L'essentiel en 30 secondes - L'AI Act (Règlement (UE) 2024/1689) encadre strictement les systèmes d'IA utilisés par les courtiers pour proposer ou sélectionner des produits d'assurance vie et santé. - Les outils d'aide à la sélection automatisée sont susceptibles d'être qualifiés de systèmes à haut risque au titre de l'Annexe III, point 5(c). - La non-conformité expose à des amendes administratives jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial (Article 99). - Les déployeurs doivent réaliser une analyse d'impact sur les droits fondamentaux (FRIA) prévue à l'Article 27. - Documentation, supervision humaine et information du client deviennent des obligations légales, pas des bonnes pratiques. - Les fournisseurs (et certains déployeurs) doivent s'enregistrer dans la base de données européenne prévue à l'Article 71.
1. Introduction : l'AI Act et son impact sur les courtiers en assurance
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024. Ses dispositions s'appliquent par paliers jusqu'au 2 août 2027. C'est le premier cadre juridique horizontal au monde sur l'intelligence artificielle.
Les courtiers en assurance utilisent de plus en plus d'outils numériques pour comparer, recommander ou tarifer des produits. Multi-comparateurs, scoring de profil client, moteurs de recommandation : ces systèmes basculent désormais dans le champ du règlement européen.
Pourquoi cela vous concerne directement. L'Annexe III, point 5(c), du Règlement (UE) 2024/1689 vise expressément les systèmes d'IA destinés à être utilisés pour l'évaluation des risques et la tarification en matière d'assurance-vie et d'assurance-maladie. Un outil de sélection de produit qui s'appuie sur ces évaluations peut entrer dans le périmètre haut risque.
Pour une PME de courtage (10 à 250 salariés), le sujet n'est plus théorique. La conformité conditionne la commercialisation des solutions, la confiance des assureurs partenaires, et le maintien du mandat ORIAS. Cet article s'inscrit dans notre guide général de l'AI Act pour les PME françaises.
2. Les obligations de l'AI Act pour les courtiers utilisant des systèmes d'aide à la sélection de produit
2.1. Qualification : fournisseur ou déployeur ?
L'Article 3 du Règlement distingue deux rôles principaux.
| Rôle | Définition (Art. 3) | Cas typique chez un courtier |
|---|---|---|
| Fournisseur | Personne qui développe ou fait développer un système d'IA et le met sur le marché sous son nom | Courtier qui édite son propre moteur de recommandation |
| Déployeur | Personne qui utilise un système d'IA sous sa propre autorité | Courtier qui intègre une solution SaaS tierce |
La distinction est centrale. Les obligations diffèrent en intensité, mais aucune des deux qualifications n'est exemptée.
2.2. Classification haut risque
L'Annexe III, point 5(c), cible les systèmes utilisés pour l'évaluation des risques et la tarification en assurance-vie et maladie. Un outil d'aide à la sélection de produit qui repose, même partiellement, sur ces évaluations relève du haut risque.
Restent hors de cette catégorie : les comparateurs purement déclaratifs (sans scoring algorithmique), les outils de back-office sans impact direct sur la décision client, et les systèmes utilisés uniquement à des fins statistiques internes.
2.3. Obligations pour les fournisseurs (Art. 9 à 17)
- Système de gestion des risques documenté (Art. 9)
- Gouvernance des données d'entraînement (Art. 10)
- Documentation technique complète (Art. 11 et Annexe IV)
- Journalisation automatique (Art. 12)
- Transparence envers les déployeurs (Art. 13)
- Surveillance humaine intégrée (Art. 14)
- Niveau adéquat d'exactitude, robustesse et cybersécurité (Art. 15)
- Évaluation de la conformité et marquage CE (Art. 43)
2.4. Obligations pour les déployeurs (Art. 26 et 27)
- Utiliser le système conformément à la notice
- Assurer la supervision humaine par des personnes formées
- Conserver les journaux générés pendant au moins 6 mois
- Informer les personnes physiques exposées à une décision automatisée
- Réaliser l'analyse d'impact sur les droits fondamentaux (FRIA) prévue à l'Article 27
2.5. Information du client et CNIL
Le RGPD reste pleinement applicable. L'Article 22 du RGPD encadre les décisions individuelles automatisées. La CNIL a publié 13 fiches pratiques IA en 2024-2025 qui détaillent les attentes nationales. Toute notification de violation ou tout signalement d'incident grave doit suivre la procédure prévue à l'Article 73 de l'AI Act (incident grave) et, le cas échéant, l'Article 33 du RGPD.
