Comment assurer ce que personne ne sait prédire ? Face à la déferlante IA, assureurs et entreprises avancent en terrain inconnu. Leurs polices prévoient-elles seulement de les couvrir ?
Fin 2024, Graciela Dela Torre tente de rouvrir un litige d'invalidité, pourtant clos, sur les conseils de ChatGPT. L'outil valide ses doutes sur son avocat, elle le licencie, relance la procédure et dépose des dizaines de requêtes que les tribunaux jugent sans fondement. En mars 2026, Nippon Life Insurance Company of America (visiblement saoûlé) décide d’attaquer OpenAI devant la justice fédérale : la filiale de l’assureur japonais réclame quelque 10 millions de dollars, selon les documents judiciaires. L'affaire n'a pas encore été tranchée, mais elle pose déjà une question vertigineuse : si une hallucination d'IA cause un dommage réel, qui est responsable ? Et est-on d’ailleurs si sûrs qu’il s’agisse d’une hallucination ? Pour Eran Kahana, juriste spécialisé en droit de l'IA et auteur de l'analyse de référence sur ce cas pour Stanford Law, la réponse est claire : ici, il faut aller voir du côté de la conception. Car ChatGPT a fait exactement ce pour quoi il a été construit : répondre sans jamais refuser, à sa façon flatteuse et sycophante. Mais au-delà du cas Dela Torre, la question est universelle : comment les systèmes d'IA, les utilisateurs et leurs assureurs vont-ils se renvoyer la charge du risque, à mesure que la technologie s'immisce dans nos décisions ?
Dans son livre blanc Smart Systems, Blind Spots (mars 2026), Gallagher Re, l'un des plus grands réassureurs au monde, pose le diagnostic : quand l'IA est vecteur d'attaque, c'est la cyber-assurance, désormais bien rôdée, qui joue ; mais quand elle est source de responsabilité (hallucinations, discrimination, atteintes à la propriété intellectuelle…), elle n'est généralement pas couverte. Un décalage fondamental entre des polices conçues pour des acteurs humains et les risques nouveaux induits par l'IA.
En Europe, la directive sur la responsabilité IA a été abandonnée en février 2025, retirée formellement à l'automne selon le suivi du Parlement européen faute d'accord entre États membres, mais aussi suite à la pression des lobbies industriels, et dans un contexte de repli réglementaire accéléré par les critiques américaines sur la surréglementation européenne. Une directive sur les produits défectueux (2024/2853) couvrira bien les systèmes IA dont les erreurs ou défaillances causent un dommage, avec une entrée en application progressive, notamment pour les systèmes mis sur le marché après décembre 2026. Faute de cadre commun, en l’état, c'est le droit existant qui s'applique, et il désigne en général le même coupable : le « déployeur », c'est-à-dire l'entreprise ou le professionnel qui intègre l'outil IA dans ses services, et non son concepteur. Exemple concret : si un médecin utilise une IA de diagnostic qui produit un résultat erroné, c'est généralement lui qui engage sa responsabilité, pas l'éditeur du logiciel. La MACSF, mutuelle de référence des professionnels de santé français, le confirme en mai 2026 : « c'est toujours la responsabilité [du déployeur] qui sera recherchée. » L'affaire Nippon Life teste une autre thèse : et si c'était le concepteur qui devait répondre, pour avoir mis sur le marché un outil prévisiblement dangereux ?
Un marché qui se structure dans l'incertitude
En novembre 2025, le Financial Times révélait que les assureurs américains AIG, Great American et W.R. Berkley avaient déposé des demandes auprès des régulateurs pour exclure les responsabilités IA de leurs polices. En janvier 2026, l'organisme de standardisation ISO/Verisk a formalisé le mouvement avec des avenants optionnels d'exclusion de l'IA générative dans les polices de dommages standard. Certains groupes optent pour des exclusions absolues sur leurs polices de responsabilité des dirigeants et professionnelle ; d'autres introduisent des plafonds spécifiques qui capent les indemnisations IA sans les exclure totalement. Dans Le Monde Informatique, l'un des dirigeants préfère parler de « repositionnement » plutôt que de « retrait », arguant que les assureurs ne fuient pas l'IA, mais réorganisent leur couverture en exigeant davantage de preuves de maîtrise : gouvernance des modèles, audits, documentation des risques.
Dans leur rapport Ready or Not (février 2026), Lockton Re, l'un des leaders mondiaux de la réassurance, et Armilla AI, startup spécialisée dans la couverture des risques IA, appellent ce phénomène le « silent AI » . Comme le « silent cyber » des années 2010, des risques IA massifs sont logés dans des contrats qui n'en tiennent aucun compte. Le rapport prévient (avec une formule déjà connue pour les secteurs susceptibles d'être percutés par l'IA) : « Le défi pour l'industrie de l'assurance n'est pas de savoir si l'IA va créer des événements de risque systémique, mais quand ; et si les pratiques de souscription pourront s'adapter. »
Des acteurs spécialisés prennent position. Armilla AI, souscrite via Lloyd's de Londres, a lancé en avril 2025 le premier produit d'assurance IA « affirmatif » au monde, couvrant explicitement hallucinations, dérive de modèle et sous-performance. Munich Re et sa filiale HSB ont suivi en mars 2026 avec une offre PME, au moment où, selon l'enquête HSB, 74 % des petites entreprises utilisent déjà l'IA sans couverture adaptée. Les litiges liés à l'IA ont progressé de près de 140 % en 2025 ; le marché spécialisé pourrait flirter avec les 5 milliards de dollars d'ici 2032 selon Deloitte. Swiss Re, dans sa revue annuelle des risques mondiaux, alerte sur un risque d'une autre nature : une panne d'un modèle fondateur largement adopté pourrait déclencher des sinistres simultanés dans des dizaines de secteurs à la fois.
Les assureurs, nouveaux régulateurs de facto
Dans ce vide juridique, l'industrie assurantielle commence à fixer quelques règles. Certains assureurs exigent désormais des preuves de gouvernance IA avant de souscrire : audits des modèles, documentation des biais, politiques internes formalisées. La norme ISO/IEC 42001 — standard international de management des systèmes d'IA — s'impose comme premier critère différenciant. En décembre 2025, Armilla et l'auditeur A-LIGN ont lancé un programme liant directement la certification à des conditions de souscription préférentielles — sur le même modèle qu'ISO 27001, la norme de sécurité informatique devenue prérequis de facto pour la cyber-assurance dans les années 2010.
Certains y voient de nouvelles opportunités de marché. Gretchen Hoff Varner, avocate spécialisée en recouvrement d'assurance au cabinet Covington, résume le mouvement dans le Financial Times : « Quand les cyberpertes ont émergé, les assureurs ont décidé de les exclure et de créer une nouvelle catégorie de produits. Nous voyons exactement le même playbook appliqué à l'IA. » Cet optimisme est toutefois tempéré par la vitesse des évolutions technologiques, notamment du côté de l'agentique. Kevin Kalinich, responsable du transfert de risque IA chez Aon, estime ainsi que les agents autonomes pourraient s'avérer fondamentalement inassurables, car « personne ne sait ce qu'ils vont faire à 100 %. »
Participer à la conversation