L'Article 6 et l'Annexe III du Règlement (UE) 2024/1689 classent en risque élevé les systèmes d'IA utilisés pour l'évaluation des risques et la tarification en assurance vie et santé. Pour les courtiers, mutuelles régionales et insurtechs françaises, cette classification déclenche un faisceau d'obligations techniques, documentaires et de gouvernance. Cet article cartographie les exigences applicables à la souscription automatisée, aux modèles de scoring et aux systèmes anti-fraude.
L'essentiel en 30 secondes
- L'Annexe III §5(c) du Règlement (UE) 2024/1689 classe en risque élevé les IA d'évaluation des risques et de tarification en assurance vie et santé.
- Les fournisseurs et déployeurs doivent appliquer les Articles 9 à 15 : gestion des risques, qualité des données, documentation, transparence, supervision humaine.
- L'Article 27 impose une analyse d'impact sur les droits fondamentaux (FRIA) aux déployeurs avant mise en service.
- Les obligations sur l'IA à risque élevé deviennent pleinement applicables le 2 août 2026 (Art. 113).
- Les sanctions (Art. 99) atteignent 3 % du chiffre d'affaires mondial ou 15 M€ pour la majorité des manquements ; 7 % ou 35 M€ pour usage d'IA interdite (Art. 5).
- L'AI Office et la CNIL publient des ressources gratuites : ai-act-service-desk.ec.europa.eu et cnil.fr.
1. Contexte réglementaire : pourquoi l'assurance entre dans le champ « haut risque »
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024. Il distingue quatre niveaux de risque : inacceptable, élevé, limité, minimal. L'assurance n'est pas un secteur uniformément régulé : la classification dépend de l'usage du système d'IA.
L'Annexe III, point 5(c), désigne explicitement comme à haut risque :
« les systèmes d'IA destinés à être utilisés pour l'évaluation des risques et la tarification en matière d'assurance vie et d'assurance maladie à l'égard de personnes physiques ».
Les autres usages assurantiels (assurance dommages, IARD, multirisque habitation) ne sont pas automatiquement classés à haut risque. Mais ils relèvent du RGPD et, selon leur architecture, des obligations de transparence des Articles 50 et suivants.
Périmètre concret pour une PME d'assurance
| Cas d'usage | Classification AI Act | Obligations principales |
|---|---|---|
| Tarification automatisée santé/vie | Risque élevé (Annexe III §5c) | Art. 9 à 15 + Art. 26-27 |
| Scoring de risque emprunteur (vie) | Risque élevé | Art. 9 à 15 + Art. 26-27 |
| Détection de fraude IARD | Risque limité à élevé selon impact | RGPD + Art. 50 si interaction client |
| Chatbot relation client | Risque limité | Transparence Art. 50 |
| Souscription auto/habitation | Évaluation au cas par cas | Analyse Art. 6 |
Pour positionner votre activité, consultez le pillar AI Act et PME françaises.
2. Souscription d'assurance : transparence et droit à l'explication
La souscription assistée par IA implique une décision pouvant produire des effets juridiques pour le candidat-assuré : refus, surprime, exclusion de garantie. L'Article 86 du Règlement instaure un droit à l'explication des décisions individuelles prises par un système d'IA à haut risque.
Obligations concrètes du déployeur (assureur)
- Informer le candidat que la décision repose sur un système d'IA (Art. 26 §11).
- Conserver les journaux d'audit pendant au moins six mois (Art. 26 §6).
- Désigner une supervision humaine effective : un souscripteur formé doit pouvoir contester ou suspendre la décision automatisée (Art. 14).
- Réaliser une analyse d'impact sur les droits fondamentaux avant mise en service (Art. 27).
L'Article 14 §4 précise les compétences attendues du superviseur humain : comprendre les capacités et limites du système, détecter les biais d'automatisation, interpréter correctement la sortie de l'IA.
Articulation avec le RGPD
L'Article 22 du RGPD interdit déjà les décisions exclusivement automatisées produisant des effets juridiques, sauf consentement explicite, contrat ou loi. Le candidat-assuré peut exiger une intervention humaine et contester la décision. L'AI Act renforce cette obligation sans la remplacer. La CNIL a publié plusieurs fiches sur l'articulation des deux textes.
Auditez votre dispositif de souscription IA
regulia fournit un pack documentaire conforme AI Act + RGPD pour les PME d'assurance : registre des systèmes, modèle FRIA, procédure de supervision humaine, mentions d'information candidat.
Demander une démonstration3. Modèles de scoring : qualité des données et lutte contre les biais
Le scoring assurantiel — qu'il s'agisse d'un score de sinistralité, de résiliation ou de fraude latente — déclenche l'Article 10 du Règlement (UE) 2024/1689 sur la gouvernance des données.
Exigences de l'Article 10
- Pertinence, représentativité, exactitude et complétude des jeux de données d'entraînement, de validation et de test.
- Examen préalable des biais possibles susceptibles d'affecter la santé, la sécurité ou les droits fondamentaux.
- Mesures pour détecter, prévenir et atténuer ces biais.
