Obligations du règlement européen sur l'IA pour les systèmes d'IA dans l'assurance : modèles actuariels, souscription, évaluation des sinistres et tarification IA pour les personnes physiques. Couvre la catégorie 5(b) de l'Annexe III et l'interaction avec Solvabilité II.
L'assurance et le règlement européen sur l'IA — le défi actuariel
Le règlement européen sur l'IA (règlement (UE) 2024/1689) impose sa charge de conformité la plus élevée aux systèmes d'IA qui affectent la capacité des personnes physiques à accéder à des services essentiels et à des produits financiers. L'assurance est au cœur de cette préoccupation. Les systèmes d'IA qui déterminent si une personne physique peut obtenir une assurance automobile, maladie, vie ou habitation — et à quel coût — constituent, dans de nombreuses configurations, des systèmes d'IA à haut risque au titre de l'Annexe III, point 5(b) du règlement.
Le défi propre au secteur de l'assurance est d'ordre actuariel. Depuis plus d'un siècle, la tarification de l'assurance repose sur la modélisation statistique des risques au sein de cohortes de population. Le règlement européen sur l'IA n'interdit pas la différenciation actuarielle, mais il impose des obligations substantielles aux systèmes d'IA par lesquels cette différenciation est mise en œuvre lorsque ces systèmes opèrent au niveau de la personne physique individuelle. Le passage des modèles de mutualisation traditionnels à la notation individuelle du risque pilotée par l'IA — rendue possible par la télématique, les flux de données de santé et l'analyse comportementale — est précisément ce qui déclenche le régime à haut risque du règlement.
Les assureurs opérant dans l'UE doivent donc procéder à un exercice de classification systématique : lesquels de leurs systèmes d'IA produisent des résultats individualisés qui déterminent ou influencent de manière significative les décisions de couverture applicables aux personnes physiques ? Cet exercice de classification n'est pas une simple formalité de conformité. Son résultat détermine si l'assureur, en qualité de déployeur au titre de l'Art. 26 (ou de fournisseur au titre de l'Art. 16), assume des obligations relatives à la gouvernance des données, à la documentation technique, à la surveillance humaine, à l'évaluation de la conformité et à l'enregistrement dans la base de données UE pour l'IA à haut risque.
L'application du règlement à l'assurance est encore complexifiée par la densité réglementaire existante dans ce secteur. La directive Solvabilité II (2009/138/CE), la directive sur la distribution d'assurances (DDA) (UE) 2016/97, le GDPR et les lignes directrices de l'EIOPA fondées sur des principes en matière d'IA (2021) imposent chacun des exigences en matière de modélisation actuarielle, de traitement des clients et d'utilisation des données. Ces cadres se recoupent avec les obligations du règlement européen sur l'IA — sans pour autant s'y substituer. Les programmes de conformité doivent traiter l'ensemble de ces exigences simultanément.
Cas d'usage d'IA à haut risque dans l'assurance
Modèles de tarification actuarielle pour les personnes physiques
L'Annexe III, point 5(b) du règlement européen sur l'IA classe comme à haut risque tout système d'IA utilisé pour évaluer la solvabilité de personnes physiques ou pour les classer en fonction de leur profil de risque aux fins de l'accès à des services d'assurance. Cela couvre les systèmes d'IA actuariels qui :
- Génèrent un score de risque individuel utilisé pour fixer la prime d'assurance automobile d'un assuré nommément désigné
- Classent l'état de santé ou le risque de mortalité d'une personne physique pour déterminer l'éligibilité à une couverture d'assurance vie ou la prime applicable
- Produisent une décision de tarification en assurance habitation fondée sur des facteurs de risque évalués par l'IA et attribuables à une personne physique spécifique
Le seuil déterminant est l'impact sur la personne physique individuelle. L'IA actuarielle appliquée à des personnes morales — responsabilité civile des entreprises, fret commercial, immobilier industriel — ne déclenche pas la catégorie 5(b) de l'Annexe III, sauf si des personnes physiques sont affectées de manière matériellement équivalente. Les assureurs opérant à la fois sur les lignes personnelles et les lignes commerciales doivent classifier chaque système d'IA en fonction de la population sur laquelle il agit.
