Ce qui pousse les assureurs à reculer
Trois facteurs convergent dans le dossier des assureurs corporate. D'abord l'absence d'historique sinistralité. Une police d'assurance se tarife sur dix ans de données ; les modèles d'IA générative en production datent de moins de trois ans et leurs sinistres potentiels — hallucinations, biais, fuites de données, décisions automatisées contestées — n'ont pas de courbe de référence. Ensuite l'effet systémique. Une défaillance dans un modèle largement déployé — supposons un GPT mal aligné qui livre la même mauvaise réponse à des milliers de clients simultanément — provoque un sinistre corrélé sur tout le portefeuille, exactement le contraire de la diversification recherchée. Enfin l'incertitude juridique. Quand un agent IA prend une décision préjudiciable, qui est responsable : l'entreprise qui l'utilise, l'éditeur du modèle, l'intégrateur, le fournisseur de données ? La jurisprudence européenne et française reste en construction. S&P Global Market Intelligence, dans une enquête publiée en février 2026, dresse le tableau : sur 47 grands assureurs américains et européens, 31 ont introduit ou prévoient d'introduire une clause d'exclusion IA d'ici fin 2026, contre 4 fin 2024. La logique n'est pas l'arrêt de la couverture mais le déport vers un marché spécialisé. Munich Re, Corgi, Armilla, Mayflower Specialty et Embroker proposent désormais des polices dédiées IA, plafonnées entre 2 et 50 millions d'euros, conditionnées à une gouvernance interne stricte.Le calendrier qui se télescope avec l'AI Act
Le règlement européen sur l'intelligence artificielle, voté en juin 2024 et entré en vigueur le 1er août 2024, devient pleinement applicable le 2 août 2026. Pour les systèmes IA à haut risque — décisions de crédit, recrutement, accès aux soins, gestion d'infrastructures critiques, justice — les obligations sont précises : gestion des risques documentée, qualité des données traçable, supervision humaine effective, robustesse et cybersécurité démontrées, transparence vers l'utilisateur final. Les sanctions plafonnent à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour une ETI picarde qui exploite un système IA dans son service client, dans sa supply chain ou dans son contrôle qualité, la convergence est nette. D'un côté, l'AI Act exige une gouvernance IA documentée. De l'autre, les assureurs commencent à exiger cette même gouvernance comme condition de couverture. Le directeur des risques de demain ne pourra plus dire « on déploie GPT en production sans cartographie ». Le DAF non plus. L'explication didactique ci-dessus reprend les obligations de l'AI Act pour les entreprises non spécialisées, avec un focus sur le calendrier 2025-2026 et les cas d'usage à haut risque.Quelles entreprises picardes sont déjà exposées
L'écosystème industriel régional est concerné en première ligne. Decathlon à Villeneuve-d'Ascq utilise l'IA générative dans la recommandation produit et le service après-vente. Bonduelle pilote ses prévisions de demande avec des modèles statistiques étendus. Norauto déploie de l'IA dans la prise de rendez-vous. Arc International à Arques et Roquette à Lestrem expérimentent l'IA en contrôle qualité de production. Côté ETI tech, OVHcloud à Roubaix, Niryo à Wambrechies, VizioSense à Lille, Beyond Green, Eppur, Tiamat à Amiens intègrent l'IA dans leurs produits eux-mêmes. Pour ces entreprises, la question des assureurs n'est plus théorique : elle conditionne la possibilité de signer avec un grand client allemand ou suisse qui exigera désormais une attestation de couverture IA. Les TPE ne sont pas épargnées. Un cabinet d'expertise comptable picard qui automatise une partie de ses notes de frais avec un assistant IA, une agence immobilière qui rédige des annonces via ChatGPT, une étude notariale qui synthétise des dossiers : toutes ces structures portent une responsabilité civile professionnelle qui pourrait voir apparaître, à son prochain renouvellement, une clause restrictive sur les usages IA.Ce que les assureurs vont demander pour continuer à couvrir