- Documentation des pratiques de collecte et traitement.
Comparatif des sources de biais en assurance
| Source de biais | Risque concret | Mesure d'atténuation |
|---|---|---|
| Variables proxy (code postal, prénom) | Discrimination indirecte (origine, genre) | Tests d'équité par sous-population |
| Données historiques déséquilibrées | Sous-tarification ou exclusion d'un segment | Rééchantillonnage, pondération |
| Dérive temporelle | Décalage entre modèle entraîné et population actuelle | Monitoring post-déploiement (Art. 72) |
| Variables corrélées au handicap | Violation Art. 9 RGPD + Art. 10 AI Act | Audit d'impact, suppression de features |
L'Article 15 impose en outre des seuils d'exactitude, de robustesse et de cybersécurité documentés dans la notice technique. Les performances doivent être déclarées de manière transparente, y compris en cas de dégradation prévisible.
Mécanisme de contestation
Le déployeur doit prévoir un canal documenté permettant à l'assuré de contester un score le concernant. Ce canal s'articule avec le droit RGPD à la rectification (Art. 16 RGPD) et à l'opposition (Art. 21 RGPD).
Pour le vocabulaire technique, consultez le glossaire regulia.
4. Détection de fraude : sécurité, biais et auditabilité
Les systèmes anti-fraude assurantiels combinent règles métier, modèles supervisés et réseaux de neurones. Leur classification AI Act dépend de l'impact concret sur l'assuré : un système qui suspend automatiquement un paiement d'indemnisation produit des effets juridiques significatifs.
Trois niveaux de vigilance
- Détection passive (alerte interne) — Risque limité. Le système signale au gestionnaire qui décide seul. Obligations principales : RGPD + journalisation.
- Détection active (suspension automatique) — Risque élevé probable. Obligations Art. 9 à 15 applicables si l'assuré subit un effet juridique direct.
- Notation de risque fraude individuel — Évaluation au cas par cas selon la finalité (cf. Annexe III).
Sécurité des données et cybersécurité (Art. 15)
L'Article 15 §5 exige des mesures contre les attaques adverses, l'empoisonnement de données et la manipulation des modèles. Pour les systèmes anti-fraude, cela impose :
- Une isolation des environnements d'entraînement et de production.
- Une journalisation immuable des décisions (Art. 12).
- Une procédure de réaction aux incidents graves remontés à l'autorité nationale dans les 15 jours (Art. 73).
Audit interne et boucle d'amélioration
L'Article 72 oblige à un suivi post-commercialisation (post-market monitoring) actif. Le déployeur collecte, analyse et corrige les signaux faibles. Cette boucle doit être documentée et auditable.
5. Risques pour les assureurs non conformes
L'Article 99 du Règlement (UE) 2024/1689 organise un barème de sanctions à trois niveaux.
| Manquement | Plafond entreprise standard | Plafond PME (montant inférieur retenu) |
|---|---|---|
| Pratique d'IA interdite (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Le plus faible des deux |
| Non-conformité IA risque élevé (Art. 16, 26, 27, etc.) | 15 M€ ou 3 % du CA mondial | Le plus faible des deux |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial | Le plus faible des deux |
L'Article 99 §6 précise que pour les PME et jeunes entreprises, le montant le plus faible s'applique. C'est une atténuation notable par rapport au RGPD.
Au-delà des amendes, les autorités nationales (en France, la DGCCRF et l'AMF/ACPR selon les compétences) peuvent ordonner le retrait ou la suspension du système d'IA. Pour un assureur dépendant d'un moteur de scoring, l'impact opérationnel dépasse souvent la sanction pécuniaire.
Pour une analyse détaillée du calcul d'amende, consultez AI Act : sanctions et amendes pour les PME.
6. Outils et ressources pour la conformité
Plusieurs ressources publiques accompagnent les PME d'assurance.
Cartographie des aides disponibles
| Ressource | Émetteur | Usage |
|---|---|---|
| Fiches pratiques IA | CNIL | RGPD + articulation AI Act |
| AI Act Service Desk | Commission européenne | Questions juridiques, FAQ |
| Texte consolidé | artificialintelligenceact.eu | Recherche article par article |
| EUR-Lex CELEX 32024R1689 | UE | Version officielle |
| Bacs à sable réglementaires (Art. 57) | États membres | Tests encadrés d'IA innovantes |
L'Article 57 organise les regulatory sandboxes nationaux. La CNIL a expérimenté ce dispositif pour l'IA en santé. Un dispositif équivalent pour l'assurance pourrait émerger sous coordination de l'ACPR [à vérifier].
Référentiels normatifs utiles
- ISO/IEC 42001:2023 — système de management de l'IA.
- ISO/IEC 23894:2023 — management des risques liés à l'IA.
- ISO/IEC 27001:2022 — sécurité de l'information.
L'adoption d'ISO/IEC 42001 ne dispense pas du Règlement mais facilite la démonstration de conformité (présomption partielle au titre de l'Art. 40 si une norme harmonisée est publiée).
7. Stratégies de mise en conformité pour les PME d'assurance
Une démarche structurée évite les corrections coûteuses tardives.
