TL;DR
L'essentiel en 30 secondes
- Un système d'IA de détection de fraude en assurance relève de la catégorie haut risque au sens de l'Article 6 du Règlement (UE) 2024/1689.
- Obligations principales : documentation technique, gestion des risques, supervision humaine, transparence (Art. 9 à 15 de l'AI Act).
- Articulation RGPD impérative : base légale, DPIA (Art. 35 RGPD), droits liés aux décisions automatisées (Art. 22 RGPD).
- Sanctions : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les manquements les plus graves (Art. 99 AI Act).
- ISO/IEC 42001:2023 fournit le cadre de management adapté pour structurer la conformité.
- Calendrier critique : conformité exigible pour les systèmes haut risque à partir du 2 août 2026.
1. Contexte du cas pratique
Prenons une compagnie d'assurance française fictive, AssurExemple, 150 salariés, 80 M€ de primes annuelles. Elle commercialise des contrats multirisques habitation et automobile. Depuis 2024, AssurExemple exploite un système d'IA qui analyse automatiquement les dossiers de sinistres pour signaler les cas suspects de fraude.
Le système traite :
- Données d'identité des assurés (nom, adresse, date de naissance).
- Historique des sinistres déclarés et indemnisations versées.
- Données financières (RIB, comportement de paiement).
- Métadonnées des pièces justificatives transmises (photos, factures).
L'objectif opérationnel est double : réduire la sinistralité frauduleuse et accélérer le règlement des dossiers légitimes. L'enjeu réglementaire l'est tout autant. Ce cas illustre la rencontre entre l'EU AI Act, le RGPD et le droit français des assurances.
Cet article fait suite au pillar AI Act pour les PME françaises, qui expose le cadre général. Nous descendons ici au niveau opérationnel d'un cas sectoriel précis.
2. Classification réglementaire : un système à haut risque
L'Article 6 du Règlement (UE) 2024/1689 définit les systèmes d'IA à haut risque selon deux voies : ceux relevant des produits couverts par l'annexe I, et ceux listés à l'annexe III.
L'annexe III, point 5(b) vise expressément les systèmes d'IA destinés à être utilisés pour évaluer le risque ou tarifer en assurance vie et santé. Pour la détection de fraude en multirisques habitation et automobile, la qualification repose sur l'analyse au cas par cas du sous-jacent : si le système conditionne directement le refus d'indemnisation ou la résiliation d'un contrat, l'impact sur les droits du consommateur justifie une qualification haut risque [à vérifier selon usage précis].
Tableau : qualification du système AssurExemple
| Critère AI Act | Application au cas AssurExemple | Conséquence |
|---|---|---|
| Art. 6 + Annexe III §5 | Système influençant la décision d'indemnisation | Haut risque |
| Art. 3(1) — définition d'un système d'IA | Algorithme déduisant des sorties à partir d'entrées | Inclus dans le champ |
| Art. 6(3) — exception | Tâche purement préparatoire ? | Non, le score impacte la décision |
| Annexe I — produits régulés | Sans objet | Voie annexe III retenue |
La conséquence est nette : AssurExemple doit appliquer l'intégralité du chapitre III, section 2 du Règlement, soit les Articles 8 à 27.
3. Obligations clés sous l'EU AI Act
Le fournisseur d'un système haut risque cumule sept obligations structurantes. AssurExemple est ici déployeur au sens de l'Art. 3(4), mais elle peut basculer en fournisseur si elle modifie substantiellement un modèle tiers (Art. 25). Cette distinction conditionne le périmètre exact.
