AI Act pour mutuelles santé : tarification et fraude médicale IA

Q: Quels délais ai-je pour me conformer à l'AI Act ?

Les PME ont jusqu'au 31 décembre 2024 pour se conformer aux obligations de base de l'AI Act. Pour les systèmes à haut risque (comme la tarification), une conformité rapide est recommandée. Le service dédié de l'UE (ai-act-service-desk.ec.europa.eu) propose des consultations gratuites pour les PME.

Q: Quelles sont les sanctions pour une mutuelle non conforme ?

Les sanctions peuvent atteindre 4% du chiffre d'affaires annuel européen (art. 83 EU AI Act) et incluent des amendes, des interdictions de mise sur le marché, et des actions en justice des assurés. La CNIL peut également imposer des sanctions pour non-respect du RGPD.

Q: Dois-je modifier mes systèmes d'IA existants ?

Non nécessairement, mais vous devez les documenter et les auditer. Si votre système présente des risques pour les assurés (ex. biais dans la tarification), des modifications seront nécessaires. L'audit technique (art. 13 EU AI Act) est obligatoire pour les systèmes à haut risque.

Q: Quel budget prévoir pour la conformité ?

Le coût varie selon la complexité des systèmes. Pour les PME, des audits internes (10-20k€) et des formations (5-10k€) sont typiques. Le service dédié de l'UE (ai-act-service-desk.ec.europa.eu) propose des outils gratuits pour évaluer les besoins.

Q: Comment expliquer l'IA aux assurés ?

Vous devez fournir des informations claires sur l'utilisation de l'IA dans la tarification et la fraude (art. 13 EU AI Act). Utilisez des outils simples comme des infographies ou des FAQ. La CNIL (cnil.fr) propose des modèles de communication adaptés aux PME.

TL;DR

L'essentiel en 30 secondes - Les systèmes d'IA de tarification santé et de détection de fraude sont classés à haut risque au titre de l'Annexe III, point 5(c) du Règlement (UE) 2024/1689. - Les obligations principales relèvent des Articles 9 à 15 : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, robustesse. - Les sanctions de l'Article 99 peuvent atteindre 15 M€ ou 3 % du chiffre d'affaires mondial annuel pour la plupart des manquements aux obligations des fournisseurs et déployeurs de systèmes à haut risque. - Les obligations des systèmes à haut risque listés en Annexe III s'appliquent à compter du 2 août 2026 (Article 113). - La CNIL, dans ses fiches pratiques IA publiées en 2024-2025, exige une information loyale des assurés sur l'usage de l'IA, en complément des Articles 13, 14 et 22 du RGPD. - Le service européen ai-act-service-desk.ec.europa.eu accompagne les PME dans la mise en conformité.

1. Contexte réglementaire : AI Act et RGPD pour les mutuelles

Les mutuelles santé françaises traitent quotidiennement des données médicales, financières et comportementales. Lorsque ces traitements s'appuient sur un système d'intelligence artificielle, deux corpus réglementaires se superposent : le Règlement (UE) 2024/1689 (AI Act) et le Règlement (UE) 2016/679 (RGPD).

L'AI Act ne se substitue pas au RGPD. Il ajoute une couche d'obligations centrées sur le cycle de vie du système d'IA : conception, entraînement, validation, mise en service, supervision continue.

L'Annexe III du Règlement (UE) 2024/1689, point 5(c), classe explicitement comme à haut risque :

« Les systèmes d'IA destinés à être utilisés pour l'évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d'assurance-vie et d'assurance-maladie. »

Toute mutuelle santé qui déploie un moteur de tarification IA ou un module de scoring antifraude entre donc dans le périmètre haut risque. Le statut juridique de la mutuelle — fournisseur (provider) ou déployeur (deployer) — détermine la répartition des obligations (Articles 16 et 26).

Acteur	Statut AI Act	Articles principaux
Mutuelle qui développe son propre moteur IA	Fournisseur	Art. 9 à 22, Art. 47
Mutuelle qui utilise une solution éditée par un tiers	Déployeur	Art. 26, Art. 27, Art. 86
Éditeur SaaS d'un outil IA vendu à la mutuelle	Fournisseur	Art. 9 à 22, Art. 47

Le glossaire regulia détaille ces statuts — voir glossaire.

2. Obligations pour la tarification IA

La tarification individualisée par IA repose sur des données de santé, des indicateurs comportementaux et des historiques de sinistralité. Le Règlement (UE) 2024/1689 impose un socle de six obligations techniques et organisationnelles.

Article 9 — Système de gestion des risques. Un processus itératif d'identification, d'analyse et d'atténuation des risques doit être documenté tout au long du cycle de vie. La mutuelle évalue les risques pour la santé, la sécurité et les droits fondamentaux des assurés, notamment le risque de discrimination indirecte.

