À mesure que les organisations intègrent l’intelligence artificielle (IA) dans les interactions avec les clients, la prise de décision et les processus opérationnels, elles pourraient s’exposer sans le savoir à une catégorie croissante de responsabilités que l’assurance traditionnelle ne reconnaît pas entièrement ou auxquelles elle ne répond pas adéquatement, selon des recherches de Gallagher Re, publiées dans un livre blanc.

Intitulé Smart Systems, Blind Spots: Rethinking Insurance for the AI Era, le document examine comment les couvertures d’assurance actuelles répondent aux risques relativement nouveaux engendrés par l’utilisation de l’IA et de l’IA générative. Les auteurs s’intéressent également brièvement aux entreprises qui développent des couvertures autonomes pour les responsabilités propres aux systèmes d’IA. Ils soulignent en outre que les tribunaux et les organismes de réglementation considèrent souvent les défaillances de l’IA comme étant de la responsabilité de ceux qui déploient la technologie, et non du fournisseur.

Un besoin de protection explicite

« La couverture, la gouvernance et les protections contractuelles doivent évoluer », écrivent les auteurs du document. Ils ajoutent : « Les entreprises ont besoin d’une protection explicite contre les responsabilités liées à l’IA, soutenue par une gouvernance renforcée et une conception plus intelligente des programmes. »

En examinant les données relatives aux litiges, ils indiquent que les tendances démontrent que les préjudices liés à l’IA ne sont pas théoriques. Au contraire, « ils sont juridiquement reconnus, financièrement significatifs et en expansion rapide… Les entreprises qui déploient l’IA sont également de plus en plus conscientes des risques ».

Les polices d’assurance existantes peuvent offrir une certaine couverture liée à l’IA, explique Gallagher Re, mais que cette approche de gestion des risques est fragmentée et laisse d’importantes lacunes non comblées.

« Par exemple, un problème causé par un agent conversationnel en contact avec la clientèle pourrait déclencher une réclamation en responsabilité, tandis qu’une cyberattaque assistée par l’IA pourrait activer une police d’assurance cyber. D’autres polices susceptibles d’être mobilisées en cas de défaillance de l’IA incluent les assurances erreurs et omissions (E&O) technologiques, la responsabilité du fait des produits ou l’assurance responsabilité civile générale des entreprises », illustrent les auteurs.

En détaillant davantage ces couvertures, ils précisent que l’IA comme vecteur d’attaque déclenchera une couverture cyber, mais qu’en tant que source de responsabilité (hallucinations, discrimination et atteintes à la propriété intellectuelle), elle n’est généralement pas couverte. Le document examine également les limites des polices E&O, de responsabilité du fait des produits et de responsabilité civile générale.

Des produits d’assurance axés sur les utilisateurs

« Bien que les polices existantes en responsabilité et en cyberrisques puissent offrir une couverture partielle, les systèmes d’IA créent des responsabilités distinctes qui échappent aux polices d’assurance standard. Ces lacunes de couverture découlent d’un décalage fondamental entre les caractéristiques des risques liés à l’IA et les structures traditionnelles des polices conçues pour des acteurs humains, des actifs physiques et des périmètres de sécurité clairement définis », ajoute Gallagher Re dans le livre blanc.

Les risques analysés qui échappent aux couvertures traditionnelles incluent les défaillances algorithmiques, la discrimination, la dégradation des modèles, les risques liés à la chaîne d’approvisionnement des données et les contrats juridiques qui favorisent généralement les fournisseurs, laissant aux utilisateurs de la technologie la majeure partie de la responsabilité. « Ce déséquilibre renforce la pertinence de produits d’assurance axés sur les utilisateurs », affirment les auteurs.

Une réponse en deux volets

La réponse de l’industrie de l’assurance s’articule en deux volets, indiquent les auteurs : « Premièrement, des assureurs spécialisés développent des produits autonomes ciblant des expositions que les polices traditionnelles ne couvrent pas adéquatement. Deuxièmement, les assureurs établis introduisent des avenants améliorés qui adaptent les cadres de couverture existants. Les deux approches sont nécessaires pour répondre aux défis posés par ces nouveaux risques non assurés. »

Pour l’avenir, ils suggèrent de clarifier les limites de couverture liées à l’IA dans les différentes lignes d’assurance existantes et de préciser explicitement l’appétit des assureurs pour ce type de risque. « La question n’est plus de savoir si l’IA générera des responsabilités, mais si le marché de l’assurance pourra s’adapter assez rapidement pour y répondre. »