L'AI Act et l'IA dans l'assurance : systèmes à haut risque, obligations de conformité et ce que les assureurs doivent faire maintenant

Dernière mise à jour : juin 2026 · Temps de lecture : 9 minutes

---

Le secteur de l'assurance compte parmi les premiers et les plus intensifs adopteurs d'IA dans les services financiers. Les modèles actuariels ont cédé la place à des systèmes de machine learning qui évaluent les profils de risque individuels, automatisent les décisions sur les sinistres, détectent la fraude en temps réel et ajustent les primes de manière dynamique. Ce sont des capacités puissantes, et au titre du règlement (UE) 2024/1689, plusieurs d'entre elles attirent le plein poids du régime de conformité à haut risque de l'AI Act.

Cet article examine quelles applications d'IA dans l'assurance relèvent de la classification à haut risque, ce que cela signifie opérationnellement, et comment les assureurs, qu'ils soient fournisseurs d'IA propriétaire ou déployeurs de solutions tierces, devraient aborder la conformité.

---

Où l'IA d'assurance se situe dans la hiérarchie des risques de l'AI Act

L'AI Act ne dispose pas d'une catégorie spécifiquement intitulée « IA d'assurance ». La classification à haut risque de l'annexe III est fondée sur la fonction que le système d'IA remplit, non sur le secteur dans lequel il opère.

Pour les compagnies d'assurance, l'entrée pertinente de l'annexe III est le point 5, point b) : les systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur score de crédit, lorsque ces évaluations concernent des personnes physiques.

Mais le point 5, point b) n'est pas la seule disposition pertinente. Selon l'application spécifique, l'IA d'assurance peut également relever de :

• Point 5, b) : notation des risques et décisions de souscription fonctionnant comme des évaluations de solvabilité
• Point 1 : toute IA biométrique utilisée pour la vérification d'identité ou la détection de fraude impliquant des données biométriques
• Point 6 : IA dans des services privés essentiels affectant l'accès aux produits d'assurance
• Point 4 : IA utilisée dans les décisions d'emploi, si l'assureur utilise également l'IA dans ses propres processus RH

La question du périmètre n'est pas toujours évidente. Les compagnies d'assurance devraient réaliser un exercice de cartographie qui examine chaque système d'IA par rapport à toutes les entrées de l'annexe III.

---

IA de souscription : le cas à haut risque le plus évident

Les systèmes d'IA qui évaluent les profils de risque individuels et génèrent des décisions de souscription, pour l'assurance automobile, santé, habitation ou vie, sont les candidats à haut risque les plus clairs dans le secteur de l'assurance.

Lorsqu'un système d'IA prend les caractéristiques d'une personne physique (âge, localisation, antécédents médicaux, comportement de conduite, caractéristiques du bien) et produit un devis de prime, une décision de couverture ou une recommandation d'exclusion, il remplit une fonction analogue à une évaluation de solvabilité : il détermine l'accès de cette personne à un produit financier et à quelles conditions.

L'annexe III, point 5, point b), désigne comme à haut risque les systèmes d'IA « destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur score de crédit, à l'exception des systèmes d'IA utilisés à des fins de détection de la fraude financière. »

L'exception pour la détection de fraude est importante. Les systèmes d'IA utilisés exclusivement pour détecter des demandes frauduleuses sont exclus du point 5, point b). Cependant, un système combiné qui évalue à la fois les risques et signale les fraudes sera probablement traité comme à haut risque sur la base de sa fonction principale de souscription.

Ce que cela signifie pour les fournisseurs d'IA de souscription

Si vous développez ou vendez des outils de souscription par IA, vous êtes un fournisseur au titre de l'article 3, point 3), et devez vous conformer aux articles 9 à 15. Cela implique :

• Établir un système de gestion des risques selon l'article 9
• Assurer la qualité et la gouvernance des données d'entraînement selon l'article 10
• Produire une documentation technique selon les normes de l'annexe IV
• Intégrer une journalisation automatique selon l'article 12
• Remettre des instructions d'utilisation aux déployeurs selon l'article 13
• Permettre la supervision humaine selon l'article 14
• Satisfaire les exigences de précision et de robustesse selon l'article 15
• Réaliser une évaluation de conformité selon l'article 43
• S'inscrire dans la base de données européenne selon l'article 71

Ce que cela signifie pour les assureurs utilisant une IA de souscription tierce

Si vous êtes un assureur qui concède sous licence et déploie des outils de souscription par IA de tiers, vous êtes un déployeur au titre de l'article 3, point 4), et devez vous conformer à l'article 26, notamment :

