La multiplication de ces systèmes d’IA crée de nouveaux risques à mitiger en particulier dans un secteur aussi délicat que celui de l’assurance où les données personnelles des consommateurs sont à la fois clés et confidentielles. Associé aux progrès constants en matière d’algorithmie et gestion des données, l’IA porte aujourd’hui un enjeu juridique majeur.
Quel cadre règlementaire pour l’IA en assurance en 2022?
Le développement de ces outils est encadré par la règlementation européenne existante en matière de protection des données personnelles (RGPD) et respect des libertés individuelles. Cet encadrement n’est pas suffisamment adapté aux usages d’IA ni aux nouveaux risques qu’elle fait émerger dans le secteur de l’assurance.
L’OCDE a donc proposé en 2018 de travailler sur un cadre règlementaire dédié permettant d’allier protection des consommateurs et de leurs données tout en favorisant l’innovation dans la poursuite de l’objectif de faire de l’Europe un leader en matière d’IA éthique, sûre et licite. Antinomie vous avez dit? Le parlement peine effectivement à faire émerger un consensus pour allier ces deux concepts: encadrer et encourager l’innovation.
L’assurance, un secteur impacté par l’artificial intelligence act.
Où se trouvent les applications d’IA? simulateurs tarifaires, identification biométrique à l’entrée en relation, modèles de calculs des couvertures, robo-advisor…
L’Artificial Intelligence Act (AIA) proposé en avril 2021 adopte une approche par les risques pour rester valable dans le temps malgré l’innovation constante. L’objectif est d’arriver à publier un règlement pour novembre 2022 avec un délai de mise en application de 2 ans.
Ce règlement sera particulièrement impactant sur les nouvelles exigences en matière de sécurité et de transparence. Le processus législatif est à suivre de près pour anticiper au mieux les mises en conformité des systèmes d’IA déjà en place ou en cours de développement.
Que propose l’Artificial Intellgence Act?
L’AIA propose des mesures harmonisées pour le développement et la distribution des systèmes d’IA. Ces obligations s’adaptent en fonction de l’acteur et de la qualification du risque porté par le système d’IA.
Une classification du niveau de risque a été établie:
- Risque inacceptable: ne respectant pas les règles de droits commun et les libertés individuelles. On retrouve ici des systèmes de notation sociale à des fins de sécurité publique, l’exploitation de données personnelles pour manipuler des comportements.
- Haut risque: système d’IA créant des risques sur la sécurité, la santé et les droits des personnes. Cela concerne par exemple l’identification biométrique, scoring de crédit ou encore la gestion d’infrastructures critiques (transport…)
- Risque limité: règles de transparence accrue pour ces systèmes comme les chatbots par exemple
- Risque minimal ou nul
Les systèmes qualifiés à haut risque comportent le plus d’obligations parmi elles on retrouve: administrer un système de gestion des risques, réaliser un contrôle humain sur les systèmes d’IA (possibilité d’intervention, explicabilité), transparence envers les utilisateurs…
Ces mesures d’atténuation des risques sont à suivre par tout utilisateur situé dans l’UE ou exploitant le résultat en UE. L’AIA distingue les acteurs suivants: utilisateur, importateur, fournisseur, distributeur, mandataire. Les obligations varient selon l’acteur et le niveau de risque. Il est donc capital que les compagnies d’assurance identifient correctement le rôle qu’elles occupent.
Et maintenant?
Au premier trimestre 2022, le parcours législatif avance avec la parution du rapport préliminaire de la Commission du marché intérieur et de la protection des consommateurs et de la Commission des libertés civiles, de la justice et des affaires intérieures du parlement européen, commissions en charge des discussions sur l’IA.
Il n’y a pas de remarques fondamentales sur les obligations associées au niveau de risque porté par le système d’IA. En revanche, le rapport propose d’étendre les applications d’IA à considérer comme à haut risque pour englober les applications en interactions avec les enfants, le triage médical ou la gestion des tarifs d’assurance santé. La liste des systèmes d’IA concernés est susceptible d’évoluer entrainant ainsi un impact plus ou moins important sur les usages des assureurs.
Les entreprises déjà consommatrices d’IA ont fait part de plusieurs remarques depuis la parution de l’AIA.
Selon Mastercard, adapter son système d’IA en charge d’évaluer la solvabilité aux standars de l’AIA pénaliserait la qualité des scoring et renforcerait son exposition au risque de défaut
Google et Microsoft émettent des propositions dans l’objectif de partager les responsabilités avec l’utilisateur d’IA.
De façon générale, les critiques émises concernent les définitions des systèmes jugées trop vagues et propices aux interprétation donnant alors l’opportunité aux entreprises de disqualifier leurs applications d’IA du segment «haut risque» pour limiter les obligations. Des définitions claires sont donc fondamentales pour que l’AIA soit pertinent et aie un véritable impact.
Règlementer l’IA de façon globale et non sectorisée est un défi technique, éthique et juridique dont les implications sont profondes. Arriver à un consensus d’ici fin 2022 compte tenu de la complexité technique et de son caractère évolutif domaine relève d’une gageure.