Télématique automobile et systèmes de tarification pay-as-you-drive
Les systèmes de tarification d'assurance fondés sur la télématique — qui collectent des données sur le comportement de conduite (vitesse, accélération, profil de freinage, plages horaires d'utilisation) et utilisent des modèles d'IA pour générer une prime individuelle pour une personne physique nommément désignée — constituent le cas d'usage paradigmatique d'IA d'assurance à haut risque. Ces systèmes réunissent tous les éléments de la catégorie 5(b) de l'Annexe III : ils évaluent des personnes physiques individuelles, ils produisent des sorties qui déterminent l'accès à l'assurance et sa tarification, et l'individualisation qu'ils opèrent par l'IA est précisément ce qui les distingue de la mutualisation actuarielle traditionnelle.
Les fournisseurs de moteurs de notation télématique — qu'ils soient développés en interne ou concédés sous licence par un prestataire tiers — doivent se conformer à l'Art. 9 (gestion des risques), à l'Art. 10 (gouvernance des données d'entraînement et de validation), à l'Art. 11 lu conjointement avec l'Annexe IV (documentation technique), à l'Art. 12 (journalisation), à l'Art. 13 (transparence), à l'Art. 14 (surveillance humaine) et à l'Art. 15 (exactitude, robustesse, cybersécurité).
IA de souscription en assurance vie et santé
Les systèmes d'IA utilisés en souscription d'assurance vie pour évaluer le risque de longévité ou de mortalité de candidats individuels — en déterminant si une couverture est proposée et à quelle prime — sont à haut risque au titre de la catégorie 5(b) de l'Annexe III dès lors qu'ils produisent des évaluations individualisées pour des personnes physiques. Cela inclut les systèmes d'IA qui traitent des réponses à des questionnaires de santé, des dossiers médicaux (lorsqu'ils sont légalement accessibles) ou des flux de données issus d'appareils connectés pour générer un score de risque influençant les décisions de souscription.
L'IA en assurance maladie qui segmente les candidats individuels par profil de risque sanitaire aux fins de la tarification ou de la détermination de l'éligibilité est soumise à la même classification. Les assureurs doivent être attentifs à l'intersection entre l'Art. 9 du GDPR (données de santé en tant que données de catégorie particulière) et les exigences de gouvernance des données de l'Art. 10 du règlement IA : les jeux de données d'entraînement contenant des données de santé requièrent un fondement juridique explicite au titre de l'Art. 9(2) du GDPR, et ce fondement doit être documenté dans la documentation technique exigée par l'Annexe IV.
IA d'évaluation et de règlement des sinistres
La classification de l'IA appliquée aux sinistres dépend de son rôle fonctionnel dans le processus décisionnel de traitement des sinistres. Deux scénarios doivent être distingués :
- IA qui influence de manière significative le résultat d'un sinistre pour une personne physique : lorsqu'un système d'IA évalue un sinistre et que son résultat entraîne directement une réduction, un rejet ou un paiement conditionnel d'une prestation d'assurance à une personne physique — même si cette décision est nominalement révisée par un être humain — le système est vraisemblablement à haut risque au titre de la catégorie 5(b) de l'Annexe III, car il détermine effectivement l'accès de la personne physique aux prestations d'assurance.
- IA qui signale des sinistres à des fins d'enquête humaine : lorsque la sortie de l'IA constitue l'un des éléments parmi plusieurs examinés par un gestionnaire de sinistres qui prend une décision substantielle et indépendante, et que ce gestionnaire dispose de l'autorité et des informations nécessaires pour s'écarter de l'évaluation de l'IA, le système peut ne pas être à haut risque. Cette distinction doit être documentée et opérationnellement réelle, non pas seulement nominale.
