Présidente de LSN Assurances depuis deux ans, Delphine Mercelat revient sur les risques induits par l’intelligence artificielle, vis-à-vis tant des notaires que des entreprises en général, et sur l’excès de confiance qu’on accorde à ce nouvel outil aux failles encore bien existantes.

Décideurs. Quels sont les risques les plus dangereux liés à l’IA, ceux auxquels s’exposent le plus facilement les entreprises ?

Delphine Mercelat. La question est très large. Il existe plusieurs niveaux de risques et cela dépend aussi des entreprises. Si l’entreprise fait de l’intelligence artificielle (IA), son niveau de risque est plutôt élevé, parce qu’elle rentre dans le cadre de l’application de l’IA Act avec des niveaux de contraintes différents en fonction de la typologie de l’IA développée. Derrière, elle porte un risque de responsabilité civile, actuellement en cours de discussion, qui sera plus strict que l’incidence qu’aura l’IA développée sur des données spécifiques, l’objectif étant de protéger les consommateurs et les utilisateurs finaux.

Nous avons organisé un club de réflexion au sein du groupe avec plusieurs clients. Le but ? Déterminer s’il existe de véritables changements dans leurs usages et si nous y voyions des risques. Notre conclusion a été la suivante : l’IA aurait plutôt tendance, dès lors qu’elle supprime l’erreur humaine, à « dé-risquer » un certain nombre d’activités (nous avions travaillé sur l’exemple de la succession), mais cela n’empêche pas l’entreprise qui l’utilise de rester responsable.

Chez LSN, nous accompagnons les notaires. Un notaire reste responsable de la rédaction de son acte, qu’il l’ait fait à la plume, avec un traitement de texte ou qu’il ait utilisé une IA. Utiliser une IA peut aggraver le risque, dans le sens où cette dernière recourt aux informations qu’elle trouve sur le Web, ces informations pouvant être fausses et donc donner un résultat faux. C’est la raison pour laquelle, les étudiants doivent apprendre à se servir de l’IA. À cela s’ajoutent, pour les activités de prestations intellectuelles, comme celles des avocats et des notaires, des risques de plagiat, de contrefaçon ou autres contraventions aux règles sur la propriété intellectuelle.

Des sinistres causés par des IA ont-ils déjà vu le jour ?

À l’heure actuelle, nous n’avons pas rencontré de sinistres causés par l’intelligence artificielle parce que cette technologie est encore peu développée sur les activités assurées par l’intermédiaire de LSN. Mais nous avons vu des sinistres facilités par l’intelligence artificielle. C’est le cas de celui, mondialement connu, de la fraude au président de la société Arup (à Hong Kong) où un collaborateur croyant être en présence du comex, en réalité des deepfakes, a transféré 25 millions de dollars aux fraudeurs. Là, l’intelligence artificielle devient un véritable risque. Pas en elle-même, mais par l’usage détourné frauduleux qui en est fait. Nous le voyons à l’heure actuelle en termes de fraude et d’escroquerie.

« À l’heure actuelle, la culture de la protection des données n’est pas encore suffisamment à maturité »

Ce sont surtout des risques liés à la mauvaise utilisation ou à la mauvaise compréhension du fonctionnement de l’IA. On peut faire faire à l’IA des choses très compliquées, qui donnent un résultat que l’on va prendre comme argent comptant ou que l’on n’arrivera pas à véritablement remettre en question et qui va intégrer derrière toute une autre chaîne de valeur. Or, si nous n’arrivons pas à avoir le regard critique pour constater qu’un résultat n’est pas bon, il sera utilisé et intégré dans une production.

À l’heure actuelle, la culture de la protection des données n’est pas encore suffisamment à maturité. De nombreux collaborateurs doivent utiliser l’IA sans vérifier que c’est véritablement sécurisé. Si je reviens aux notaires, notre cœur de métier chez LSN et qui sont soumis au secret professionnel, rien ne doit sortir.

Le plus gros risque reste donc pour le moment l’escroquerie ?

Oui. Il existe aussi les sinistres corporels aux États-Unis sur les véhicules autonomes (qui ne sont pas encore autorisés sur la voie publique en France).

Dans mon secteur, l’assurance des notaires, nous n’en avons pas parce que l’IA n’est pas encore suffisamment développée et puis, parce qu’en matière de responsabilité, il y a un décalage entre le fait générateur, l’erreur, sa découverte et donc la réclamation.

Un autre risque identifié est celui de la mise en cause de la responsabilité du dirigeant qui n’a pas anticipé l’utilisation de l’IA et qui n’a pas formé ses collaborateurs. Ce n’est pas l’IA qui a une incidence directe sur la responsabilité civile des mandataires sociaux (RCMS), c’est le périmètre de la RCMS qui s’élargit à cette nouveauté. Le dirigeant est dans l’obligation de se saisir du sujet et de le traiter correctement.

Comment se prémunir contre ces risques ?

