IA Act & Assurance : souscription automatisée, scoring sinistres et détection de fraude
La souscription automatisée et le scoring sinistres en assurance relèvent clairement du haut risque sous l'IA Act. Ce guide détaille quels systèmes sont concernés, quelle documentation technique est requise, et comment les obligations se répartissent entre assureurs et éditeurs logiciels.
L'assurance est une industrie fondée sur la donnée et la classification du risque. L'IA a accéléré chaque segment de la chaîne de valeur — de la souscription et la tarification au traitement des sinistres et à la détection de fraude. Elle a aussi créé un problème de conformité que l'IA Act rend impossible à ignorer.
Contrairement au retail, où la plupart des outils IA sont à risque minimal, l'IA dans l'assurance se situe à proximité — ou directement à l'intérieur — du niveau haut risque. Ce guide explique où se tracent les lignes, quelles obligations documentaires s'appliquent, et comment les responsabilités se répartissent entre assureurs (en tant que déployeurs) et éditeurs de logiciels (en tant que fournisseurs).
Le problème central de classification
L'annexe III §5(b) du règlement (UE) 2024/1689 liste comme haut risque tout système IA utilisé pour :
« évaluer la solvabilité de personnes physiques ou établir leur score de crédit, à l'exception des systèmes d'IA utilisés à des fins de détection des fraudes financières »
La souscription d'assurance relève précisément de cette définition : évaluer le profil de risque d'un individu pour décider d'accorder ou non une couverture et à quel prix. Le règlement ne vise pas seulement le « crédit » au sens bancaire strict — il couvre plus largement l'évaluation de l'éligibilité des individus aux services financiers, dont l'assurance.
Les deux questions à se poser :
- Le système prend-il ou influence-t-il substantiellement une décision relative à l'obtention d'une couverture ou au prix payé par un individu ?
- Cette décision constitue-t-elle une évaluation de son profil de risque financier ?
Si les deux réponses sont oui, le système est haut risque.
La souscription automatisée : haut risque par défaut
Les systèmes de souscription automatisée — qu'ils soient basés sur des règles avec enrichissements ML, ou entièrement pilotés par modèles — évaluent le risque individuel à partir de données personnelles (âge, historique médical, dossier de conduite, localisation du bien, historique financier). L'output influence ou détermine si une police est émise et à quelle prime.
C'est le cœur de l'annexe III §5(b). Que l'assureur appelle cela « souscription », « scoring d'éligibilité » ou « modèle de tarification » ne change rien sur le plan juridique. C'est la fonction qui compte.
Obligations déclenchées (pour les fournisseurs du système IA) :
- Documentation technique complète selon l'annexe IV (architecture du système, description des données d'entraînement, métriques de précision et de robustesse, finalité prévue, limites connues)
- Mise en place d'un système de gestion de la qualité (article 17)
- Évaluation de conformité avant la mise sur le marché (article 43)
- Marquage CE et déclaration UE de conformité (articles 47–48)
- Enregistrement dans la base de données IA de l'UE (article 71)
Obligations déclenchées (pour les assureurs en tant que déployeurs) :
- Vérifier que le système dispose du marquage CE et d'une documentation conforme avant déploiement (article 26)
- Mettre en place des mesures de surveillance humaine (article 14) : un humain doit pouvoir examiner et invalider les décisions automatisées
- Informer les individus lorsqu'une décision les concernant a été prise à l'aide d'un système IA haut risque (article 86)
- Tenir des journaux et surveiller les performances du système après déploiement (article 72)
- Désigner une personne responsable de la surveillance
Le scoring sinistres et l'aide à la décision
Les systèmes de scoring sinistres évaluent la légitimité d'un sinistre et suggèrent ou déterminent les montants d'indemnisation. Ils se situent dans une zone grise selon leur architecture et leur mode d'utilisation.
| Type de système | Catégorie de risque | Justification |
|---|---|---|
| Outil de triage / orientation des sinistres | Risque minimal ou limité | Ne détermine pas l'indemnisation ; oriente vers un expert humain |
| Système de recommandation de règlement de sinistres | Haut risque | Influence une décision financière affectant l'individu |
| Outil de rejet automatisé des sinistres | Haut risque | Décision directe sur l'accès de l'individu à un avantage financier |
| Allocation interne de la charge de travail sinistres | Risque minimal | N'affecte pas le résultat pour l'individu |
La variable clé est l'impact décisionnel sur l'individu. Un système qui indique à un expert sinistres humain « cette demande semble ordinaire » est un outil de workflow. Un système qui calcule un montant d'indemnisation et l'applique sans examen humain réel prend une décision financière — et est haut risque.
La détection de fraude : l'exception explicite
L'article 6 et l'annexe III §5(b) prévoient une exception spécifique : les systèmes IA utilisés à des fins de détection des fraudes financières ne sont pas classifiés comme haut risque au titre de la disposition sur la solvabilité/le scoring.