Détection des fraudes à l'assurance
Les systèmes d'IA utilisés pour détecter des sinistres potentiellement frauduleux occupent une zone frontière importante. Lorsque l'IA de détection des fraudes déclenche automatiquement une mesure défavorable — suspension de paiement, résiliation du contrat — affectant une personne physique sans examen humain substantiel, elle est vraisemblablement à haut risque. Lorsque l'IA génère uniquement un signal d'alerte de risque de fraude qui est ensuite examiné par un spécialiste conservant l'entière autorité décisionnelle, elle peut ne pas l'être. Les assureurs doivent documenter en détail le processus de l'IA anti-fraude et évaluer si la surveillance humaine opérationnelle est substantielle ou seulement nominale.
Fournisseur et déployeur dans l'assurance
Distinction des rôles
Le règlement européen sur l'IA impose des ensembles d'obligations différents selon qu'une organisation est fournisseur (développe et met l'IA sur le marché) ou déployeur (utilise un système d'IA tiers dans un contexte professionnel). Pour les assureurs, cette distinction revêt une importance commerciale significative :
- Un assureur qui développe son propre moteur de notation télématique ou son IA de tarification actuarielle est un fournisseur au titre de l'Art. 3(3) et supporte l'ensemble des obligations du fournisseur prévues à l'Art. 16 : système de gestion de la qualité, documentation technique, déclaration UE de conformité, marquage CE, enregistrement dans la base de données UE et surveillance post-commercialisation.
- Un assureur qui concède sous licence un logiciel d'IA actuarielle auprès d'un fournisseur est un déployeur au titre de l'Art. 3(4) et supporte les obligations du déployeur prévues à l'Art. 26 : mise en œuvre conformément aux instructions du fournisseur, surveillance humaine, conservation des journaux et déclaration des incidents.
- Un assureur qui modifie un système d'IA concédé sous licence d'une manière qui en altère la finalité prévue — par exemple, en appliquant un modèle télématique à une population d'assurés en dehors du périmètre validé — peut être requalifié en fournisseur au titre de l'Art. 25(1), avec l'ensemble des obligations du fournisseur.
Diligence raisonnable du déployeur pour l'IA actuarielle de tiers
Les assureurs qui déploient des systèmes d'IA actuariels de tiers doivent exercer une diligence raisonnable structurée avant et après le déploiement :
Avant le déploiement : Vérifier que le système d'IA est enregistré dans la base de données UE pour l'IA à haut risque conformément à l'Art. 49, qu'il porte le marquage CE et qu'il est accompagné d'une déclaration UE de conformité. Demander et examiner le résumé de la documentation technique, notamment les métriques de précision et de biais, le périmètre du cas d'usage validé et la déclaration d'usage prévu.
Protections contractuelles : Les contrats d'achat conclus avec les fournisseurs d'IA doivent préciser : l'obligation du fournisseur d'informer l'assureur de toute mise à jour significative ou réévaluation ; l'obligation du fournisseur de produire des données actualisées de surveillance post-commercialisation sur demande ; et les limites du périmètre de déploiement autorisé — avec un mécanisme clair permettant à l'assureur de demander une évaluation d'extension de périmètre plutôt que d'agir unilatéralement.
Surveillance continue : Au titre de l'Art. 26(5), les déployeurs doivent surveiller les performances des systèmes d'IA à haut risque dans leur contexte opérationnel. Pour l'IA actuarielle, cela signifie suivre les performances du modèle par rapport aux résultats réels des sinistres, surveiller les dérives distributionnelles entre la population d'entraînement et la population d'assurés active, et signaler au fournisseur les écarts significatifs pour investigation.
