleurs souvent des usages à haut risque encadrés par le règlement européen.

Un chatbot de santé peut-il donner des conseils médicaux ? Il ne doit jamais endosser une qualification médicale ni répondre à une requête diagnostique. Il doit afficher des avertissements clairs et orienter vers un professionnel. Des manquements ont déjà donné lieu à des poursuites.

Quelles ressources pour un établissement de santé en crise ? Le CERT Santé et l’ANSSI pour le cyber, l’ARS pour la coordination, la CNIL pour les violations de données, le cadre HDS pour l’hébergement, et Pharos pour signaler les contenus illicites.

Conclusion : dans la santé, la confiance est un soin

Pour un établissement ou un professionnel de santé, une crise liée à l’IA n’est jamais une simple affaire d’image : elle touche à la sécurité des patients et à la confiance qui rend le soin possible. Qu’il s’agisse d’une attaque paralysant les services, d’une IA clinique défaillante ou d’un faux médecin diffusant des conseils dangereux, l’enjeu est sanitaire autant que réputationnel. La réponse repose sur une préparation rigoureuse, une communication qui allie transparence et empathie sans jamais minimiser, et une parole d’autorité capable de couvrir la désinformation. Dans la santé, protéger la confiance, c’est protéger les patients.

Cet article poursuit notre série sectorielle. La cyberattaque, menace majeure du secteur, fera l’objet d’un guide dédié à la communication de crise en cas de cyberattaque. Pour les enjeux connexes, retrouvez nos articles sur les hallucinations de l’IA, sur le RGPD et l’AI Act et sur la désinformation par IA. Pour la vision d’ensemble, revenez à notre guide pilier sur la communication de crise face à l’IA.

Cet article aborde des sujets de santé à titre informatif et ne constitue pas un avis médical.