L'IA Act entre en vigueur en août 2026. Votre traçabilité n'est pas prête.
On a un calendrier. Le Règlement UE 2024/1689 - l'IA Act - s'applique progressivement. Février 2025, les interdictions. Août 2025, les obligations sur la GenAI et la transparence. Et août 2026, le gros morceau : les exigences complètes pour les systèmes à haut risque.
L'assurance est explicitement dans la liste. Tarification, souscription, traitement des sinistres : tous classés haut risque. Ce n'est pas une interprétation - c'est dans le texte.
Les sanctions ? 35 millions d'euros ou 7% du chiffre d'affaires mondial. Au choix, le plus élevé des deux.
Il reste 17 mois. Et la plupart des assureurs n'ont pas encore commencé sérieusement.
Ce que le texte exige vraiment
Oublions le résumé managérial. Voici ce que vos modèles de tarification devront documenter, concrètement.
Les datasets d'entraînement : quelles données, quelle source, quelle période, quel volume. Le processus de nettoyage : exclusion des doublons, traitement des valeurs manquantes, anonymisation - chaque étape tracée et horodatée. Les variables retenues et écartées - avec justification. Si vous avez écarté l'origine ethnique, il faut le documenter. Si vous avez gardé l'âge du conducteur, il faut justifier l'absence de biais discriminatoire.
Les tests de biais et d'équité : test genre, test âge, test géographique, avec les écarts mesurés et les seuils d'acceptabilité définis en amont. La version du modèle et la date de dernière validation.
Ce n'est pas un rapport annuel qu'on rédige la veille de l'audit. C'est un registre vivant, versionné, auditable à tout moment par le régulateur.
Le vrai travail : trois chantiers
Premier chantier, l'inventaire. Combien de modèles IA tournent dans votre SI ? Pas seulement les modèles de tarification que tout le monde connaît. Les modèles de scoring fraude, les modèles de segmentation marketing, les modèles de provisionnement, les algorithmes de détection d'anomalies embarqués dans les outils du quotidien. La plupart des assureurs découvrent qu'ils en ont deux à trois fois plus que ce qu'ils pensaient. Et chacun devra être documenté.
Deuxième chantier, la gouvernance des données d'entraînement. Le data lineage automatisé, les contrôles de qualité en continu, la documentation des biais. C'est le gros du travail - et c'est là que les budgets explosent quand on s'y prend tard. Refaire un lineage a posteriori sur un modèle déployé il y a 3 ans est un cauchemar technique.
Troisième chantier, le dispositif de conformité continue. Parce que l'IA Act ne demande pas une photo à un instant T. Il demande un monitoring permanent : dérive des modèles, dégradation des performances, changement dans les distributions de données. C'est un système qui tourne en production, pas un rapport ponctuel.
Combien ça coûte
Les entreprises sous-estiment systématiquement le budget. Soyons concrets.
Inventaire et classification : 80k à 120k€. Infrastructure de traçabilité - data lineage, catalogues, registres : 200k à 350k€. Tests de biais et documentation : 100k à 150k€. Dispositif de conformité continue - monitoring, dashboards, reporting : 120k€ par an.
Total année 1 pour un assureur de taille moyenne : 500k à 740k€. C'est significatif. Mais comparez avec l'amende : 35M€. Le ratio coût/risque est sans ambiguïté. Et ces investissements servent au-delà de la conformité - ils améliorent la qualité de vos modèles et la confiance de vos équipes dans les décisions IA.
La bonne nouvelle : DORA et Solvency II ont déblayé le terrain
Si vous êtes assureur, vous êtes déjà soumis à DORA et Solvency II. Une partie significative de la gouvernance exigée par l'IA Act est déjà en place - ou devrait l'être. Selon les retours des directions conformité, une approche intégrée de ces trois textes permet de mutualiser environ 40% des efforts.
La gouvernance data devient le socle commun. Un seul framework, trois réglementations adressées. C'est la seule façon de rendre le sujet économiquement viable pour un assureur de taille moyenne.
Ce qui se passe si vous ne faites rien
En août 2026, un régulateur - l'ACPR, probablement - demande la documentation de votre modèle de tarification auto. Vous avez 30 jours pour fournir le dataset, le lineage, les tests de biais, le registre de versions.
Si le registre n'existe pas, si le lineage est incomplet, si les tests de biais n'ont jamais été formalisés - vous êtes non conforme. Et à 35M€ d'amende potentielle, personne ne veut être le premier exemple.
L'IA Act n'est pas un exercice bureaucratique. C'est l'occasion de construire une gouvernance IA robuste qui servira bien au-delà de la conformité - pour la qualité des modèles, la confiance des clients, la crédibilité face aux régulateurs. Mais il faut commencer maintenant. Pas dans 6 mois. Maintenant.