Interaction avec Solvabilité II, la DDA et le GDPR
Solvabilité II — système de gouvernance et ORSA
Les exigences du Pilier II de la directive Solvabilité II établissent un système de gouvernance sur les fonctions actuarielles et de gestion des risques. L'Own Risk and Solvency Assessment (ORSA) exige une identification documentée des risques, des tests de résistance et une gouvernance des modèles internes. Ces exigences se recoupent de manière substantielle avec le système de gestion des risques prévu à l'Art. 9 du règlement européen sur l'IA et les composantes de validation des modèles de la documentation technique de l'Annexe IV.
Les assureurs doivent réaliser une analyse des écarts structurée pour identifier les artefacts de gouvernance Solvabilité II susceptibles d'être utilisés aux fins de la conformité au règlement IA et les lacunes subsistantes. Les lacunes typiques comprennent notamment : les tests de biais et l'évaluation de l'équité spécifiques à l'IA (non traités dans Solvabilité II) ; la documentation des jeux de données au titre de l'Art. 10 pour les données d'entraînement et de validation (qui va au-delà du périmètre de validation des modèles de Solvabilité II) ; la journalisation automatique du fonctionnement du système d'IA au titre de l'Art. 12 ; et la conception des mécanismes de surveillance humaine au titre de l'Art. 14. Lorsqu'un modèle interne approuvé au titre de Solvabilité II intègre des composantes d'IA, le cadre de gouvernance de ce modèle doit être étendu pour satisfaire aux obligations du règlement IA avant que le système puisse être légalement déployé dans le régime à haut risque.
Directive sur la distribution d'assurances — équité et transparence
La DDA (UE) 2016/97 exige que la distribution d'assurances soit conduite dans l'intérêt du client, avec des informations présentées de manière compréhensible. Lorsque l'IA est utilisée dans le processus de distribution — par exemple, sur une plateforme numérique qui génère des recommandations de produits personnalisées ou des devis de primes —, les obligations de la DDA en matière d'équité et de divulgation s'alignent sur les exigences de transparence de l'Art. 13 du règlement européen sur l'IA. Les assureurs doivent intégrer les obligations de divulgation du règlement IA dans les documents d'information sur les produits d'assurance (IPID) et les documents d'informations clés, en veillant à ce que le rôle de l'IA dans la décision de distribution ou de tarification soit communiqué dans un langage accessible à l'assuré.
GDPR — données de catégorie particulière et prise de décision automatisée
L'Art. 9 du GDPR classe les données de santé, les données génétiques et les données relatives à la condition physique ou mentale d'une personne parmi les données de catégorie particulière, dont le traitement est interdit en l'absence d'une dérogation spécifique. Les assureurs vie et santé qui utilisent de telles données dans l'entraînement ou la notation par IA doivent identifier et documenter un fondement juridique valable au titre de l'Art. 9(2) du GDPR — le plus souvent le consentement explicite au titre de l'Art. 9(2)(a) ou une dérogation prévue par la législation d'un État membre au titre de l'Art. 9(2)(b) — pour chaque catégorie de données et finalité de traitement.
L'Art. 22 du GDPR encadre les décisions reposant exclusivement sur un traitement automatisé et produisant des effets juridiques ou des effets significatifs similaires pour les personnes physiques. Une décision de souscription par IA qui rejette automatiquement une demande de couverture, ou une décision de sinistre par IA qui réduit automatiquement le paiement d'une prestation, sans intervention humaine, constitue une prise de décision exclusivement automatisée au titre de l'Art. 22. La personne concernée a droit à : un examen humain de la décision ; une explication des principaux facteurs ayant influencé la décision automatisée ; et le droit de contester le résultat. Les assureurs doivent intégrer ces droits dans leurs processus à destination des clients et s'assurer que les mécanismes de recours interne sont fonctionnellement effectifs.