3. Les risques et sanctions en cas de non-conformité
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des amendes administratives.
| Manquement | Plafond | Base de calcul (le plus élevé des deux) |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ | 7 % du CA mondial annuel |
| Manquement aux obligations haut risque | 15 M€ | 3 % du CA mondial annuel |
| Information inexacte aux autorités | 7,5 M€ | 1 % du CA mondial annuel |
Pour les PME et start-ups, l'Article 99(6) prévoit que le montant le plus faible des deux s'applique — disposition protectrice qui ne supprime pas l'exposition financière.
À cela s'ajoutent : la suspension du système par l'autorité de surveillance (Article 79), une atteinte réputationnelle vis-à-vis des assureurs porteurs de risque, et l'éventuelle remise en cause du statut ORIAS si l'usage de l'outil contrevient aux obligations professionnelles.
Notre analyse détaillée du régime de sanctions est disponible dans l'article AI Act : sanctions et amendes applicables aux PME.
Évaluez votre exposition réglementaire
Notre pack documentaire courtage couvre la FRIA, la notice d'usage, la procédure de supervision humaine et les modèles d'information client conformes à l'Article 13 de l'AI Act.
Demander le pack documentaire courtage4. Étapes pour se conformer : analyse, mise en œuvre et documentation
Étape 1 — Cartographier les systèmes d'IA
Recensez chaque outil utilisant des techniques d'IA telles que définies à l'Article 3(1) : apprentissage automatique, raisonnement logique, approches statistiques avancées. Pour chaque outil, documentez :
- Sa finalité métier
- Son éditeur (fournisseur au sens AI Act)
- Les données d'entrée et de sortie
- Le rôle dans la décision finale du client
- Le caractère automatisé ou non de la recommandation
Étape 2 — Réaliser l'analyse d'impact (FRIA)
L'Article 27 impose au déployeur, avant la première utilisation d'un système haut risque, une analyse d'impact sur les droits fondamentaux. Elle comprend :
- La description des processus dans lesquels le système sera utilisé
- La durée et la fréquence d'utilisation
- Les catégories de personnes susceptibles d'être affectées
- Les risques spécifiques de préjudice
- Les mesures de supervision humaine
- Les mesures à prendre en cas de matérialisation des risques
La FRIA se combine avec l'AIPD (analyse d'impact relative à la protection des données) prévue à l'article 35 du RGPD. La CNIL recommande de mener les deux analyses de manière coordonnée.
Étape 3 — Mettre en œuvre les mesures techniques et organisationnelles
| Domaine | Mesure attendue | Référence |
|---|---|---|
| Gouvernance | Désignation d'un responsable IA interne | ISO/IEC 42001:2023 §5.3 |
| Qualité des données | Procédure de validation des jeux d'entraînement | Art. 10 AI Act |
| Supervision humaine | Procédure documentée et personnel formé | Art. 14 AI Act |
| Journalisation | Conservation des logs 6 mois minimum | Art. 19 et 26(6) AI Act |
| Cybersécurité | Mesures alignées sur ISO/IEC 27001:2022 | Art. 15 AI Act |
| Gestion des risques | Cartographie continue, revue annuelle | ISO/IEC 23894:2023 |
Étape 4 — Documenter et former
L'AI Act ne suit pas une logique déclarative. La preuve documentaire est centrale. Préparez :
- La notice d'utilisation fournie par l'éditeur (déployeur) ou rédigée en interne (fournisseur)
- La politique d'usage interne validée par la direction
- Le plan de formation des collaborateurs concernés (Article 4 : « littératie en matière d'IA »)
- Le registre des incidents et le processus d'alerte (Article 73)
- Le tableau de bord de monitoring des performances
L'obligation de littératie de l'Article 4 est applicable depuis le 2 février 2025. Elle vise toutes les personnes impliquées dans l'exploitation ou l'utilisation des systèmes d'IA.