Article 10 — Données et gouvernance des données. Les jeux de données d'entraînement, de validation et de test doivent être pertinents, suffisamment représentatifs, exempts d'erreurs et complets. Pour la tarification santé, cela implique notamment de vérifier la représentativité des âges, des pathologies et des territoires.

Article 11 et Annexe IV — Documentation technique. La documentation décrit la conception, l'architecture, les choix d'entraînement, les indicateurs de performance et les limites du système. Elle est mise à disposition des autorités nationales compétentes sur demande.

Article 12 — Journalisation (logging). Les évènements clés sont enregistrés automatiquement pour permettre la traçabilité a posteriori des décisions de tarification.

Article 13 — Transparence et information du déployeur. Le fournisseur fournit une notice d'utilisation claire indiquant les caractéristiques, capacités et limites du système. Lorsque la mutuelle est elle-même fournisseur et déployeur, elle prépare cette notice pour ses équipes internes.

Article 14 — Supervision humaine. Un opérateur formé peut comprendre la décision IA, l'ignorer, l'annuler ou revenir à un traitement manuel. La supervision humaine ne peut être purement formelle.

Étape du cycle	Action concrète	Référence AI Act
Conception	Cartographier les variables et leur lien avec la santé	Art. 9
Données	Auditer les biais d'âge, de genre, de territoire	Art. 10
Documentation	Constituer le dossier technique Annexe IV	Art. 11
Mise en service	Activer la journalisation automatique	Art. 12
Exploitation	Former les souscripteurs à la lecture des scores	Art. 14
Audit	Réviser annuellement les indicateurs de performance	Art. 9 + Art. 72

Pour structurer cette démarche, l'audit IA PME regulia propose une grille adaptée au secteur assurantiel.

3. Obligations pour la détection de fraude IA

La détection de fraude médicale par IA — alertes sur facturations atypiques, scoring de devis, détection de réseaux de praticiens à risque — ne figure pas explicitement dans la même rubrique de l'Annexe III que la tarification. Toutefois, lorsqu'elle produit des décisions individuelles à l'encontre d'un assuré ou d'un professionnel de santé, elle peut relever de l'Annexe III, point 5 ou point 6, selon la finalité exacte. Une analyse de qualification est donc indispensable [à vérifier au cas par cas].

Trois exigences se détachent.

Justification des critères d'alerte. L'Article 11 impose de documenter la logique sous-jacente du modèle. Pour la fraude, cela suppose de tracer les seuils, les pondérations et les sources de données utilisées.

Vérification humaine systématique avant décision défavorable. L'Article 14 du Règlement (UE) 2024/1689 interdit qu'une décision préjudiciable repose uniquement sur la sortie de l'IA. L'Article 22 du RGPD impose en parallèle un droit d'intervention humaine pour toute décision automatisée individuelle. Les deux régimes se cumulent.

Gestion des biais. L'Article 10 exige de surveiller activement les biais — notamment ceux qui pourraient cibler de manière disproportionnée certaines catégories d'assurés ou de praticiens. Une revue statistique des taux de faux positifs par segment est attendue.

Information de la personne concernée. L'Article 26, paragraphe 11, impose au déployeur d'informer les personnes physiques soumises à une décision prise sur le fondement de l'IA à haut risque. Cette information doit être claire et compréhensible.

Vous pilotez la conformité d'une mutuelle santé ?

regulia propose un pack documentaire dédié — registre AI Act, FRIA, notice assurés, fiches procédure — calibré pour les PME mutualistes. Recevez le détail du pack en moins de 24 heures.

Demander le pack mutuelle santé

4. Risques et sanctions en cas de non-conformité

L'Article 99 du Règlement (UE) 2024/1689 organise un régime de sanctions à plusieurs étages. Contrairement à une idée répandue, le plafond de 4 % ne correspond pas à l'AI Act — ce taux relève du RGPD. L'AI Act applique ses propres seuils.

Manquement	Plafond Article 99
Non-respect des pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial annuel
Manquement aux obligations applicables aux systèmes à haut risque (fournisseurs, déployeurs)	15 M€ ou 3 % du CA mondial annuel
Fourniture d'informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial annuel

L'Article 99, paragraphe 6, prévoit des plafonds réduits pour les PME et les jeunes pousses : le montant retenu est le plus faible des deux valeurs (montant fixe ou pourcentage du CA), et non le plus élevé. Cette modulation atténue l'impact financier des sanctions pour les structures de taille moyenne.