Les pratiques se stabilisent autour de six exigences. Première exigence, une cartographie écrite des usages IA dans l'entreprise — quels modèles, quelles données, quels processus, quels enjeux. Deuxième exigence, un registre des incidents IA et de leur traitement, à l'image du registre de traitements RGPD. Troisième exigence, une procédure de mise en production avec validation humaine documentée — le fameux « human-in-the-loop » devient contractuel et non plus optionnel. Quatrième exigence, des contrôles de cybersécurité renforcés sur les accès aux modèles : authentification forte, journalisation, principe du moindre privilège. Cinquième exigence, une interdiction explicite d'envoyer des données sensibles vers des modèles publics non maîtrisés — fini les juniors qui collent une fiche de paie dans ChatGPT public. Sixième exigence, un correspondant IA désigné en interne, équivalent du DPO pour le RGPD. Sur le terrain picard, plusieurs cabinets de courtage spécialisés — Verlingue, Diot-Siaci, Gras Savoye — ont commencé à proposer des audits préalables IA en 2026. Le coût d'un audit pour une PME se situe entre 8 000 et 25 000 euros selon la complexité. La logique ressemble à celle de la sécurité incendie : on ne couvre plus un bâtiment sans extincteurs et sortie de secours, on ne couvre plus une activité IA sans gouvernance documentée.Le risque caché pour les dirigeants : la responsabilité personnelle
Là où la situation se durcit, c'est sur les polices D&O — Directors and Officers, responsabilité civile des mandataires sociaux. Les assureurs commencent à inclure dans les exclusions les fautes de gestion liées à un déploiement IA insuffisamment encadré. Pour un dirigeant d'ETI picarde, cela signifie qu'en cas de litige client ou de plainte salarié sur une décision IA, le patrimoine personnel peut redevenir exposé. La parade existe — souscrire une couverture spécifique IA en parallèle — mais le coût peut atteindre 0,3 à 1 % du capital assuré, contre 0,05 à 0,15 % pour une police D&O classique. Le Cigref, association des grands DSI français, a publié en mars 2026 une note de cadrage sur la gouvernance IA. Le Lab Bpifrance, plusieurs CCI régionales et France Num diffusent en 2026 des grilles d'auto-évaluation gratuites pour aider les dirigeants à se positionner. La Picardie a ceci de particulier que la densité d'ETI industrielles familiales y est forte, et que la culture du transfert de patrimoine y rend la question D&O particulièrement sensible.FAQ
Quand le mouvement américain atteindra-t-il les contrats français ?
Selon les courtiers interrogés par S&P Global et l'IAPP, l'effet de bord arrive en France via les programmes paneuropéens des grands groupes (souvent réassurés à Londres et Munich) puis se diffuse aux PME. Le calendrier réaliste est de douze à dix-huit mois — premières exclusions visibles dans les renouvellements de janvier 2027 pour les contrats corporate.Une TPE qui utilise simplement ChatGPT est-elle concernée ?
Oui mais à un niveau modéré. La RC Pro classique couvre encore l'usage occasionnel. En revanche, si l'IA prend des décisions à la place du dirigeant ou influe sur la production livrée au client, la situation change. La règle simple est de relire la définition de l'activité dans son contrat et de demander à son courtier un avenant écrit en cas de doute.Faut-il attendre l'AI Act du 2 août 2026 pour s'organiser ?
Non. Les pratiques exigées par les assureurs et celles imposées par l'AI Act se recouvrent à 80 %. Cartographie, registre, supervision, formation : commencer en 2026 plutôt qu'en 2027 réduit l'exposition et permet de négocier le renouvellement d'assurance en position de force.Existe-t-il des aides régionales pour financer la mise en conformité ?
Oui. Le dispositif « Diagnostic Cyber & IA » porté par la Région Hauts-de-France via les CCI couvre jusqu'à 60 % d'un audit pour les PME éligibles. Bpifrance Diag Data IA et France Num pour les TPE complètent le panorama. Plafonds et conditions évoluent ; vérifier auprès du correspondant France Num en début de démarche.Quelle première étape concrète si je n'ai rien fait ?
Faire en deux heures la cartographie des usages IA dans l'entreprise sur un simple tableur : modèle utilisé, qui l'utilise, sur quelles données, pour quel livrable, quel niveau d'enjeu client. Ce document devient la base de toutes les discussions avec assureur, auditeur, CNIL et, en interne, avec le comité de direction.Sources et liens
- Datamation — Insurers to Pull Back From AI Liability Coverage
- Computerworld — How AI risk is changing cyber insurance, enterprise liability
- Commission européenne — AI Act, cadre réglementaire
- EU Artificial Intelligence Act — synthèse de haut niveau
- Cigref — gouvernance IA des grandes entreprises
- France Num — outils pour TPE-PME
