Nom de l'auteur : Rania Kassir

La cybersécurité n’est plus un problème technique de niche. C’est une condition de la vie moderne : banque, éducation, services publics et santé reposent sur des couches fragiles de logiciels que nous voyons rarement. La plupart des gens ne remarquent cette fragilité que lorsque quelque chose déraille : une panne, une violation, un compte bloqué, un système soudainement indigne de confiance. Le risque est large, mais les conséquences ne sont pas également réparties. En santé, cette inégalité se fait sentir rapidement. Lorsque les systèmes numériques défaillent, les soins ne se mettent pas poliment en pause le temps du rétablissement. Les personnes se présentent toujours en détresse, en insécurité ou en pleine crise, et les cliniciens doivent continuer de décider avec des informations incomplètes. L’« incident technique » devient humain, souvent en quelques minutes. C’est pourquoi les thérapeutes doivent s’y intéresser, même si la conversation semble éloignée du quotidien clinique. En thérapie, la cybersécurité ne s’annonce que rarement comme telle. Elle se manifeste par une séance annulée inopinément parce que la planification est en panne, un lien de téléconsultation qui échoue à la dernière minute, ou une clinique soudain incapable d’accéder aux notes. Elle se manifeste aussi lorsqu’un client demande, calmement mais directement, si ses messages sont réellement privés. Dans ce contexte, l’annonce d’Anthropic du 7 avril 2026 sur Project Glasswing est plus qu’une actualité technologique. L’entreprise y décrit un modèle non publié, Claude Mythos Preview, et insiste sur le fait qu’il ne sera pas rendu disponible au grand public. Il est plutôt acheminé via un programme restreint, présenté comme à usage défensif. Lorsqu’un laboratoire d’IA décide qu’un modèle est trop capable pour être diffusé, c’est un signal sur l’orientation du paysage des menaces. La raison clé avancée pour ce verrouillage est simple et troublante : Anthropic présente Mythos Preview comme étant capable de trouver des vulnérabilités graves avec très peu de pilotage humain. En termes clairs, il repérerait des points faibles logiciels plus vite et de façon plus autonome que les systèmes antérieurs. Même si l’intention est défensive, la capacité en elle‑même importe, car les capacités tendent à se diffuser et les attaquants s’adaptent. Les exemples d’Anthropic sont de ceux qui mettent mal à l’aise, à juste titre, les non‑techniciens. Ils mettent en lumière des faiblesses dans des logiciels fondamentaux très utilisés et décrivent des cas où des problèmes ont persisté des années, voire des décennies, sans être détectés. Voilà la vérité inconfortable de l’infrastructure numérique : beaucoup de systèmes que nous pensons stables sont assemblés à partir de bases de code anciennes, à maintenance inégale et à la complexité cachée. Si cela paraît encore abstrait, ramenons‑le aux outils que nous utilisons effectivement. Les plateformes de téléconsultation reposent sur des navigateurs, des systèmes d’exploitation, des serveurs et des bibliothèques tierces. Les systèmes d’agenda et les portails patients dépendent d’intégrations et d’API qui peuvent multiplier silencieusement les risques. Une vulnérabilité « quelque part en amont » peut se traduire par une indisponibilité, une exposition de données ou une interruption de service au point de contact entre le client et le soin. Il existe aussi une question structurelle importante pour la santé : qui accède aux moyens de protection les plus puissants, et quand ? Restreindre un modèle très performant peut réduire les mésusages immédiats, mais concentre aussi le pouvoir et l’expertise entre quelques organisations. Les petites cliniques et éditeurs se retrouvent dépendants de calendriers de sécurité, de priorités et de décisions de divulgation qu’ils ne voient ni n’influencent aisément. Cet écart, entre attentes éthiques et réalités techniques, peut devenir un problème de confiance. Concrètement, cela nous pousse vers une vision plus explicite et systémique du risque clinique. Nous ne pouvons pas corriger des systèmes d’exploitation, mais nous pouvons intégrer la maturité cybersécurité à la qualité des soins. Cela signifie poser de meilleures questions à l’achat, exiger des engagements clairs de réponse aux incidents de la part des fournisseurs, et maintenir des protocoles de continuité en mode dégradé. Cela signifie aussi réduire les « outils fantômes » et les modules IA non gérés qui élargissent la surface d’attaque sans supervision. Éthiquement, l’enjeu n’est pas d’alimenter la panique, mais d’exiger une confiance défendable. En contexte clinique, « digne de confiance » devrait signifier qu’il existe des traces décisionnelles explicables : quel système a été utilisé, quelles données ont circulé, quelles protections étaient en place, quelle journalisation et quel audit existaient, et comment les erreurs ou incidents seront corrigés et divulgués. Les clients ne devraient pas avoir à s’en remettre à une infrastructure invisible et « espérer le meilleur » ; ils méritent des systèmes de soin conçus pour échouer sans nuire. Project Glasswing préfigure une nouvelle phase : l’IA ne transforme pas seulement les outils cliniques, elle modifie aussi l’environnement de sécurité dans lequel ces outils s’inscrivent. La confiance des patients dépend de la confidentialité, de l’intégrité et de la disponibilité, des propriétés qui reposent sur une infrastructure désormais mise à l’épreuve par des systèmes de plus en plus autonomes. Pour les thérapeutes, la tâche est de préserver le cadre clinique à mesure que le cadre technique s’accélère : protéger la continuité, protéger la vie privée et plaider pour des systèmes que nous pouvons réellement assumer.

