Assureurs et IA, un risque systémique

Freakonometrics/Hypothèses

#IA #risqueSystemique #assureurs

Article mis en ligne le 30 novembre 2025

dernière modification le 27 novembre 2025

(...) plusieurs grands assureurs (AIG, Great American ou encore WR Berkley) cherchent à introduire des exclusions explicites pour les risques liés à l’intelligence artificielle, notamment concernant les usages d’agents et de modèles de langage. Les motifs avancés sont limpides : les pertes potentielles liées à l’IA pourraient atteindre des montants de plusieurs centaines de millions, voire davantage. Mais surtout, le danger ne réside pas tant dans l’ampleur d’un sinistre isolé que dans la possibilité de pertes corrélées, massives, simultanées, impossibles à mutualiser. (...)

L’enjeu porte bien moins sur la gravité d’un incident donné que sur la simultanéité de milliers d’incidents identiques. Autrement dit, nous avons affaire à la définition même d’un risque systémique. Pour le comprendre, il est utile de replacer ce phénomène dans le cadre plus large des systèmes complexes, des accidents dans les organisations à haute fiabilité, et des mécanismes de risque systémique tels qu’ils sont étudiés depuis plusieurs décennies dans la finance et l’assurance. (...)

L’IA comme réseau interconnecté : un terrain idéal pour la contagion

La littérature sur le risque systémique enseigne que ce n’est pas la taille absolue des institutions qui détermine leur vulnérabilité, mais la structure de leurs interconnexions. (...)

Une erreur locale peut se transformer en catastrophe globale dès lors qu’elle atteint le « cluster vulnérable » du réseau. Les simulations qu’il présente montrent que plus un réseau est interconnecté, plus une erreur peut s’y propager rapidement. Un changement minime de connectivité ou de capitalisation peut faire basculer l’ensemble du système d’un état stable à un état critique, une véritable « phase transition ». (...)

Dans ce cadre, l’IA générative présente toutes les caractéristiques d’un système hautement propice à la contagion. Lorsqu’un fournisseur d’IA déploie une mise à jour défectueuse, commet une erreur dans les poids d’un modèle ou subit une vulnérabilité de cybersécurité, ce ne sont pas des utilisateurs isolés qui sont affectés mais des milliers, car ils partagent les mêmes infrastructures. Chaque client ne dépend pas seulement de son propre usage, mais de l’intégrité d’un modèle global, dont la moindre modification reproduit instantanément un comportement identique chez tous ses utilisateurs. C’est exactement le type de contagion fulgurante que les assureurs redoutent aujourd’hui : une propagation non pas lente et progressive, mais immédiate, simultanée, homogène.

Pourquoi l’assurance redoute les pertes corrélées

L’assurabilité repose historiquement sur une condition essentielle : la loi des grands nombres. (...)

Les événements doivent être indépendants, ou suffisamment hétérogènes, pour que les pertes se compensent statistiquement. Or les cyber-risques ne respectent déjà pas cette condition (...)

IA, cybersécurité et “accidents normaux” : quand la complexité rend l’erreur inévitable

Clearfield et Tilcsik, dans Meltdown, montrent que dans les systèmes complexes, les défaillances ne sont pas des anomalies : elles sont inévitables. Les surprises émergent des interactions multiples, et de petites erreurs peuvent rapidement s’amplifier lorsqu’elles circulent dans des réseaux étroitement couplés. Leur thèse correspond exactement à ce que redoutent les assureurs : l’erreur d’un modèle autonome n’est pas une bourde humaine isolée, mais un mécanisme systémique susceptible de se répliquer partout (...)

La concentration de dépendances technologiques entre quelques acteurs amplifie encore cette dynamique. Lorsqu’un modèle est utilisé dans des contextes juridiques, médicaux, financiers, industriels, une erreur qui y apparaît peut contaminer simultanément tous ces domaines. De ce point de vue, l’IA est déjà moins un outil qu’un écosystème interconnecté, un véritable système complexe au sens fort.

les risques assurés doivent eux-mêmes rester indépendants. Avec l’IA, cette hypothèse s’effondre. Pour la première fois, un risque assuré (cyber, erreurs et omissions, dommages causés par des systèmes logiciels) devient structurellement interconnecté. Un seul fournisseur, un seul modèle, une seule mise à jour ou une seule vulnérabilité peuvent provoquer des milliers de sinistres simultanés. L’interconnexion n’est plus une propriété du marché de l’assurance : elle est une propriété du risque lui-même. (...)

Pourquoi l’IA crée un risque systémique inédit pour l’assurance (...)

AI Liability : un angle mort juridique dans un marché asymétrique

À ces risques opérationnels s’ajoute un dernier élément : la responsabilité juridique. L’« AI liability », c’est-à-dire la question de savoir qui est responsable lorsque l’IA cause un dommage, est aujourd’hui l’un des sujets les moins traités, et les plus explosifs. (...)

Dans la pratique, les contrats proposés par les fournisseurs d’IA incluent des limitations drastiques de responsabilité, des exclusions de garantie de performance et des clauses transférant quasi intégralement le risque à l’utilisateur. Comme la demande est quasi inélastique (il n’existe souvent pas d’alternative crédible aux grands modèles), les fournisseurs peuvent imposer unilatéralement leurs termes, créant une asymétrie contractuelle majeure. Cette asymétrie devient critique dans les secteurs régulés, où les entreprises sont tenues de maîtriser leurs modèles : banques, assureurs, hôpitaux doivent respecter des obligations strictes de gestion du risque opérationnel ou du risque modèle, alors même que les modèles auxquels ils recourent sont opaques, externalisés et non audités. Les révélations de The Tesla Files montrent que même des entreprises très technologiques peuvent perdre le contrôle de leurs propres systèmes, rendant certaines obligations réglementaires inapplicables en pratique. Le secteur financier se retrouve ainsi dans une contradiction profonde : juridiquement responsable d’outils dont il ne maîtrise ni la conception, ni les données d’entraînement, ni la gouvernance, ni le comportement, il ne peut ni contester les erreurs des fournisseurs, ni obtenir réparation lorsqu’un modèle commet une faute. Cette situation crée un triple gouffre : un gouffre réglementaire, puisque les entreprises ne peuvent satisfaire leurs obligations ; un gouffre contractuel, puisque toute la responsabilité repose sur l’utilisateur ; et un gouffre assurantiel, puisque les assureurs se retirent progressivement de ce champ. Le résultat est un risque systémique juridique, caractérisé par une responsabilité diffuse, une dépendance concentrée et une allocation du risque profondément inefficiente.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique