Un risque que l'on peut sous-estimer
Lors d'un contrôle ACPR sur la gouvernance des systèmes d'information, un organisme d'assurance est interrogé sur ses pratiques d'utilisation de l'IA. La direction répond qu'elle n'en utilise pas dans ses processus juridiques. Un collaborateur, en fait, s'en sert depuis des mois pour analyser des contrats — via ChatGPT, Claude ou Deepseek, en accès libre, sans validation DSI, sans accord de traitement des données.
Les contrats d'assurés ou dossiers de litiges ont transité par des serveurs hors Union européenne. La direction l'ignorait. Ce type de shadow IA n'est plus une anecdote : c'est un vecteur sérieux de mise en cause personnelle des dirigeants pour défaut d'organisation.
La responsabilité pour faute de gestion — fondée sur l'article L.225-251 du Code de commerce — est engagée dès lors qu'une direction ne peut démontrer avoir structuré et contrôlé ses processus opérationnels. Dans un secteur soumis au RGPD, à DORA et aux exigences ACPR, l'absence de politique documentée sur l'usage des outils d'IA constitue précisément ce type de carence.
Trois failles cachées qui engagent la responsabilité
En pratique, trois situations exposent aujourd'hui les dirigeants d'organismes d'assurance à un risque personnel réel — et souvent sous-estimé.
L'absence de contrôle humain sur les processus d'analyse
Lorsque les décisions opérationnelles — sélection des risques à surveiller, validation des alertes de conformité — reposent uniquement sur des outils automatisés sans supervision qualifiée à chaque étape clé, la direction ne peut pas prouver qu'une politique d'organisation sérieuse était en place.
Or la faute de gestion se caractérise précisément par l'absence de structure de contrôle adaptée aux enjeux de l'entreprise.
L'usage non maîtrisé d'outils d'intelligence artificielle
Le recours à des solutions d'IA généralistes — notamment des outils américains, chinois ou non certifiés — pour traiter des données contractuelles sensibles expose l'organisme à un double risque :
- une violation du RGPD d'une part,
- une impossibilité de garantir la confidentialité des données contractuelles d'autre part.
La direction qui ne peut pas répondre à la question « où sont traitées vos données ? » lors d'un contrôle ACPR ou d'une procédure judiciaire se trouve dans une position délicate.
Le défaut de performance dans l'identification des risques contractuels
Ne pas avoir détecté, avant qu'ils se réalisent, les risques intégrés dans les contrats — exclusions fragiles juridiquement, clauses absentes ou déséquilibrées — est susceptible d'engager la responsabilité pour faute d'organisation.
Que le sinistre soit systémique (une ligne entière de produits exposée) ou attritionnel (accumulation de réclamations individuelles débouchant sur une action de groupe ou un risque réputationnel), l'incapacité à démontrer une politique de contrôle préventif constitue un élément à charge.
Comment cela change avec WeScreen
« Human in the loop » : le contrôle humain à chaque étape
WeCheck et WeComply sont des outils d'assistance à la décision, pas des systèmes d'auto-décision.
Dans WeCheck, c'est l'équipe juridique ou compliance qui définit les questionnaires d'analyse, les points de contrôle et la bibliothèque de clauses de référence. Les résultats — alertes, présence ou absence de clauses, réponses aux questions contractuelles — sont soumis à la validation des juristes et auditeurs avant toute action opérationnelle.
Dans WeComply, les dictionnaires de mentions susceptibles de rendre une exclusion illicite sont constitués et maîtrisés par les équipes de l'assureur, à partir de leur propre base jurisprudentielle. L'outil détecte et alerte ; c'est la direction juridique qui tranche.
Ce dispositif de « human in the loop » systématique — en amont lors de la configuration, en aval lors de la validation des alertes — est précisément ce qui permet à une direction de démontrer qu'une organisation sérieuse était en place.
Zéro « Shadow IA » : souveraineté numérique et conformité RGPD
L'ensemble de la plateforme WeScreen est hébergé en France, avec un chiffrement des données AES-256 et une conformité RGPD documentée.
Les directions des systèmes d'information et de la sécurité informatique (SSI) gardent le contrôle sur les flux de données : il n'y a pas de traitement externalisé vers des serveurs hors Union européenne, pas de transmission à des modèles d'IA tiers sans maîtrise de la localisation.
Pour un organisme soumis à la supervision de l'ACPR — et, dans un périmètre élargi, aux exigences DORA — pouvoir documenter que les outils d'analyse contractuelle sont sous le contrôle effectif des équipes internes est un argument de conformité à part entière.
Exigence de performance : identifier les risques avant le sinistre
WeComply permet aux assureurs d'analyser en mode Batch l'intégralité d'un portefeuille de contrats pour détecter les exclusions non formelles ou limitées au sens du Code des assurances, ainsi que les mentions susceptibles d'en fragiliser la validité. La détection est exhaustive, la piste d'audit systématique.
WeCheck, de son côté, couvre la dimension plus large de l'analyse contractuelle : vérification des clauses réglementairement imposées, détection de clauses abusives ou illicites, contrôle de conformité RGPD dans les contrats.
Ensemble, ces deux outils permettent à une direction de dire — et de prouver, via les exports PDF et Word générés — qu'une revue systématique de ses contrats a été conduite.
Une gouvernance qui se documente
La responsabilité personnelle d'un dirigeant ne se joue pas uniquement devant les tribunaux. Elle se construit — ou se fragilise — dans les processus quotidiens d'organisation.
Dans un secteur où les risques sont contractuels par nature, disposer d'outils d'analyse souverains, pilotés par des professionnels qualifiés à chaque étape, et capables de couvrir un portefeuille complet avant que le sinistre survienne, n'est pas un luxe opérationnel.
C'est une composante de la diligence raisonnable que tout dirigeant sérieux doit être en mesure de justifier.
WeScreen : souveraineté, contrôle humain et piste d'audit
Nos solutions sont conçues pour permettre aux dirigeants de documenter une gouvernance sérieuse de l'analyse contractuelle, en conformité avec les exigences ACPR, RGPD et DORA :
WeCheck
Analyse contractuelle pilotée par vos juristes : questionnaires, clauses de référence, validation humaine systématique. Exports PDF et Word pour la piste d'audit.
WeComply
Détection en mode Batch des exclusions vulnérables sur l'intégralité de votre portefeuille, à partir de vos propres dictionnaires jurisprudentiels.
Article informatif rédigé par l'équipe Wescreen. Il ne constitue en aucun cas un avis ou un conseil juridique. Wescreen vous invite à vous rapprocher de vos juristes d'entreprise ou avocats pour tout conseil juridique.