En clinique, le point de friction n’est presque jamais la curiosité pour l’IA ; c’est la gouvernance. Un supervisé souhaite de l’aide pour réécrire un rapport scolaire sensible, résumer une évaluation en ergothérapie ou rédiger un formulaire de consentement en arabe simplifié, puis pose la question que nous connaissons tous : « Puis-je coller le texte réel ? » L’inconfort éthique tient au fait que la plupart des systèmes conversationnels sont, par conception, médiés par le cloud, et notre réponse devient alors un cours de gestion des risques plutôt qu’un appui cliniquement utile. C’est pourquoi l’affirmation « Imaginez ChatGPT, mais installé directement sur votre appareil… privé, hors ligne et gratuit » se diffuse si rapidement. Elle évoque la réconciliation promise entre capacité et confidentialité. Mais les slogans ne sont pas des garde-fous, et « l’énergie de PDG » ne constitue pas un cadre de gouvernance clinique. Même lorsqu’un outil provient d’une grande entreprise, la marque ne remplace pas l’évaluation des flux de travail, de l’auditabilité et des modes de défaillance. Ce que cela traduit plus précisément, c’est l’essor d’un écosystème de modèles « local capable », dont Gemma 4, téléchargeables et exécutables dans des environnements contrôlés. La promesse est simple : poser des questions, générer du texte, structurer la documentation et, dans certaines configurations, traiter aussi des tâches liées à l’image, avec un calcul effectué sur votre propre appareil. Ce détail — l’endroit où s’exécute le modèle — n’est pas anecdotique : il est au cœur de la confidentialité. La question du « prix » est déterminante pour les thérapeutes, car elle modifie les dynamiques d’adoption. Si un modèle est « gratuit » à télécharger et à exécuter, la contrainte se déplace vers les exigences matérielles et le temps de configuration. Vous « payez » autrement : batterie, chauffe, stockage, maintenance et dépannage. Mais le changement psychologique est majeur : la technologie devient suffisamment accessible pour s’intégrer dans des pratiques réelles, et non plus seulement comme un outil expérimental. La comparaison est donc pertinente, car elle touche au cœur du flux de travail : vous choisissez une IA, mais aussi un circuit de données. Gemma 4 est une option locale, mais pas la seule. De nombreux utilisateurs exécutent également des modèles de type DeepSeek, tandis que d’autres optent pour Llama, Mistral ou Qwen selon leur matériel et leurs contraintes de licence. En résumé : les modèles locaux peuvent soutenir une confidentialité plus stricte en gardant les données en interne, tandis que les modèles cloud (ChatGPT, Claude, Gemini) offrent davantage de commodité et d’évolutivité, mais exigent des règles plus rigoureuses. La formule « Google ne voit rien » n’est donc vraie que sous une condition précise : une exécution réellement locale. Le « local » n’est pas une perception, mais une implémentation : exécution hors ligne, absence de téléversements, paramètres vérifiables. Toute utilisation via navigateur ou application web doit être considérée comme du cloud. Cliniquement, l’intérêt majeur de l’IA locale n’est pas la nouveauté, mais l’élargissement des tâches réalisables sans exposition de données sensibles : rédaction de courriers, psychoéducation, adaptation de supports, création de canevas de séance. Cela réduit la charge administrative tout en respectant davantage l’esprit de la confidentialité. Cependant, une question essentielle demeure : cela améliore-t-il réellement le raisonnement clinique ? Le risque est qu’une production fluide donne l’illusion d’une validité clinique. L’IA doit rester un outil de structuration et non un substitut au jugement clinique. L’idée de « sans limites » doit également être nuancée. Les modèles locaux ne sont pas limités par un abonnement, mais restent contraints par le matériel. Et surtout, « hors ligne » ne signifie pas « fiable » : biais et hallucinations persistent. Sur le plan éthique, l’IA locale concentre la responsabilité. Utiliser des données identifiables implique de maîtriser la sécurité de l’appareil, la journalisation, la provenance du modèle et la traçabilité de l’usage. La transparence devient une pratique : documenter quand et comment l’IA est utilisée. Ce qui est cliniquement intéressant, ce n’est pas l’illusion d’une « IA privée parfaite », mais la possibilité de concevoir des usages hybrides et nuancés : modèles locaux pour les contenus sensibles, systèmes cloud pour les tâches documentaires sous gouvernance.