Lignes directrices de l'EIOPA en matière d'IA
Les lignes directrices de l'EIOPA fondées sur des principes relatives à l'utilisation de l'IA dans l'assurance (2021) ont établi les attentes du secteur en matière de transparence, de non-discrimination, de qualité des données et d'explicabilité des modèles, en amont de l'entrée en vigueur du règlement IA. L'EIOPA élabore des orientations de mise en œuvre sectorielles spécifiques au règlement européen sur l'IA, et les assureurs doivent suivre attentivement les publications de l'EIOPA. Les superviseurs nationaux — l'ACPR (France), la BaFin (Allemagne), l'IVASS (Italie), la DNB (Pays-Bas) — mettront en œuvre leurs attentes prudentielles en alignement avec les orientations de l'EIOPA, et des publications de questions-réponses sectorielles sont attendues au cours de la période de mise en œuvre du règlement.
Contrôle — EIOPA et superviseurs nationaux
Rôle de supervision de l'EIOPA
L'EIOPA (Autorité européenne des assurances et des pensions professionnelles) ne dispose pas d'un pouvoir de contrôle direct au titre du règlement européen sur l'IA, qui désigne les autorités de surveillance nationales comme autorités compétentes en vertu de l'Art. 70. Toutefois, l'EIOPA coordonne la convergence de la surveillance entre les régulateurs d'assurance de l'UE et émet des normes techniques contraignantes et non contraignantes. Les attentes de l'EIOPA en matière de gouvernance de l'IA — exprimées au travers de lignes directrices, d'avis et de déclarations prudentielles — détermineront la manière dont les superviseurs nationaux mettront en œuvre les exigences du règlement IA dans le contexte de l'assurance. Les assureurs doivent traiter les publications de l'EIOPA comme des orientations sectorielles faisant autorité, même lorsqu'elles n'ont pas de caractère juridiquement contraignant.
Superviseurs nationaux de l'assurance en tant qu'autorités compétentes en matière d'IA
Les superviseurs nationaux de l'assurance dans les principaux marchés de l'UE sont positionnés pour exercer les fonctions d'autorité compétente au titre du règlement IA à l'égard des systèmes d'IA dans l'assurance :
- L'ACPR (Autorité de contrôle prudentiel et de résolution) en France, qui a publié des attentes prudentielles relatives à l'IA dans les services financiers
- La BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) en Allemagne, dotée d'un solide bilan en matière de supervision des décisions algorithmiques
- L'IVASS (Istituto per la Vigilanza sulle Assicurazioni) en Italie
- La DNB (De Nederlandsche Bank) aux Pays-Bas
Ces autorités disposent de pouvoirs en vertu des Art. 74 et Art. 75 pour demander l'accès aux données d'entraînement, à la documentation technique et aux journaux ; pour effectuer des inspections sur place ; pour ordonner des mesures correctives ; et pour recommander des sanctions financières en cas de non-conformité. Les amendes pour la mise sur le marché de systèmes d'IA à haut risque non conformes peuvent atteindre 30 millions d'euros ou 6 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Double supervision : règlement IA et réglementation sectorielle
Les superviseurs de l'assurance procédant à l'application du règlement IA le feront dans le contexte de leurs mandats prudentiels et comportementaux plus larges. Une enquête au titre du règlement IA portant sur un modèle de tarification actuarielle discriminatoire peut simultanément engager les obligations de reporting du Pilier III de Solvabilité II, les exigences de conduite de la DDA et la mise en œuvre du GDPR par l'autorité de protection des données. Les assureurs doivent anticiper que les interventions prudentielles seront transfonctionnelles et concevoir leurs programmes de conformité en conséquence.
Feuille de route de conformité pour les assureurs
Étape 1 : Inventaire et classification des systèmes d'IA
Réaliser un inventaire complet de tous les systèmes d'IA utilisés dans : la tarification des primes ; l'acceptation ou le refus en souscription ; l'évaluation ou le règlement des sinistres ; la détection des fraudes ; la notation du risque client ; et la distribution ou la recommandation de produits. Pour chaque système, évaluer s'il produit des sorties qui déterminent ou influencent de manière significative les résultats pour des personnes physiques individuelles. Les systèmes satisfaisant à ce seuil nécessitent une évaluation de classification au regard de la catégorie 5(b) de l'Annexe III.
