L’impact des réglementations sur l’IA dans l’insurtech
L’insurtech est profondément ancré dans l’intelligence artificielle (IA), utilisant cette technologie pour améliorer le marketing, les ventes, la souscription, le traitement des sinistres, la détection de fraude, et bien plus encore. Les entreprises d’insurtech n’ont probablement qu’effleuré la surface de ce qui est possible dans ces domaines. Parallèlement, la réglementation de l’IA devrait créer des considérations légales supplémentaires à chaque étape de la conception, du déploiement et de l’exploitation des systèmes d’IA travaillant dans ces contextes.
Considérations légales et exposition à l’IA
Comme avec les réglementations sur la vie privée des données, la réponse à la question « Quelles lois sur l’IA s’appliquent ? » est hautement spécifique aux faits et dépend souvent de l’exposition ou des données d’entrée du modèle. Les lois applicables tendent à se déclencher en fonction des types de données ou de la localisation des individus dont les données sont utilisées pour former les modèles, plutôt qu’en fonction de la localisation du concepteur ou du déployeur. En conséquence, à moins que l’utilisation d’un modèle ne soit strictement limitée à une seule juridiction, il y a probablement une exposition à plusieurs réglementations qui se chevauchent (en plus des préoccupations liées à la vie privée des données) impactant la conception et le déploiement d’un modèle d’IA en insurtech.
Gestion des risques réglementaires dans la conception de l’IA
Étant donné cette complexité, l’ampleur de l’exposition d’un modèle d’IA en insurtech peut être une considération de conception importante. Les entreprises devraient évaluer adéquatement le niveau de risque du point de vue de la limitation d’une surveillance réglementaire inutile ou de la création de potentielles responsabilités réglementaires, telles que des pénalités ou des amendes. Par exemple, une entreprise d’insurtech utilisant l’IA devrait considérer si le modèle en question est destiné à être utilisé uniquement pour des affaires d’assurance domestiques et s’il y a de la valeur à utiliser des données concernant des sujets de données internationaux. Prendre des mesures pour s’assurer que le modèle n’a pas d’exposition à des sujets de données internationaux peut limiter l’application des lois internationales extraterritoriales régissant l’IA et minimiser le risque potentiel d’utilisation d’une solution d’IA. D’autre part, si l’exposition à la plus large gamme possible de données est souhaitable d’un point de vue opérationnel, par exemple, pour augmenter les données d’entraînement, les entreprises doivent être conscientes des conséquences légales de telles décisions avant de les prendre.
Récente législation sur l’IA au niveau des États
En 2024, plusieurs États américains ont adopté des lois sur l’IA régissant l’utilisation de cette technologie, dont plusieurs peuvent impacter les développeurs et déployeurs d’insurtech. Notamment, les projets de loi sur l’IA au niveau des États ne sont pas uniformes. Ces lois varient d’un cadre réglementaire complet, comme la Loi sur l’intelligence artificielle du Colorado, à des lois plus étroites basées sur la divulgation, comme l’AB 2013 de Californie, qui exigera des développeurs d’IA qu’ils publient publiquement des documents détaillant les données de formation de leur modèle. Plusieurs autres projets de loi relatifs à la réglementation de l’IA sont déjà en attente en 2025, y compris :
- HD 3750 du Massachusetts : Exigerait que les assureurs santé divulguent l’utilisation de l’IA, y compris, mais sans s’y limiter, dans le processus de révision des sinistres et soumettent des rapports annuels concernant les ensembles de formation ainsi qu’une attestation concernant la minimisation des biais.
- HB 2094 de Virginie : Connue sous le nom de Loi sur les Développeurs et Déployeurs d’IA à Haut Risque, exigerait la mise en œuvre d’une politique et d’un programme de gestion des risques pour les « systèmes d’intelligence artificielle à haut risque », définis comme « tout système d’intelligence artificielle spécifiquement destiné à prendre de manière autonome, ou à être un facteur substantiel dans la prise d’une décision conséquente (sous certaines exceptions). »
- HB 3506 de l’Illinois : Parmi d’autres choses, ce projet de loi exigerait que les développeurs publient des rapports d’évaluation des risques tous les 90 jours et réalisent des audits tiers annuels.
L’importance croissante de la conformité
Avec le retrait évident du gouvernement fédéral dans la poursuite d’une réglementation globale sur l’IA, les entreprises peuvent s’attendre à ce que les autorités étatiques prennent les devants en matière de réglementation et d’application de l’IA. Étant donné l’utilisation large et souvent conséquente de l’IA dans le contexte de l’insurtech, et l’attente que cette utilisation n’augmente que dans le temps compte tenu de son utilité, les entreprises de ce domaine sont conseillées de garder un œil attentif sur les lois actuelles et à venir sur l’IA afin d’assurer leur conformité. Le non-respect peut augmenter l’exposition non seulement aux régulateurs étatiques chargés de faire respecter ces réglementations, mais aussi potentiellement à des poursuites judiciaires directes de consommateurs. Comme noté dans une précédente note de conseil, être bien positionné pour la conformité est également impératif pour le marché d’un point de vue transactionnel.
Le secteur de l’insurtech se développe parallèlement à l’expansion du patchwork des réglementations américaines sur l’IA. Une croissance prudente dans l’industrie nécessite une sensibilisation aux dynamiques légales associées, y compris les concepts réglementaires émergents à travers le pays.