5. Bonnes pratiques pour les courtiers en assurance
5.1. Sélectionner des fournisseurs conformes
Avant d'intégrer une solution SaaS de recommandation, exigez de l'éditeur :
- La déclaration UE de conformité (Annexe V) si la solution est haut risque
- La notice d'utilisation prévue à l'Article 13
- Les informations sur les jeux de données d'entraînement (Article 10)
- Le marquage CE lorsque la procédure d'évaluation l'impose
- Le numéro d'enregistrement dans la base de données prévue à l'Article 71
5.2. Garantir la traçabilité
Chaque recommandation présentée à un client doit pouvoir être reconstituée a posteriori. Cela passe par :
- L'horodatage des recommandations
- La conservation des données d'entrée non personnelles ou pseudonymisées
- La conservation du résultat de l'algorithme
- L'identification du collaborateur ayant supervisé la recommandation
5.3. Articuler avec la DDA et le devoir de conseil
La Directive (UE) 2016/97 sur la distribution d'assurance (DDA) impose déjà un devoir de conseil personnalisé. L'AI Act ne dispense d'aucune de ces obligations. Un courtier qui s'appuierait aveuglément sur une recommandation algorithmique pourrait engager sa responsabilité civile professionnelle au titre de la DDA, indépendamment de l'AI Act.
5.4. Gérer les incidents
L'Article 73 impose la notification des incidents graves aux autorités de surveillance dans un délai de 15 jours (réduit en cas d'incident généralisé). Préparez en amont :
- Le canal de signalement interne
- La grille de qualification de l'incident
- Le modèle de notification à l'autorité
6. Outils et ressources pour la conformité
| Ressource | Émetteur | Usage principal |
|---|---|---|
| 13 fiches pratiques IA | CNIL | Articulation RGPD / AI Act, AIPD, transparence |
| AI Act Service Desk | Commission européenne | Questions-réponses officielles pour les PME |
| Texte consolidé | EUR-Lex (eli/reg/2024/1689) | Référence juridique unique |
| ISO/IEC 42001:2023 | ISO | Système de management de l'IA (certifiable) |
| ISO/IEC 23894:2023 | ISO | Gestion des risques liés à l'IA |
| Guide AI Act janvier 2025 | Cigref | Approche par les usages |
| Code de conduite GPAI | AI Office EU | Pour intégrateurs de modèles génériques |
Notre glossaire AI Act recense les définitions normatives utiles, et notre page sources officielles liste les références citables.
Sécurisez votre dossier de conformité
regulia fournit aux courtiers en assurance un dossier prêt à l'emploi : FRIA modèle, registre des systèmes d'IA, politique d'usage interne, modèles d'information client et procédure d'incident Article 73.
Recevoir une démo personnalisée7. Les questions fréquentes (FAQ)
Quelles sont les obligations spécifiques pour les courtiers en assurance utilisant des systèmes d'aide à la sélection de produit ?
Les courtiers déployant un système haut risque doivent réaliser une analyse d'impact sur les droits fondamentaux (Article 27 du Règlement (UE) 2024/1689), tenir un registre d'utilisation, conserver les journaux pendant au moins 6 mois, assurer une supervision humaine effective et informer les personnes concernées qu'une décision repose sur un système d'IA. S'ils sont également fournisseurs, ils doivent constituer la documentation technique de l'Annexe IV, réaliser l'évaluation de conformité et apposer le marquage CE.