Tableau : obligations applicables selon le rôle
| Obligation | Référence | Fournisseur | Déployeur |
|---|---|---|---|
| Système de gestion des risques | Art. 9 | Oui | Vérifier sa mise en œuvre |
| Gouvernance des données d'entraînement | Art. 10 | Oui | Documenter les données d'entrée |
| Documentation technique | Art. 11 + Annexe IV | Oui | Conserver les éléments fournis |
| Tenue de journaux (logging) | Art. 12 | Oui | Conserver pendant 6 mois minimum (Art. 26) |
| Transparence et information utilisateur | Art. 13 | Oui | Informer les assurés concernés |
| Supervision humaine | Art. 14 | Concevoir | Mettre en œuvre |
| Exactitude, robustesse, cybersécurité | Art. 15 | Oui | Surveiller en exploitation |
| DPIA RGPD | Art. 35 RGPD + Art. 27 AI Act | — | Oui (FRIA) |
| Enregistrement base UE | Art. 49 + 71 | Oui | Vérifier inscription |
L'Article 27 introduit la « fundamental rights impact assessment » (FRIA), distincte du DPIA RGPD. Pour AssurExemple, déployeur de droit privé fournissant un service essentiel, l'analyse FRIA est exigée. Elle documente les catégories de personnes affectées, les risques de discrimination, et les mesures de mitigation.
4. Mise en œuvre concrète : feuille de route AssurExemple
La conformité ne se décrète pas. Elle se construit par étapes contractuelles et opérationnelles.
- Cartographier tous les systèmes d'IA en production et en projet, avec leur qualification AI Act.
- Auditer le système de détection de fraude : données d'entraînement, performances par segment, taux de faux positifs.
- Conduire la DPIA auprès du DPO selon les lignes directrices de la CNIL.
- Rédiger la FRIA au sens de l'Art. 27 et la notifier à l'autorité de surveillance désignée.
- Documenter techniquement le système selon l'Annexe IV (descriptif, conception, monitoring).
- Former les gestionnaires sinistres à la supervision humaine effective des alertes.
- Mettre en place un canal de recours pour les assurés contestant une décision.
- Auditer annuellement la performance et la dérive du modèle.
Tableau : calendrier indicatif
| Échéance | Action |
|---|---|
| 2 février 2025 | Interdictions de l'Art. 5 applicables — vérifier absence de pratiques prohibées |
| 2 août 2025 | Obligations relatives aux modèles GPAI applicables |
| 2 août 2026 | Obligations haut risque applicables à AssurExemple |
| 2 août 2027 | Extension aux systèmes haut risque liés à des produits régulés |
Pack documentaire AI Act haut risque
Modèles de DPIA, FRIA, registre des systèmes, fiches de supervision humaine et politique de gouvernance IA, conformes à l'Art. 9 à 27 du Règlement (UE) 2024/1689.
Demander le pack documentaire5. Gestion des données personnelles : articulation RGPD
Le considérant 10 de l'AI Act rappelle que le Règlement s'applique sans préjudice du RGPD. AssurExemple doit donc traiter les deux couches simultanément.
5.1 Base légale du traitement
Pour la détection de fraude, l'intérêt légitime (Art. 6(1)(f) RGPD) est la base la plus fréquemment retenue, sous réserve de mise en balance documentée. La CNIL admet cette base pour la lutte antifraude en assurance, sous condition de proportionnalité.
5.2 Droits des assurés concernés
L'Article 22 du RGPD reconnaît à toute personne le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l'affectant significativement. Le refus automatique d'indemnisation tombe dans ce champ.
Pour respecter ce droit, AssurExemple doit :
- Garantir une intervention humaine systématique avant tout refus définitif.
- Informer l'assuré de l'existence du traitement algorithmique.
- Permettre à l'assuré d'exprimer son point de vue et de contester la décision.
- Communiquer « des informations utiles concernant la logique sous-jacente » au traitement (Art. 15(1)(h) RGPD).
5.3 Minimisation et durée de conservation
| Catégorie de données | Finalité | Durée recommandée CNIL |
|---|---|---|
| Données d'identité | Gestion du contrat | Durée du contrat + 2 à 5 ans |
| Historique sinistres | Détection fraude | 5 ans après dernier sinistre |
| Logs de décision IA | Traçabilité Art. 12 AI Act | 6 mois minimum, alignés sur archivage assurance |
| Données financières | Recouvrement et antifraude | Selon Code monétaire et financier |
Consulter le glossaire regulia pour les définitions précises de DPIA, FRIA, déployeur et fournisseur.