• N'utiliser le système que dans le cadre de sa finalité documentée dans les instructions d'utilisation
• Réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement (article 27)
• Assurer la supervision humaine telle que spécifiée par le fournisseur
• Conserver les journaux générés par le système (minimum six mois)
• Signaler les incidents graves au fournisseur et à l'autorité compétente

---

IA de traitement des sinistres : une image plus nuancée

L'IA dans le traitement des sinistres existe sur un spectre allant de l'automatisation administrative à la prise de décision substantielle, et la classification à haut risque de l'AI Act suit cette distinction.

Un système d'IA qui valide une déclaration de sinistre soumise par rapport aux preuves documentées et signale les dossiers incomplets pour révision humaine remplit une fonction administrative, moins susceptible d'atteindre le seuil à haut risque qu'un système qui détermine la validité de la réclamation, calcule les montants de règlement ou recommande le rejet.

Cependant, lorsqu'une IA de sinistres prend ou influence substantiellement des décisions sur la perception par une personne physique d'une prestation en vertu d'un contrat d'assurance, c'est-à-dire une décision sur l'accès à un service financier, elle est susceptible de relever du périmètre de l'annexe III, point 5, point b), ou du point 6.

Le point 6 désigne comme à haut risque les systèmes d'IA utilisés par des entités privées et publiques dans la fourniture de services privés essentiels lorsque l'IA détermine l'accès à ces services ou leurs conditions, pour des personnes physiques qui dépendent de ces services. L'assurance, en particulier la santé et la vie, peut se qualifier de service privé essentiel dans ce sens, bien que la Commission européenne soit attendue pour clarifier les orientations sur le périmètre du point 6 par des actes délégués.

---

IA de détection de fraude : partiellement exemptée, encore régulée

L'exclusion explicite de la détection de fraude de l'annexe III, point 5, point b), ne signifie pas que l'IA de détection de fraude est sans réglementation. Cela signifie seulement qu'elle n'est pas automatiquement classée à haut risque au titre de cette entrée spécifique. De tels systèmes peuvent encore être :

• À haut risque au titre d'une autre entrée de l'annexe III
• Soumis aux obligations générales applicables à tous les systèmes d'IA au titre de l'article 50 (transparence envers les utilisateurs) ou de l'article 52
• Soumis aux obligations RGPD, notamment lors du traitement de données personnelles sensibles pour inférer un risque de fraude

Les assureurs ne devraient pas traiter l'exclusion de la détection de fraude comme une exemption générale de l'AI Act.

---

La question de l'IA de tarification

L'IA de tarification dynamique, les systèmes qui ajustent les primes d'assurance en temps réel sur la base de données comportementales, de la télématique ou de flux de données externes, soulève de nouvelles questions de conformité.

Lorsque ces systèmes individualisent les primes sur la base de caractéristiques corrélées à des attributs protégés (handicap, grossesse, origine ethnique), ils peuvent engager l'interdiction de l'article 5 sur les systèmes d'IA qui exploitent des vulnérabilités personnelles spécifiques, ainsi que le cadre anti-discrimination de l'UE. L'AI Act ne résout pas la pleine portée de ces questions, mais les fournisseurs et déployeurs devraient réaliser des évaluations des risques de discrimination dans le cadre de leurs obligations de gestion des risques de l'article 9.

---

Évaluation d'impact sur les droits fondamentaux : une obligation critique pour les déployeurs

L'article 27 exige des déployeurs de systèmes d'IA à haut risque qu'ils réalisent une évaluation d'impact sur les droits fondamentaux avant le déploiement. Pour les assureurs, ce n'est pas un exercice de conformité superficiel : c'est une enquête substantielle sur la question de savoir si le fonctionnement du système d'IA peut discriminer, exclure ou désavantager des individus d'une façon incompatible avec le droit des droits fondamentaux de l'UE.

L'évaluation doit prendre en compte :

• La nature des droits fondamentaux en jeu (accès à l'assurance, non-discrimination, vie privée)
• La probabilité et la gravité des impacts négatifs
• Les caractéristiques spécifiques de la population concernée
• Les mesures d'atténuation intégrées dans la conception du système

Les assureurs qui ne peuvent pas démontrer une évaluation d'impact sur les droits fondamentaux réalisée avant le déploiement d'un système d'IA à haut risque s'exposent à des mesures d'application des autorités nationales de surveillance du marché.

