L’Autorité européenne des assurances et des pensions professionnelles (AEAPP ou EIOPA en anglais) a diffusé, en plein cœur de l’été, un avis sur la gouvernance de l’intelligence artificielle (IA) et la gestion des risques. Cet avis vise à clarifier les grands principes et les exigences qui devraient imprégner la législation nationale s’agissant du recours à l’IA dans le secteur de l’assurance.
Dans son avis paru le 6 août dernier (reproduit intégralement en fin d’article) l’EIOPA insiste bien sur le caractère pédagogique du document. Il ne s’agit pas là de la création de nouvelles exigences ou obligations. L’objectif est seulement de rendre les choses plus claires et de donner quelques orientations afin d’aider les autorités nationales dans leurs travaux. L’Autorité européenne annonce qu’elle passera au crible les modalités de surveillance des autorités nationales en 2027. Elle vérifiera alors si l’avis aura permis d’uniformiser les pratiques de surveillance d’un Etat membre à l’autre.
Le document rappelle ainsi qu’en vertu de l’application du principe de gouvernance issu de la directive sur la distribution d’assurances (DDA) les professionnels doivent évaluer les risques des systèmes d’intelligence artificielle qu’ils utilisent. La profondeur de l’évaluation dépend évidemment de l’impact de l’IA sur l’entreprise et ses clients (plus l’impact potentiel est grand, plus l’évaluation doit être approfondie). Cette évaluation des risques implique également la portée prudentielle de l’utilisation de l’IA par les organismes d’assurance selon l’Autorité européenne.
Une fois l’analyse d’impact réalisée, l’EIOPA explique que les entreprises devraient en tirer les conséquences. Cela passe par la mise en œuvre des mesures pour garantir une utilisation de l’IA compatible avec les exigences légales et réglementaires (notamment une adaptation de la gouvernance et de la gestion des risques liés à l’IA). A ce titre l’Autorité européenne donne des précisions sur la façon dont les acteurs de l’assurance peuvent s’adapter.
L’Autorité européenne dédie aussi une partie de ses travaux à l’éthique dans l’utilisation de l’IA en assurance. Le document précise que l’intérêt des clients doit toujours être au centre des objectifs liés à l’usage de l’IA. Par ailleurs, chaque client devrait être traité équitablement et l’IA ne doit pas conduire à des discriminations.
L’un des autres aspects importants de l’avis de l’EIOPA concerne la nécessaire surveillance humaine de l’IA dans les processus d’assurance. Ce contrôle interne doit être clairement mis en place avec une chaîne détaillée des rôles et responsabilités de chacun.
Enfin, difficile d’échapper à la question de la cybersécurité alors que pas un mois ne se passe sans qu’un piratage de données personnelles gérées par une entreprise française ne soit rendu publique. L’EIOPA insiste sur l’obligation pour les assureurs de garantir la sécurité, l’intégrité et la confidentialité des informations qu’ils traitent. Dès lors, l’utilisation de l’IA doit s’inscrire dans le cadre de ces exigences.