En thérapie, les « données de santé » arrivent rarement sous la forme d’un récit clair, et la dernière mise à jour santé de Perplexity s’inscrit précisément dans cette réalité. L’annonce met en avant de nouvelles intégrations permettant de rassembler des informations personnelles de santé, de les organiser dans des tableaux de bord, puis de les utiliser pour produire des synthèses et formuler des questions plus claires avant les consultations médicales. Depuis notre place de thérapeutes, une question humaine surgit immédiatement : qu’est-ce qui change lorsqu’une personne peut regrouper ses signaux de santé en un seul endroit et réellement en parler, au lieu de les traquer à travers une multitude d’applications ? Du point de vue thérapeutique, le bénéfice idéal est simple et concret : la mise en structure. Beaucoup de clients ont du mal à résumer ce qu’ils vivent d’une manière réellement exploitable par un clinicien : quand cela a commencé, ce qui le déclenche, ce qui l’améliore ou l’aggrave, ce qui a déjà été essayé, ce qui a changé, et comment cela affecte le sommeil, le travail, l’appétit, l’humeur ou les relations. Si un outil peut aider à élaborer un résumé préconsultation à partir du désordre de la vie réelle, il peut alléger la charge cognitive, réduire la honte « je n’arrive pas à bien l’expliquer » et permettre d’aborder un rendez-vous avec des questions plus claires et moins d’omissions. Mais les limites et les difficultés sont bien réelles, et ne tiennent pas seulement au paramétrage. Le principal enjeu clinique que nous observons est qu’un tableau de bord unifié peut insidieusement devenir un « moniteur de menace ». Chez les clients sujets à l’anxiété de santé, à la panique, aux conduites de réassurance de type TOC, à l’hypervigilance corporelle liée au traumatisme ou au stress chronique, davantage de suivi ne signifie pas toujours davantage de clarté. Cela peut au contraire multiplier les vérifications, amplifier des fluctuations normales et maintenir le système nerveux en état d’alerte, surtout lorsque les chiffres sont vécus comme des verdicts plutôt que comme des éléments de contexte. Un autre risque est celui d’une fausse clarté. Les objets connectés produisent des données bruitées, les bilans biologiques ne donnent que des instantanés, et les dossiers médicaux peuvent être incomplets ou incohérents. Lorsqu’un résumé généré par une IA adopte un ton trop assuré, il peut orienter vers des conclusions qui ne sont pas réellement étayées, tantôt en alimentant la catastrophisation, tantôt en minimisant quelque chose d’important. En thérapie, nous nous soucions moins de savoir si l’outil est « intelligent » que de sa capacité à communiquer l’incertitude avec honnêteté, et de la capacité de la personne qui l’utilise à tolérer cette incertitude sans s’emballer. S’ajoute à cela une difficulté plus élémentaire : l’accès et l’usage. Intégrer des comptes, gérer les autorisations et relier des dossiers peut être déroutant, et ceux qui ont le plus besoin de soutien sont souvent les moins équipés pour résoudre seuls une configuration complexe, surtout lorsqu’ils sont déjà épuisés, douloureux ou submergés. Si l’outil devient une tâche supplémentaire dans laquelle ils ont le sentiment d’« échouer », il peut renforcer précisément le sentiment d’impuissance que nous cherchons à atténuer. La confidentialité constitue un défi plus discret, qui apparaît souvent plus tard en séance. Les personnes ne téléversent pas seulement des « données de santé » ; elles téléversent aussi de la peur, de la vulnérabilité, et tout un contexte qui déborde sur la santé mentale, les relations, l’usage de substances, la santé sexuelle ou l’histoire traumatique. En situation de détresse, on est facilement tenté d’échanger de la confidentialité contre de la réassurance. Une part de notre travail consiste à ralentir ce moment, non pour juger ce choix, mais pour aider la personne à le faire de manière éclairée. Si nous devions intégrer ce type d’outil en thérapie, nous le traiterions comme un support collaboratif, non comme une autorité. Nous apporterions le résumé, puis nous ferions ce que la thérapie sait faire de mieux : ralentir, confronter à la réalité, et traduire cela en prochaines étapes. Qu’est-ce qui manque ? Qu’est-ce qui relève peut-être d’une surinterprétation ? Cet outil renforce-t-il votre pouvoir d’agir, ou alimente-t-il une forme de surveillance compulsive ? Utilisés avec discernement, ces outils peuvent favoriser de meilleures conversations avec les soignants. Utilisés sans précaution, ils peuvent donner au récit une cohérence apparente tout en augmentant subrepticement l’anxiété. La différence tient rarement à la technologie seule ; elle réside dans la relation que la personne construit avec elle.