6. Supervision humaine, formation et responsabilités
L'Article 14 du Règlement (UE) 2024/1689 impose une supervision humaine effective des systèmes haut risque. Le terme « effective » exclut la validation purement formelle des sorties algorithmiques. Le gestionnaire sinistre doit comprendre la suggestion, pouvoir l'écarter, et tracer sa décision finale.
6.1 Niveaux de supervision
| Niveau | Description | Application AssurExemple |
|---|---|---|
| Human-in-the-loop | Validation humaine systématique avant action | Refus d'indemnisation |
| Human-on-the-loop | Surveillance en continu, intervention possible | Priorisation des dossiers |
| Human-in-command | Capacité d'arrêt et de neutralisation | Coupure du système en cas de dérive |
6.2 Formation des équipes
L'Article 4 impose à tous les acteurs un niveau suffisant de littératie en IA. AssurExemple doit former :
- Gestionnaires sinistres : interprétation des scores, biais possibles, droit de contestation.
- DPO : articulation RGPD/AI Act, conduite de DPIA et FRIA.
- RSSI : exigences de cybersécurité de l'Art. 15.
- Direction juridique : qualification et responsabilité.
- Direction générale : reporting et arbitrages stratégiques.
6.3 Répartition des responsabilités
| Fonction | Rôle dans la conformité AI Act |
|---|---|
| Direction générale | Validation FRIA et politique IA |
| DPO | DPIA, droits des personnes, registre |
| IA Lead / Data | Documentation technique, monitoring |
| RSSI | Cybersécurité, intégrité du modèle |
| Juridique | Contrats fournisseurs, conformité globale |
| Métier | Supervision humaine au quotidien |
7. Sanctions et risques associés
L'Article 99 du Règlement (UE) 2024/1689 organise un régime de sanctions en trois paliers, calé sur la nature du manquement.
Tableau : régime des sanctions AI Act
| Manquement | Plafond financier | Article AI Act |
|---|---|---|
| Pratiques d'IA interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99(3) |
| Manquements aux obligations haut risque | 15 M€ ou 3 % du CA mondial | Art. 99(4) |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99(5) |
Pour les PME et start-ups, le plafond retenu est le montant le plus bas entre la somme fixe et le pourcentage, par dérogation expresse (Art. 99(6)).
Pour AssurExemple, 80 M€ de chiffre d'affaires, un manquement haut risque pourrait théoriquement atteindre 2,4 M€ (3 %). La règle PME limite ce plafond. L'analyse complète des sanctions et le simulateur dédié figurent dans l'article Sanctions AI Act pour les PME.
Risques non financiers
- Réputationnel : la presse spécialisée et les associations de consommateurs surveillent activement les décisions algorithmiques discriminantes en assurance.
- Contractuel : les réassureurs et partenaires bancaires intègrent désormais des clauses de conformité AI Act.
- Commercial : un défaut de transparence peut entraîner la résiliation par les assurés ou un déréférencement par les courtiers.
- Pénal : en cas de discrimination prouvée, le Code pénal français s'applique en parallèle.
8. Recommandations pour les PME du secteur assurance
L'approche par paliers est la seule réaliste pour une structure de 150 salariés. Le tout-en-un est un piège : il génère des coûts élevés sans hiérarchiser les risques.
8.1 Priorisation des chantiers
- Cartographie des systèmes d'IA existants et prévus.
- Qualification AI Act et identification des systèmes haut risque.
- DPIA et FRIA pour les systèmes prioritaires.
- Documentation technique alignée sur l'Annexe IV.
- Mise en place de la supervision humaine opérationnelle.
- Formation transverse (Art. 4).
- Intégration ISO/IEC 42001:2023 comme cadre de management.