À ces sanctions s'ajoutent :

Les actions individuelles des assurés sur le fondement du RGPD, notamment pour décision automatisée non conforme (Art. 22 RGPD).
Les actions des associations d'assurés.
Les mesures correctives ordonnées par l'autorité nationale compétente : retrait du marché, rappel, restriction de mise en service (Article 82 du Règlement).
L'atteinte réputationnelle, particulièrement sensible dans le secteur mutualiste qui repose sur la relation de confiance.

Pour le détail du barème et un simulateur PME, consulter l'article Sanctions AI Act pour PME : amendes Article 99.

5. Exigences techniques : transparence et explication

L'Article 13 du Règlement (UE) 2024/1689 impose que les systèmes à haut risque soient conçus pour être suffisamment transparents afin de permettre aux déployeurs d'interpréter leurs sorties et de les utiliser correctement. Cette exigence s'articule autour de quatre piliers.

Documentation technique accessible. Le dossier prévu à l'Annexe IV doit pouvoir être communiqué dans une langue compréhensible aux autorités françaises de surveillance du marché — vraisemblablement l'ACPR pour le secteur assurantiel, la CNIL pour la dimension données personnelles, et la DGCCRF pour la protection du consommateur [coordination interautorités à vérifier au fil des décrets d'application].

Méthodes d'explication des décisions IA. Les approches SHAP, LIME ou les analyses de contre-factuels sont couramment mobilisées. Le Règlement ne prescrit pas de méthode, mais la CNIL recommande dans ses fiches pratiques IA d'aligner la méthode sur le niveau de risque pour la personne.

Auditabilité. Les journaux générés au titre de l'Article 12 doivent permettre de reconstituer a posteriori les décisions individuelles. La durée de conservation des logs est précisée à l'Article 19 : au moins six mois, sous réserve d'obligations supérieures imposées par d'autres réglementations.

Formation des équipes (Article 4). Depuis le 2 février 2025, l'Article 4 impose aux fournisseurs et déployeurs de prendre des mesures pour garantir un niveau suffisant de littératie en IA de leurs équipes. Cette obligation est transversale et ne dépend pas du niveau de risque du système.

Pilier technique	Article AI Act	Indicateur de conformité
Documentation	Art. 11 + Annexe IV	Dossier technique à jour, signé
Explicabilité	Art. 13	Méthode formalisée, testée par échantillonnage
Journalisation	Art. 12 + Art. 19	Logs > 6 mois, intégrité garantie
Littératie	Art. 4	Programme de formation tracé

6. Recommandations pour la mise en conformité

La mise en conformité d'une mutuelle santé suit un séquencement à six étapes. Chaque étape doit être documentée et datée pour constituer un faisceau de preuves opposable à l'autorité de surveillance.

Cartographier les systèmes d'IA déployés ou en projet. Inclure les modules embarqués dans les solutions tierces (CRM, gestion sinistres, outils antifraude). Le registre AI Act est l'instrument central — voir pillar AI Act PME France.
Qualifier chaque système au regard de l'Annexe III. Distinguer les systèmes haut risque, les systèmes à transparence renforcée (Article 50) et les systèmes à risque limité.
Conduire une analyse d'impact sur les droits fondamentaux (FRIA, Article 27) pour chaque système haut risque déployé. Cette obligation pèse spécifiquement sur certains déployeurs, dont les organismes assurantiels [périmètre exact à vérifier selon la qualification publique/privée de la mutuelle].
Constituer le dossier technique Annexe IV ou exiger sa fourniture par le fournisseur tiers.
Mettre en place les processus de supervision humaine, de journalisation et de surveillance post-commercialisation (Article 72).
Former les équipes opérationnelles, juridiques et techniques (Article 4).

L'effort initial est concentré sur les phases 1 à 3. Les phases 4 à 6 relèvent ensuite d'un fonctionnement courant à intégrer aux processus qualité existants — idéalement adossés à une démarche ISO/IEC 42001:2023.

Démarrer votre mise en conformité AI Act

Recevez le formulaire de qualification regulia : 12 questions pour situer votre mutuelle face aux obligations Article 9 à 27. Réponse personnalisée sous 48 heures ouvrées.

Lancer la qualification

7. Ressources et assistance disponibles

Plusieurs ressources publiques accompagnent les mutuelles dans la mise en conformité.

AI Act Service Desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) : point d'entrée officiel pour les questions d'interprétation et l'accompagnement des PME.
CNIL (cnil.fr/fr/intelligence-artificielle) : fiches pratiques IA publiées en plusieurs vagues depuis 2024, couvrant la base légale, le test d'intérêt légitime, les transferts internationaux et les droits des personnes.
ACPR (acpr.banque-france.fr) : autorité de contrôle prudentiel et de résolution, compétente pour le secteur assurantiel.
HAS (has-sante.fr) : grille d'évaluation des dispositifs médicaux à composante IA — pertinente pour les outils de prévention santé déployés par certaines mutuelles.
Texte consolidé : artificialintelligenceact.eu (suivi communautaire), eur-lex.europa.eu/eli/reg/2024/1689 (version officielle).