Étape 2 : Détermination du rôle fournisseur/déployeur
Pour chaque système d'IA à haut risque, déterminer si l'assureur est le fournisseur, le déployeur, ou — point crucial — si une utilisation en dehors du périmètre validé par le fournisseur a entraîné une requalification en fournisseur. Solliciter un conseil juridique pour évaluer les configurations ambiguës, notamment lorsque des données internes ou des populations d'assurés ont été utilisées pour affiner ou étendre un modèle concédé sous licence.
Étape 3 : Analyse des écarts par rapport aux obligations du règlement IA
Mettre en regard les artefacts de gouvernance Solvabilité II existants, la documentation ORSA et les processus de validation des modèles internes avec les exigences du règlement IA au titre de l'Art. 9 (gestion des risques), de l'Art. 10 (gouvernance des données), des Art. 11 et Annexe IV (documentation technique), de l'Art. 12 (journalisation), de l'Art. 13 (transparence), de l'Art. 14 (surveillance humaine) et de l'Art. 15 (exactitude, robustesse, cybersécurité). Documenter les lacunes identifiées et attribuer les responsabilités de remédiation.
Étape 4 : Gouvernance des données et alignement avec le GDPR
Pour chaque système d'IA à haut risque, auditer les jeux de données d'entraînement et de validation. Documenter la provenance des données, les méthodes de collecte, la représentativité au sein des groupes démographiques pertinents de la population d'assurés et les limites connues. S'assurer que les fondements juridiques au titre du GDPR sont en place pour toutes les données personnelles et, le cas échéant, pour les données de catégorie particulière. Intégrer la documentation de l'Art. 10 dans le dossier technique de l'Annexe IV.
Étape 5 : Conception des mécanismes de surveillance humaine
Concevoir des mécanismes de surveillance humaine opérationnellement réalistes pour chaque déploiement d'IA à haut risque. Pour l'IA de souscription, cela signifie qu'un souscripteur qualifié dispose des informations, de l'autorité et du temps nécessaires dans le processus pour examiner et s'écarter de la recommandation de l'IA avant qu'elle n'affecte l'assuré. Pour l'IA sinistres, cela signifie qu'un gestionnaire de sinistres dispose d'une autorité de contrôle substantielle — et non d'une simple fonction de validation nominale. Documenter la conception du contrôle et l'inclure dans la documentation technique.
Étape 6 : Diligence raisonnable des fournisseurs et remédiation contractuelle
Pour les systèmes d'IA actuariels de tiers, mettre en œuvre le processus de diligence raisonnable préalable au déploiement décrit ci-dessus et examiner les contrats fournisseurs existants. Lorsque les contrats ne contiennent pas de dispositions obligeant le fournisseur à maintenir la documentation de conformité au règlement IA, à informer l'assureur de toute modification significative et à permettre l'audit des performances du système d'IA, procéder à leur remédiation par voie d'avenant ou de renégociation. Mettre en place des procédures internes pour surveiller les performances du système d'IA dans la population d'assurés active et signaler les écarts significatifs aux fournisseurs et, le cas échéant, aux autorités de surveillance.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Un algorithme de tarification en assurance automobile est vraisemblablement à haut risque au titre de l'Annexe III, point 5(b), s'il évalue la solvabilité ou le profil de risque de personnes physiques individuelles afin de déterminer le niveau de prime ou l'éligibilité à une couverture. Les systèmes télématiques de type pay-as-you-drive qui notent le comportement individuel du conducteur et utilisent ce score pour fixer les primes des assurés nommément désignés entrent pleinement dans cette catégorie. Les modèles traditionnels de mutualisation actuarielle qui affectent les individus à des classes actuarielles sans notation individuelle pilotée par l'IA relèvent d'une zone plus grise ; toutefois, toute composante IA générant un score individualisé utilisé pour tarifer ou accepter le contrat d'une personne physique doit être évaluée au titre de l'Art. 6(2) lu conjointement avec la catégorie 5(b) de l'Annexe III.