Comment identifier si mon système est concerné par l'AI Act ?
Vérifiez d'abord la qualification de système d'IA au sens de l'Article 3(1) : le système doit fonctionner avec une certaine autonomie et générer des sorties (recommandations, scores, prédictions) influençant un environnement. Vérifiez ensuite l'usage : si le système contribue à l'évaluation des risques ou à la tarification d'un produit d'assurance-vie ou maladie destiné à une personne physique, il relève de l'Annexe III, point 5(c). En cas de doute, l'AI Act Service Desk de la Commission européenne fournit des éclairages.
Quelles sont les étapes pour réaliser une analyse d'impact de l'IA (AIA) ?
L'analyse d'impact sur les droits fondamentaux (FRIA) prévue à l'Article 27 suit quatre temps : (1) description du contexte d'utilisation, des catégories de personnes affectées et de la durée d'usage ; (2) identification des risques spécifiques de préjudice et discrimination ; (3) définition des mesures de supervision humaine et des mesures correctives ; (4) documentation formelle et notification à l'autorité de surveillance lorsque le règlement l'exige. La FRIA se combine utilement avec l'AIPD (article 35 RGPD).
Quelles sanctions peuvent être encourues en cas de non-conformité avec l'AI Act ?
L'Article 99 prévoit trois paliers d'amendes : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'Article 5 ; jusqu'à 15 M€ ou 3 % pour les manquements aux obligations applicables aux systèmes haut risque ; jusqu'à 7,5 M€ ou 1 % pour la fourniture d'informations inexactes aux autorités. Pour les PME, le montant le plus faible des deux plafonds s'applique (Art. 99(6)). S'ajoutent les mesures de retrait du marché et l'engagement éventuel de la responsabilité civile professionnelle.
Où trouver des ressources pour m'aider à me conformer à l'AI Act ?
Trois ressources publiques sont à privilégier : les 13 fiches pratiques IA publiées par la CNIL, le texte consolidé sur EUR-Lex (eli/reg/2024/1689), et l'AI Act Service Desk de la Commission européenne. Pour les outils méthodologiques, ISO/IEC 42001:2023 fournit un cadre certifiable de management de l'IA, et ISO/IEC 23894:2023 traite spécifiquement de la gestion des risques. regulia met à disposition des PME un pack documentaire opérationnel.
8. Conclusion : se préparer à l'avenir de l'IA en assurance
Pour les courtiers en assurance, l'AI Act n'est pas une contrainte ponctuelle. C'est un cadre durable qui structure la relation entre l'algorithme, le conseiller et le client. Les obligations clés à retenir : qualifier le système, documenter la chaîne d'utilisation, réaliser la FRIA, garantir la supervision humaine, informer le client.
La préparation proactive est la meilleure défense. Les autorités françaises (CNIL, ACPR pour le volet prudentiel) ont commencé leurs travaux d'instruction dès 2024. Les premiers contrôles sur le périmètre haut risque sont attendus à partir du 2 août 2026, date d'application générale du règlement.
L'horizon 2026-2027 imposera des arbitrages techniques. Les courtiers qui auront cartographié leurs systèmes, formé leurs équipes et documenté leurs procédures pourront commercialiser sereinement. Les autres devront suspendre, parfois en urgence, des outils devenus inutilisables.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé EUR-Lex
- Texte de référence du règlement IA — artificialintelligenceact.eu
- Commission européenne — AI Act Service Desk
- CNIL — Fiches pratiques IA
- Guide AI Act — Cigref, janvier 2025 [à vérifier — référence éditeur]
- Guide AI Act — Numeum, mars 2025 [à vérifier — référence éditeur]
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems — Requirements
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.