---

Intersection avec Solvabilité II et la DDA

L'AI Act opère conjointement avec la réglementation sectorielle, non à sa place. Pour les assureurs, Solvabilité II (gouvernance et gestion des risques des algorithmes dans les entreprises d'assurance) et les exigences de la directive sur la distribution d'assurances (DDA) sur le traitement équitable des clients restent pleinement applicables.

L'AI Act ajoute une couche de conformité sans remplacer les exigences existantes. En pratique, l'approche la plus efficace est d'intégrer la planification de la conformité à l'AI Act dans les cadres de gouvernance Solvabilité II existants, en traitant la gestion des risques des systèmes d'IA à haut risque comme une extension de la gestion des risques opérationnels.

L'audit de DILAIG est conçu pour produire les quatre documents obligatoires de l'AI Act, évaluation des risques, documentation technique, instructions d'utilisation et déclaration de conformité, dans un format pouvant être intégré à la documentation réglementaire existante. Démarrez votre audit ou contactez notre équipe pour discuter de conformité spécifique au secteur de l'assurance.

---

FAQ : AI Act et IA dans l'assurance

Toute l'IA d'assurance est-elle soumise à l'AI Act ? Non. Les systèmes d'IA utilisés à des fins purement administratives internes, pour l'analytique marketing (sans décisions individuelles de risque) ou pour des outils de productivité générale ne sont pas automatiquement à haut risque. La classification à haut risque s'applique aux systèmes remplissant les fonctions spécifiques listées à l'annexe III.

L'AI Act s'applique-t-il à l'IA utilisée par les réassureurs ? Oui, si le réassureur commercialise ou utilise des systèmes d'IA à haut risque sur le marché européen. L'AI Act s'applique aux fournisseurs et déployeurs établis dans l'UE ou dont les systèmes sont utilisés dans l'UE, quel que soit le segment spécifique du marché de l'assurance.

Quand les obligations relatives aux systèmes d'IA à haut risque s'appliquent-elles aux assureurs ? La plupart des obligations relatives aux systèmes d'IA à haut risque s'appliquent à compter du 2 août 2026. Les assureurs disposant de systèmes d'IA à haut risque déployés avant cette date peuvent bénéficier d'une période transitoire, sous réserve des conditions de l'article 111.

Que se passe-t-il si le système d'IA d'un assureur entraîne des décisions de souscription discriminatoires ? Outre l'application de l'AI Act, les décisions d'IA discriminatoires peuvent déclencher une action au titre des directives anti-discrimination de l'UE, de l'interdiction par le RGPD des décisions uniquement automatisées produisant des effets significatifs, et des mesures des autorités de régulation nationales de l'assurance. Les conséquences s'additionnent entre les cadres réglementaires.

Les assureurs doivent-ils enregistrer leurs systèmes d'IA dans la base de données européenne ? Si l'assureur est le fournisseur d'un système d'IA à haut risque, oui : l'inscription dans la base de données européenne au titre de l'article 71 est obligatoire avant la mise sur le marché ou la mise en service du système.

---

Principaux points à retenir

• L'IA de souscription qui individualise l'évaluation des risques ou les décisions de tarification est susceptible d'être à haut risque au titre de l'annexe III, point 5, point b).
• L'IA de traitement des sinistres prenant des décisions substantielles sur l'accès aux prestations peut également être qualifiée à haut risque au titre des points 5 b) ou 6.
• L'IA de détection de fraude est exclue du point 5 b) mais peut encore être réglementée par d'autres dispositions.
• Les déployeurs de systèmes d'IA à haut risque doivent réaliser une évaluation d'impact sur les droits fondamentaux avant le déploiement.
• L'AI Act opère conjointement avec, et non à la place de, Solvabilité II et la DDA.
• Les obligations à haut risque s'appliquent à compter du 2 août 2026.
• DILAIG génère les quatre documents de conformité obligatoires pour les fournisseurs et déployeurs d'IA dans l'assurance.

---

Sources

• Règlement (UE) 2024/1689 — Texte intégral, Journal officiel de l'UE, 12 juillet 2024
• Annexe III — Systèmes d'IA à haut risque, y compris le point 5 b)
• Article 9 — Système de gestion des risques
• Article 26 — Obligations des déployeurs
• Article 27 — Évaluation d'impact sur les droits fondamentaux
• Directive Solvabilité II 2009/138/CE
• Directive sur la distribution d'assurances 2016/97/UE