Le portail regulia centralise les références utiles sur sa page sources.

8. Priorités stratégiques pour les PME mutuelles

Pour une mutuelle de 10 à 250 salariés, les arbitrages budgétaires sont serrés. Quatre priorités se dégagent.

Priorité 1 — Identifier sans délai les systèmes d'IA en production. Sans cartographie, aucune autre action n'est possible. Cet exercice mobilise les directions SI, juridique et métiers.

Priorité 2 — Évaluer les risques pour les assurés. L'évaluation doit être proportionnée à la sensibilité des données (santé) et à l'impact des décisions (tarification, refus de prise en charge, alerte fraude). Un système peut paraître bénin en interne et lourd de conséquences pour l'assuré.

Priorité 3 — Planifier l'audit et la conformité à horizon 2 août 2026. Le calendrier de l'Article 113 prévoit l'application des obligations applicables aux systèmes à haut risque listés en Annexe III à cette date. Un projet de 18 mois en moyenne est à anticiper.

Priorité 4 — Communiquer avec les assurés. La transparence n'est pas seulement une obligation juridique. Elle est un actif réputationnel. Les fiches pratiques de la CNIL fournissent des modèles d'information.

Priorité	Horizon de décision	Décideur principal
Cartographie	Immédiat	Direction générale
Évaluation des risques	3 mois	DPO + responsable conformité
Plan d'audit et conformité	6 mois	Direction des systèmes d'information
Communication assurés	9 mois	Direction de la communication

FAQ

Quels délais ai-je pour me conformer à l'AI Act ?

L'Article 113 du Règlement (UE) 2024/1689 prévoit une application échelonnée. Les pratiques interdites de l'Article 5 s'appliquent depuis le 2 février 2025. L'obligation de littératie de l'Article 4 s'applique également depuis cette date. Les obligations propres aux systèmes à haut risque listés en Annexe III — donc la tarification santé — s'appliquent à partir du 2 août 2026. Les systèmes à haut risque embarqués dans des produits couverts par d'autres réglementations sectorielles bénéficient d'un délai jusqu'au 2 août 2027.

Quelles sont les sanctions pour une mutuelle non conforme ?

L'Article 99 du Règlement (UE) 2024/1689 prévoit jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial annuel pour la plupart des manquements aux obligations applicables aux systèmes à haut risque. Le paragraphe 6 module ces plafonds pour les PME en retenant le plus faible des deux montants. À cela s'ajoutent les sanctions RGPD (jusqu'à 20 M€ ou 4 % du CA mondial annuel) et les actions individuelles des assurés.

Dois-je modifier mes systèmes d'IA existants ?

La modification dépend de l'analyse de conformité. Un système conforme aux Articles 9 à 15 peut rester en l'état, sous réserve d'être documenté, journalisé et supervisé. Un système qui ne respecte pas les exigences de gouvernance des données (Art. 10) ou de supervision humaine (Art. 14) doit être adapté avant le 2 août 2026.

Quel budget prévoir pour la conformité ?

Aucune fourchette officielle n'existe. À titre indicatif et hors solutions logicielles, les retours terrain pour des PME mutualistes situent les premiers chantiers entre 15 000 et 40 000 € (cartographie, FRIA, dossier technique, formation initiale) [estimation à valider selon le périmètre]. Les outils mutualisés type pack documentaire regulia abaissent ce ticket d'entrée.

Comment expliquer l'IA aux assurés ?

L'information doit être loyale, claire et accessible. L'Article 26, paragraphe 11, du Règlement (UE) 2024/1689 impose au déployeur d'informer les personnes physiques soumises à une décision IA à haut risque. Les modèles publiés par la CNIL — notice intégrée au parcours souscription, mention sur les correspondances de tarification, FAQ dédiée — constituent une base directement réutilisable.

Sources officielles

AI Act Service Desk (Commission européenne) — ai-act-service-desk.ec.europa.eu
Règlement (UE) 2024/1689 — version officielle EUR-Lex — eur-lex.europa.eu/eli/reg/2024/1689
Texte consolidé et suivi communautaire — artificialintelligenceact.eu
CNIL — fiches pratiques IA — cnil.fr/fr/intelligence-artificielle
ISO/IEC 42001:2023 — Systèmes de management de l'IA — iso.org

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.