Un point utile à garder à l’esprit est le suivant : de nombreux chatbots d’IA paraissent « sûrs » lors des tests parce qu’ils refusent les demandes manifestement nocives, mais peuvent malgré tout répondre de manière non sécurisée lorsque la même intention est formulée de façon indirecte. On parle souvent d’une sécurité fondée sur des mots‑clés (repérer des termes signalés) par opposition à une sensibilité à l’intention (comprendre ce que la personne cherche réellement à faire). Autrement dit, le modèle peut réussir des contrôles de sécurité en reconnaissant certains termes, tout en échouant lorsque la détresse est exprimée dans un langage plus humain et ambigu. Ce que cela signifie pour notre pratique thérapeutique est immédiat : nos clients parlent rarement un « langage du risque » clair et explicite. Ils testent le terrain. Ils minimisent. Ils recourent aux métaphores. Ils alternent les registres. Ils communiquent par le ton et l’omission. Si un outil ne « détecte » le risque que lorsque le client emploie les bons mots, il reproduit la forme d’évaluation la moins utile, celle qui récompense la performance et passe à côté de l’expérience vécue. Deuxième réalité clé : de nombreux modèles sont entraînés à être chaleureux, validants et accommodants. Cela peut sembler soutenant, mais cliniquement nous savons qu’une validation sans discernement peut se muer en renforcement. En tant que thérapeutes, nous validons l’émotion tout en examinant avec nuance et tact les distorsions, en vérifiant la réalité et en observant le fonctionnement dans le temps. Une IA peut, sans le vouloir, valider simultanément l’émotion, l’interprétation et le plan impulsif, car elle est optimisée pour être aidante et cohérente, non pour répondre à une exigence de responsabilité clinique. S’ajoute le biais de l’IA, et en thérapie nous devons partir du principe qu’il se manifeste de façons qui comptent. Les modèles peuvent répondre différemment selon le dialecte, l’anglais en seconde langue, des expressions de la douleur façonnées par la culture, ou même selon le degré d’« organisation » apparente du récit. Le client désorganisé, répétitif ou fragmenté (souvent celui qui a le plus besoin d’aide) peut recevoir une réassurance générique, tandis que le client articulé et persuasif obtient des réponses plus détaillées et plus convaincantes. Ce n’est pas seulement injuste, cela peut fausser l’évaluation du risque, l’alliance et la prise de décision. Concrètement, lorsqu’un client nous dit qu’il utilise un chatbot, nous ne le considérons plus comme un détail anecdotique : nous le traitons comme une nouvelle « un troisième interlocuteur» dans le système. Nous demandons : Quand l’utilisez‑vous, avant de dormir, après des disputes, en plein épisode de panique ? Que dit‑il le plus souvent ? Vous sentez‑vous plus calme, ou plus certain ? Réduit‑il la honte, ou vous maintient‑il dans une boucle ? Cette évaluation nous fournit des données cliniques : le rôle de l’outil (apaisement, escalade, évitement, répétition) et la relation du client avec lui (dépendance, secret, soulagement, honte). En séance, ces informations nous amènent à expliciter davantage la différence entre validation émotionnelle et contenance clinique. Nous pourrions dire : « Un chatbot peut paraître attentionné tout en manquant ce que nous suivons, les schémas de risque, les déclencheurs, les signatures de rechute, la coercition, la dissociation, les réponses traumatiques. » Ce n’est pas de l’anti‑tech ; c’est de la psychoéducation. Cela aide les clients à comprendre pourquoi « je me suis senti soutenu » n’équivaut pas à « c’était sûr pour mon système nerveux et pour mes conséquences réelles ». Cela modifie aussi notre manière d’aborder les conversations sur le risque. Parce que la sécurité de l’IA peut être guidée par des signaux, nous supposons que les clients ont pu apprendre (sans le vouloir) que certains formulations sont bloquées tandis que d’autres sont encouragées. Cela peut influencer la divulgation : les clients peuvent éviter un langage direct, ou répéter des récits qui « sonnent » plus sûrs. Concrètement, nous aménageons davantage d’espace pour une mise en