Il va falloir former les collaborateurs sur ce qu’est l’intelligence artificielle. D’autant plus qu’il existe différentes intelligences artificielles, comme Chat GPT ou Mistral. Il existe des outils développés par des entreprises de services numériques (ESN) dans des domaines très spécifiques et qui vont répondre à toutes les contraintes édictées par l’IA Act (transparence, compréhension du mode de fonctionnement) pour limiter le risque ainsi qu’une mauvaise utilisation et une mauvaise compréhension des résultats. L’utilisateur de l’IA doit maîtriser son fonctionnement et savoir comment elle s’intègre à sa propre activité, à la chaîne de valeur. Il doit vérifier l’absence de failles.

Poussons l’hypothèse à l’extrême : une entreprise qui a réussi à automatiser un certain nombre d’activités et qui, par là même, a réduit à l’extrême le nombre de ses collaborateurs se met en danger parce qu’il ne faut pas que l’IA dysfonctionne. Il s’agit alors de prévention cyber, l’un des sujets étant le fait de devoir anticiper la garantie d’assurance. Imaginons qu’une entreprise soit hackée avec un ransomware qui bloque l’accès à son IA, laquelle remplace les collaborateurs. Il ne se passera plus rien le temps que le sinistre soit géré. Cela ralentit tout. Un petit problème résultant de l’absence d’humains « à la barre » peut paralyser l’activité pendant un temps plus ou moins long. La prévention doit être proportionnelle à la place que va prendre l’IA dans la production de la valeur.

Puisque le secteur de l’IA a complètement évolué en l’espace de quelques années, les couvertures en vigueur ont-elles dû être majoritairement revues ?

En effet. Mais, de toute manière, le rôle du courtier est de questionner régulièrement son client pour voir si, dans son activité, quelque chose a changé, à quel niveau, dans quelle ampleur, et si cela aura une incidence. Bref d’identifier les risques afin de s’assurer que les garanties souscrites soient les bonnes. Et cela autant pour l’IA que pour une question de zones inondables par exemple.

Est-ce que cela entraîne une refonte massive et simultanée des polices d’assurance de tous les assurés ?

Je n’ai pas ce sentiment-là, déjà parce qu’il existe plusieurs sortes d’IA et qu’elles restent un programme informatique, un outil. Cette dynamique de revue de polices existe déjà. Le sujet se poserait vraiment s’il y avait un changement notable, par exemple si, en tant que courtiers, nous informions notre assurance en responsabilité civile professionnelle du remplacement de nos juristes qui gèrent les sinistres en délégation par une IA. Cependant, on n’y est pas. Pour le moment, les IA que l’on voit font de l’automatisation, donc nous restons sur des risques informatiques plus classiques. Sans lesquels il n’y a pas de révolution sur l’activité de nos clients.

Le monstre IA que tout le monde anticipe n’est pas vraiment encore là pour le moment ?

Non. En tout cas, je n’en ai pas le sentiment. Il faut distinguer l’IA publique des développements spécifiques que les entreprises mettent en œuvre. Mais ces technologies sont ciblées sur l’activité. La question reste donc celle de l’intégration de l’IA dans le cadre d’un projet informatique d’ampleur. Et là, nous arrivons à déterminer les risques.

Nous espérons, avec l’automatisation des tâches, que l’informatique sera vraiment une aide et non pas une contrainte. À l’heure actuelle, l’IA est utilisée pour la lutte contre la fraude. L’État l’utilise pour la détection des fraudes fiscales. Avec succès.

L’IA Act va-t-il modifier la pratique de vos clients ?

Je pense que le secteur le plus touché est celui des entreprises de services numériques (ESN) qui développent les IA. Ces entreprises sont soumises à des contraintes strictes dans la traçabilité et la transparence des développements, dans l’utilisation des données, dans le cadre des bacs à sable et du machine learning.

L’IA Act reprend beaucoup de notions du RGPD, comme le contrôle de l’outil et la protection des données. Ce sont maintenant des méthodologies qui sont mieux maîtrisées par les entreprises. Dans la mise en place des nouvelles dispositions, cela ne va pas entraîner de révolution comme ce fut le cas pour le RGPD. Cela dépendra aussi de l’activité des entreprises, notamment en ce qui concerne le régime de responsabilité et sa mise en œuvre à l’aune de l’IA Act.

Le véritable sujet sera celui des sanctions. La grande difficulté réside dans le fait que les sanctions de l’IA Act, comme celles du RGPD, ne sont pas assurables. Il existe des contrats sur le marché qui prennent en charge, ou qui annoncent prendre en charge, des amendes administratives dans le cadre du RGPD. Dans le droit français, une amende n’est pas assurable. Les contrats comportent toujours la mention « si la réglementation le permet ». Je pars du principe que ces amendes ne sont pas assurables. Ainsi, les clients n’ont pas de faux espoirs.

Et pour finir, ces outils sont pratiques, mais ouvrent un autre risque : accompagner les collaborateurs qui seront remplacés par une IA. Il s’agit ici de risques sociaux.

Propos recueillis par Chloé Lassel