Non, mais il existe un chevauchement substantiel qu'il convient d'exploiter. L'Art. 9 du règlement européen sur l'IA exige un système de gestion des risques qui identifie, analyse et atténue les risques prévisibles tout au long du cycle de vie du système d'IA. Les exigences du Pilier II de Solvabilité II — Own Risk and Solvency Assessment (ORSA) et système de gouvernance — imposent une identification documentée des risques et une gouvernance des modèles internes appliqués aux processus actuariels et de tarification. Les structures de gouvernance, les évaluations des risques documentées et les procédures de validation des modèles développées pour Solvabilité II peuvent constituer le socle de la conformité au règlement IA, mais doivent être complétées pour répondre aux obligations propres à l'IA : tests de biais, gouvernance des données au titre de l'Art. 10, journalisation automatique au titre de l'Art. 12 et surveillance humaine au titre de l'Art. 14. Une analyse des écarts par rapport aux exigences de documentation technique de l'Annexe IV est indispensable.
Lorsqu'un système d'IA à haut risque est utilisé pour prendre ou influencer de manière significative une décision affectant une personne physique — y compris l'acceptation, le refus ou la tarification d'une couverture d'assurance — le déployeur doit fournir des informations substantielles à la personne physique en vertu de l'Art. 26(6) du règlement européen sur l'IA et, lorsque la prise de décision automatisée au titre de l'Art. 22 du GDPR est en jeu, les dispositions relatives aux droits des personnes concernées des Art. 13 à 15 et 22 du GDPR s'appliquent. Les assurés ont droit à une explication de la logique des décisions automatisées, au droit de demander un examen humain et au droit de contester le résultat. Les assureurs utilisant des outils de souscription par IA doivent donc concevoir des processus de divulgation à destination des clients et mettre en place des mécanismes d'examen humain genuinement accessibles — non subordonnés à une expertise spécialisée.
Pas automatiquement. Un système d'IA de détection des fraudes qui signale des sinistres à des fins d'enquête humaine — lorsque l'enquêteur humain prend la décision finale de payer, de réduire ou de rejeter le sinistre — peut ne pas atteindre le seuil de classification à haut risque prévu à la catégorie 5(b) de l'Annexe III, dès lors que l'IA ne détermine pas de manière autonome l'accès à l'assurance pour les personnes physiques. En revanche, si la sortie du système de détection des fraudes déclenche directement une réduction automatique, une suspension ou un refus de règlement d'un sinistre à une personne physique sans examen humain substantiel, le système est vraisemblablement à haut risque. Les assureurs doivent documenter avec précision la manière dont les sorties de l'IA anti-fraude sont utilisées dans le processus de traitement des sinistres et s'assurer que, lorsque des personnes physiques sont concernées, une surveillance humaine significative intervient avant toute privation de prestation.
Les assureurs qui déploient des outils d'IA actuariels tiers doivent exiger contractuellement les éléments suivants : la déclaration UE de conformité et la documentation relative au marquage CE pour les systèmes à haut risque ; la documentation technique requise par l'Annexe IV, comprenant la déclaration d'usage prévu, la description des jeux de données d'entraînement, les résultats de validation et de test (y compris les métriques de biais et de précision par sous-populations démographiques) et le dossier de gestion des risques ; les instructions d'utilisation à destination du déployeur ; les données de surveillance post-commercialisation et les rapports d'incidents ; ainsi que les paramètres et conditions dans lesquels le système a été validé, y compris toute restriction relative aux cas d'usage ou aux populations d'assurés. Le déploiement en dehors du périmètre des instructions d'utilisation du fournisseur peut requalifier l'assureur en fournisseur, avec l'ensemble des obligations qui en découlent au titre de l'Art. 16.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.