mots progressive: « Si c’est difficile à dire franchement, pouvons‑nous l’encercler, quels sont les mots les plus proches que vous pouvez tolérer maintenant ? » On garde ainsi la porte ouverte sans exiger une performance. Côté praticiens, cela nous pousse à resserrer les limites et la documentation dès que l’IA touche notre flux de travail. Si nous utilisons l’IA pour des brouillons (supports, synthèses, exercices), nous la traitons comme un stagiaire : nous relisons chaque ligne, retirons tout ce qui sonne trop affirmatif et traquons les présupposés biaisés (culture, rôles de genre, attentes familiales, langage des « il faut »). Si une organisation propose des notes rédigées par IA, notre question clinique devient : où vont les données, qui peut y accéder, et que se passe‑t‑il si le modèle invente des détails ? La responsabilité clinique ne disparaît pas. Quand nous conseillons des collègues ou une clinique, nous traduisons tout cela en questions d’évaluation simples : L’outil reste‑t‑il sûr au fil de tours multiples, ou dérive‑t‑il vers un excès d’accord ? Répond‑il de manière appropriée à une détresse indirecte ? Traite‑t‑il de façon cohérente différents dialectes et expressions culturelles ? Dispose‑t‑il de modalités d’escalade claires (ressources de crise, « obtenir de l’aide humaine ») sans culpabiliser ? Si un fournisseur ne peut répondre clairement à ces points, nous supposons que l’outil est optimisé pour des démonstrations, pas pour la réalité concrète de la pratique thérapeutique. Enfin, nous considérons le biais de l’IA comme une question d’équité au sein des soins, non comme une note de bas de page technologique. Nous l’intégrons à la supervision et à la formation : nous jouons des scénarios avec des formulations indirectes, différents idiomes culturels de la détresse et des récits de relations coercitives pour voir comment les outils pourraient les mal interpréter. Et nous disons aux clients quelque chose de stabilisant : « Utilisez‑le si cela vous aide, mais ne le laissez pas devenir votre juge, votre diagnostic, ni votre plan de sécurité. » En pratique, cette position nous maintient cliniquement responsables tout en reconnaissant le monde dans lequel nos clients vivent déjà.

Dans le travail clinique et de recherche, la numérisation ne vise pas un « beauté » PDF ; elle sert surtout à ne pas utiliser les workflows. Sur scanne avenants, lettres d'orientation, listes de médicaments, CRF et notes manuscrites qui font foi. Des années durant, le mobile a amélioré l'image au prix d'une chorégraphie répétive, cadrer, appuyer, confirmer, recommencer. Dans l=expérience récente de Google Drive, l=essentiel est l=interaction : moins de tapotements, capture continue et avantage de « jument » logique sur le bon moment. Le scanner de Google Drive accepte le multi-pages depuis longtemps, mais fonctionne désormais comme un vrai canal d'acquisition in‐app, pas un outil à part. Concrètement, sur ne « Lance » plus une application pour exportateur, nommer, téléverser ; on « créer un document » là où l'équipe stocke déjà ses fichiers. Quand la capture doit native à la plateforme quotidienne, l'option progresse sans formation. La nouvelle tendance à la disparition des frottements, plus qu'à l'effet « Ouaih ». Le quasi-automatisme vivant de la chaîne de détection–stabilisation–déclenchement, qui élimine les micro-décisions. Au lieu de traiter chaque page isolément, le logiciel donne une séance, aidant à stabiliser le téléphone et à avancer. Cette conception épouse la réalité du papier en clinique et au labo : groupe, urgent, rare commode. Dès que la capture est continue, on dépense moins d'énergie sur la mécanique et plus sur la vérification et le classement. Il améliore la gestion des interruptions. En clinique, moins de