- Audits annuels internes et externes.
8.2 Quel cadre normatif ?
| Norme | Apport pour AssurExemple |
|---|---|
| ISO/IEC 42001:2023 | Système de management de l'IA (AIMS) |
| ISO/IEC 23894:2023 | Gestion du risque appliquée à l'IA |
| ISO/IEC 27001:2022 | Sécurité de l'information, base RSSI |
| Guide Cigref AI Act (janvier 2025) | Bonnes pratiques sectorielles |
Le couplage ISO 42001 + DPIA RGPD couvre une grande partie des exigences de l'AI Act sans dupliquer la gouvernance existante.
8.3 Outils gratuits à mobiliser
- Les 13 fiches pratiques de la CNIL sur l'IA couvrent la base légale, la DPIA, les droits des personnes.
- Le AI Act Service Desk de la Commission européenne répond aux questions de qualification.
- Le registre public des systèmes haut risque (Art. 71) permet le benchmarking concurrentiel.
- La page sources regulia consolide les références utiles aux PME françaises.
Diagnostic conformité AI Act sur mesure
Évaluation de votre système d'IA, qualification réglementaire, gap analysis et feuille de route opérationnelle adaptée à une PME de 10 à 250 salariés.
Demander un diagnosticFAQ
Q : Quel est le délai pour se conformer à l'EU AI Act pour ce type de système ?
R : Les obligations applicables aux systèmes à haut risque visés à l'annexe III du Règlement (UE) 2024/1689 s'appliquent à compter du 2 août 2026. Les pratiques interdites de l'Article 5 sont déjà applicables depuis le 2 février 2025. Une PME comme AssurExemple a donc tout intérêt à engager ses audits internes dès maintenant pour absorber le coût de mise en conformité sur plusieurs exercices.
Q : Comment gérer les droits des assurés concernés par une décision automatisée ?
R : L'Article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. Pour un refus d'indemnisation, AssurExemple doit garantir une intervention humaine effective, informer l'assuré de l'existence du traitement, lui permettre d'exprimer son point de vue et de contester la décision (Art. 22(3) RGPD), et lui communiquer la logique sous-jacente (Art. 15(1)(h) RGPD).
Q : Quelles sont les principales différences avec le RGPD ?
R : Le RGPD encadre le traitement des données personnelles et reste pleinement applicable. L'EU AI Act ajoute des obligations propres aux systèmes d'IA : gestion des risques (Art. 9), gouvernance des données d'entraînement (Art. 10), documentation technique (Art. 11), supervision humaine (Art. 14), enregistrement dans la base UE (Art. 49 et 71) et analyse d'impact sur les droits fondamentaux (Art. 27). Les deux régimes se cumulent.
Q : Comment identifier les risques pour ma PME ?
R : Trois étapes : cartographier les systèmes d'IA utilisés ou développés, les qualifier au regard de l'Article 6 et de l'annexe III, puis évaluer l'impact réel sur les droits des personnes affectées. La CNIL met à disposition 13 fiches pratiques. Le AI Act Service Desk de la Commission répond aux questions de qualification spécifiques.
Q : Quelles ressources sont disponibles pour les PME ?
R : Les sources gratuites incluent la CNIL (cnil.fr), le AI Act Service Desk européen (ai-act-service-desk.ec.europa.eu) et le texte consolidé (artificialintelligenceact.eu). Les guides Cigref et Numeum apportent un éclairage sectoriel. Sur regulia, les articles AI Act pour les PME françaises et Sanctions AI Act complètent ce cas pratique.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé
- EUR-Lex — proposition et procédure législative
- CNIL — fiches pratiques IA et RGPD
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
- ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
- ISO/IEC 27001:2022 — Information security management systems
- Cigref — Guide AI Act (janvier 2025)
- Numeum — Guide AI Act (mars 2025)
- ACPR — Recommandations sur l'utilisation de l'IA dans le secteur financier [à vérifier]
Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.