Feuille de route en six étapes
- Inventorier les systèmes d'IA en production et en projet, avec leur finalité métier.
- Classer chaque système au regard de l'Annexe III et de l'Article 6.
- Désigner un référent IA (souvent rattaché au DPO ou au RSSI).
- Documenter la technique, les données et la gouvernance selon l'Article 11 et l'Annexe IV.
- Mettre en place la supervision humaine (Art. 14) et la FRIA (Art. 27) pour chaque système à haut risque.
- Auditer annuellement et préparer la déclaration au registre européen (Art. 49).
Calendrier d'application (Art. 113)
| Date | Obligations applicables |
|---|---|
| 2 février 2025 | Interdictions Art. 5 + obligations de littératie IA (Art. 4) |
| 2 août 2025 | Modèles d'IA à usage général + gouvernance + sanctions |
| 2 août 2026 | Système complet pour la majorité des IA à haut risque (Annexe III) |
| 2 août 2027 | IA à haut risque intégrée à des produits régulés (Annexe I) |
Les PME d'assurance déployant des modèles relevant de l'Annexe III ont donc jusqu'au 2 août 2026 pour atteindre la conformité opérationnelle.
Préparez la deadline du 2 août 2026
regulia met à disposition un pack documentaire dédié aux PME d'assurance : registre IA, FRIA, procédures de supervision humaine, modèle de notice technique conforme Annexe IV.
Recevoir le pack assurance8. Perspectives : innovation responsable et avantage concurrentiel
La conformité AI Act n'est pas un coût pur. Trois bénéfices opérationnels apparaissent.
Confiance et différenciation commerciale
Les assurés et courtiers comparent désormais la transparence algorithmique. Une politique IA publique, lisible et alignée sur le Règlement devient un argument commercial.
Qualité actuarielle accrue
Les obligations de gouvernance des données (Art. 10) et de monitoring (Art. 72) imposent une rigueur statistique qui réduit la dérive des modèles. À long terme, la sinistralité prédite gagne en stabilité.
Sécurisation des partenariats
Les grands assureurs imposeront progressivement à leurs courtiers et MGA des clauses de conformité AI Act. Anticiper ces exigences sécurise les contrats de distribution.
FAQ
Quelles sont les principales obligations de l'AI Act pour les assureurs utilisant l'IA en souscription ?
Les assureurs doivent classer leurs systèmes selon l'Article 6 et l'Annexe III, documenter techniquement les modèles (Art. 11), garantir la qualité des données (Art. 10), assurer une supervision humaine effective (Art. 14), et informer les candidats-assurés que la décision repose sur une IA (Art. 26 §11). Pour la souscription santé et vie, la FRIA de l'Article 27 est obligatoire avant mise en service.
Comment l'AI Act influence-t-il les modèles de scoring en assurance ?
L'Article 10 impose des jeux de données pertinents, représentatifs et exempts de biais discriminatoires. L'Article 15 fixe des seuils d'exactitude et de robustesse documentés. L'Article 86 ouvre un droit à l'explication pour la personne concernée. Les assureurs doivent prévoir un mécanisme de contestation et un suivi des dérives post-déploiement (Art. 72).
Quels sont les risques pour une PME d'assurance non conforme à l'AI Act ?
L'Article 99 prévoit des amendes pouvant atteindre 15 M€ ou 3 % du chiffre d'affaires mondial annuel (le montant le plus faible pour les PME) en cas de non-conformité sur l'IA à haut risque. Pour usage d'IA interdite (Art. 5), le plafond monte à 35 M€ ou 7 %. Les autorités peuvent en outre suspendre l'usage du système concerné, ce qui paralyse les opérations de tarification ou d'indemnisation.
Quelles ressources peuvent utiliser les PME pour se conformer à l'AI Act ?
Les PME mobilisent quatre sources principales : les fiches pratiques de la CNIL, le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu), le texte consolidé sur artificialintelligenceact.eu, et les bacs à sable réglementaires de l'Article 57. Un pack documentaire mutualisé, comme celui proposé par regulia, accélère la mise en conformité.
Comment l'AI Act peut-il améliorer la détection de fraude en assurance ?
Le Règlement impose une gouvernance des données (Art. 10), une cybersécurité documentée (Art. 15) et un suivi post-déploiement (Art. 72). Ces exigences réduisent les faux positifs liés aux biais et renforcent la robustesse des modèles face aux attaques adverses. À terme, l'auditabilité des décisions diminue le contentieux et stabilise la relation avec l'assuré.
Sources officielles
- Règlement (UE) 2024/1689 (AI Act) — texte officiel sur EUR-Lex : eur-lex.europa.eu/eli/reg/2024/1689
- AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL — Nouveautés de l'AI Act : cnil.fr/fr/les-nouveautes-de-lai-act
- Texte consolidé annoté : artificialintelligenceact.eu
- Normes ISO/IEC 42001:2023 et 23894:2023 — disponibles via iso.org
Pour consulter l'intégralité de notre bibliographie, voir la page sources regulia.
Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.