Le cadre national de politique publique sur l’IA de la Maison-Blanche, publié le 20 mars 2026 (il n’a qu’une semaine d’existence au 29 mars 2026), se lit comme un plan d’orientation législative plutôt que comme un règlement abouti. Il vise à poser les termes du débat — ce que le Congrès devrait encadrer, ce qu’il devrait éviter, et quels risques traiter en priorité. Pour les praticiens et les chercheurs, l’enjeu central est de savoir si ce plan directeur se traduira en protections opérationnelles ou s’il restera au stade du signal politique. Sur le plan « explicatif », le document regroupe ses pistes en sept blocs : protection de l’enfance, protection des communautés, droit d’auteur, liberté d’expression, innovation, formation de la main‑d’œuvre et préemption fédérale. Cette architecture éclaire les priorités que l’exécutif entend soumettre au Congrès. Elle trahit toutefois un arbitrage classique : privilégier l’ampleur sur la profondeur, avec des sections qui indiquent une direction sans toujours préciser normes, seuils ni modalités d’application. L’affirmation structurelle la plus nette concerne la préemption fédérale, l’idée que les règles d’IA devraient relever d’un cadre national plutôt que d’un patchwork État par État. Sur le papier, une norme unique réduit la complexité de conformité et facilite les déploiements inter‑États. Dans les faits, la préemption n’est jamais neutre : elle conditionne la capacité des États à servir de laboratoires de protection plus exigeants… ou, au contraire, à voir leurs garde‑fous balayés avant maturité. S’agissant de la protection des enfants et des communautés, l’intuition du cadre épouse une approche fondée sur les risques : prioriser les publics les plus vulnérables et les préjudices les plus diffusables. Mais « protéger les enfants » peut masquer des choix de conception âpres : vérification de l’âge, minimisation des données, réglages sûrs par défaut, audits substantiels. Sans exigences concrètes, ce qui doit être testé, journalisé et vérifié de manière indépendante, le langage reste programmatique tandis que des systèmes potentiellement nocifs demeurent déployables. La section droit d’auteur illustre au plus près le biais « innovation d’abord » du cadre, en penchant vers une permissivité autour de l’entraînement et en renvoyant aux tribunaux le soin de trancher l’essentiel des litiges. Cela lisse les frictions pour les développeurs de modèles, mais déporte l’incertitude vers l’aval, côté acheteurs et opérateurs, universités, hôpitaux, startups. Quand la provenance est floue, on finit par normaliser le « faites‑nous confiance », socle fragile pour la légitimité publique et la reproductibilité. Le cadrage de la liberté d’expression envoie des signaux utiles, mais il peut estomper une ligne décisive : protéger l’expression n’équivaut pas à exonérer l’amplification, le ciblage, la fraude ou la tromperie à fort impact. Si le débat se réduit à « régulation versus liberté d’expression », on perd en précision sur l’objet réel de la régulation : les dommages mesurables, les schémas de conception manipulateurs, les déploiements négligents en contextes sensibles. Un cadre peut défendre les droits tout en exigeant des garanties de sécurité auditées pour les systèmes puissants. Là où la seconde moitié du cadre, et la « plongée approfondie » qui l’accompagne, demeure floue, c’est sur l’ossature opérationnelle manquante. Il faut des définitions nettes (qu’est‑ce qu’un système à haut risque), des obligations explicites (quels tests pré‑déploiement), et une gouvernance robuste (déclaration d’incidents, standards de red teaming, audits indépendants, suivi post‑déploiement). Les bacs à sable ne sauraient tenir lieu de protections de base : sans règles d’arrêt et supervision externe, ils deviennent des voies rapides vers le marché, pas des voies plus sûres vers l’évaluation. Enfin, le texte sous‑appréhende la réalité clinique et de la recherche : la confidentialité n’est pas un appendice, l’évaluation n’est pas optionnelle, et « l’intégration aux workflows » est précisément l’endroit où la sécurité tient… ou s’effondre. Si la préemption affaiblit la pression des États sans la compenser par des normes fédérales exécutoires, on ouvre un vide où les fournisseurs fixent la barre et où les institutions absorbent, en silence, le risque. Le cadre gagne en crédibilité lorsqu’il convertit des valeurs en exigences : ce qu’il faut tester, documenter, divulguer et surveiller. C’est la seule manière de transformer une ambition nationale en pratiques vérifiables.