Cela a une importance considérable pour les assureurs. Les outils de détection des fraudes aux sinistres — systèmes qui signalent des schémas suspects dans les déclarations — bénéficient de cette exemption. Ils relèvent généralement du risque minimal ou du risque limité selon leurs outputs.
Nuance importante : l'exemption s'applique spécifiquement à la fonction de détection de fraude. Si un seul système détecte à la fois les fraudes et établit le score d'un sinistre pour déterminer l'indemnisation, la composante de scoring sinistre reste soumise aux obligations haut risque. On ne peut pas utiliser un système à double usage pour exonérer la fonction haut risque.
Implication pratique pour l'InsurTech : maintenir la logique de détection de fraude et la logique de décision sinistre séparées sur le plan architectural. Documenter explicitement cette séparation. Ce n'est pas seulement une bonne pratique — c'est le fondement d'un argument de conformité défendable.
Interaction avec Solvabilité II
Solvabilité II (directive 2009/138/CE) impose déjà des exigences de gouvernance des modèles aux assureurs — ORSA (Own Risk and Solvency Assessment), validation des modèles internes et cadres de gouvernance. L'IA Act ne remplace pas Solvabilité II : les deux cadres s'appliquent simultanément.
Il existe un chevauchement significatif dans les exigences documentaires. La documentation technique de l'annexe IV de l'IA Act et les exigences de documentation des modèles de Solvabilité II partagent des éléments communs : gouvernance de la qualité des données, tests de précision, suivi des performances et divulgation des limites des modèles.
En pratique, les assureurs devraient traiter l'infrastructure de gouvernance des modèles de Solvabilité II comme fondation et l'étendre pour répondre aux exigences de l'IA Act. Le coût marginal de conformité à l'IA Act est plus faible pour les assureurs qui maintiennent déjà une documentation Solvabilité II rigoureuse que pour les entreprises qui partent de zéro.
Tableau de classification récapitulatif
| Cas d'usage IA en assurance | Catégorie de risque | Disposition clé |
|---|---|---|
| Souscription automatisée / scoring d'éligibilité | Haut risque | Annexe III §5(b) |
| Modèle de tarification individuelle | Haut risque | Annexe III §5(b) |
| Recommandation de règlement de sinistres | Haut risque | Annexe III §5(b) |
| Rejet automatisé de sinistres | Haut risque | Annexe III §5(b) |
| Détection de fraude aux sinistres (standalone) | Risque minimal | Exemption explicite §5(b) |
| Triage / orientation des sinistres | Risque minimal | Pas de déclencheur annexe III |
| Chatbot service client | Risque limité | Article 50 (transparence) |
| Automatisation des processus internes (hors décision) | Risque minimal | Pas de déclencheur annexe III |
| Scoring télématique pour la tarification auto | Haut risque | Annexe III §5(b) |
Fournisseur vs. déployeur : qui fait quoi
Le règlement distingue les fournisseurs (ceux qui développent et mettent sur le marché des systèmes IA) et les déployeurs (ceux qui utilisent des systèmes IA dans leurs opérations).
Dans l'assurance, cela signifie :
Les éditeurs InsurTech et fournisseurs de logiciels sont des fournisseurs. Ils doivent s'assurer que leurs systèmes de souscription ou de scoring sont conformes avant de les vendre aux assureurs — notamment le marquage CE, la documentation technique et l'enregistrement.
Les assureurs qui utilisent des outils IA tiers sont des déployeurs. Ils ne peuvent pas externaliser entièrement leur responsabilité. Même si le fournisseur fournit une documentation conforme, l'assureur doit : vérifier cette documentation, mettre en place une surveillance humaine, tenir des journaux et informer les personnes concernées.
Si un assureur développe son propre IA de souscription en interne, il est simultanément fournisseur et déployeur, et les deux ensembles d'obligations s'appliquent.
Étapes pratiques de conformité pour assureurs et InsurTechs
Pour les éditeurs InsurTech :
- Identifier tous les systèmes IA qui réalisent une évaluation du risque individuel, un scoring ou une tarification
- Compléter la documentation technique de l'annexe IV pour chaque système haut risque
- Mettre en place la gestion de la qualité selon l'article 17
- Réaliser l'évaluation de conformité et obtenir le marquage CE avant le déploiement commercial
- S'enregistrer dans la base de données IA de l'UE (article 71)
- Maintenir un plan de surveillance post-commercialisation
Pour les assureurs (déployeurs) :
- Auditer tous les outils IA utilisés et obtenir la documentation de conformité des fournisseurs
- Vérifier le marquage CE et l'enregistrement dans la base de données UE pour tous les systèmes haut risque
- Documenter les procédures de surveillance humaine selon l'article 14
- Mettre en place les processus de notification individuelle selon l'article 86
- Établir des procédures de signalement d'incidents selon l'article 73
- Croiser la documentation IA Act avec les fichiers de gouvernance des modèles Solvabilité II existants
DILAIG cartographie vos systèmes IA en assurance dans leur catégorie de risque, génère automatiquement la documentation technique de l'annexe IV, et suit le statut de conformité de votre portefeuille fournisseurs. Lancez votre audit sur dilaig.com.