Le régulateur est déjà dans la place
Pendant que la majorité de l'industrie de l'IA regarde les échéances du règlement européen sur l'IA glisser vers 2027, un régulateur plus discret a cessé d'attendre. Depuis ce printemps, les examinateurs en assurance de douze États demandent déjà aux assureurs de rendre compte de leur IA. L'instrument existe. Il est utilisé. Et votre fournisseur d'IA ne peut pas y répondre à votre place.
L'assurance la plus répétée dans l'IA des secteurs réglementés en ce moment est une variante de « la conformité est bien couverte dans notre rapport sur l'IA responsable ». C'est une chose raisonnable à croire. Pour la plus grande partie de l'industrie de l'IA, pour la plus grande partie de 2026, c'est même vrai. Les leviers que tout le monde pointe sont reportés : les obligations à haut risque du règlement européen ont été repoussées à décembre 2027, les règles fédérales sur l'IA sont enlisées dans un conflit de préemption, et aucune mesure d'application nulle part n'a encore sanctionné une entreprise pour avoir été incapable de prouver ce que son modèle avait fait.
L'assurance est l'exception à surveiller, parce qu'en assurance l'écart entre « nous avons un rapport de gouvernance » et « montrez-moi ce que le modèle a fait » a déjà commencé à se refermer, et il s'est refermé au moyen d'un instrument précis et nommé qui est actif dès maintenant.
Ce qui s'est réellement passé ce printemps
Le 2 mars 2026, la National Association of Insurance Commissioners a lancé un projet pilote de son outil d'évaluation des systèmes d'IA (AI Systems Evaluation Tool) dans douze États. Ce n'est ni un livre blanc ni une demande de commentaires. C'est un instrument d'examen normalisé, et les départements d'assurance des États participants ont commencé à envoyer des demandes aux assureurs domiciliés sur leur territoire, en mettant l'accent sur l'assurance de dommages et l'assurance vie.
Californie · Colorado · Connecticut · Floride · Iowa · Louisiane · Maryland · Pennsylvanie · Rhode Island · Vermont · Virginie · Wisconsin
L'outil rend opérationnel le bulletin modèle de 2023 de la NAIC sur l'utilisation des systèmes d'IA par les assureurs, qui avait été adopté par environ 25 États en mars 2026. Le bulletin posait le principe : les assureurs doivent maintenir un programme écrit régissant la façon dont ils développent, déploient et surveillent l'IA. L'outil d'évaluation est la partie qui transforme ce principe en questions qu'un examinateur peut réellement poser, au dossier, pendant un examen.
Deux choses comptent dans ce calendrier. D'abord, les demandes sont réelles et arrivent maintenant, dans un quart du pays. Ensuite, l'adoption de novembre est le moment où l'outil cesse d'être un pilote de douze États pour devenir quelque chose que chacune des cinquante et quelques juridictions d'assurance américaines peut reprendre et utiliser. Si vous êtes un assureur hors des États pilotes, votre horizon n'est pas « un jour ». Il est d'environ six mois.
Ce que l'outil demande réellement
L'instrument est construit en quatre exhibits, et un examinateur commence généralement par le premier et escalade selon ce qui lui revient.
Combien de systèmes d'IA et d'apprentissage automatique sont en usage, dans quelles fonctions (souscription, tarification, sinistres, fraude, marketing), affectant quelles décisions, et conçus à l'interne, achetés d'un fournisseur ou un hybride des deux.
Le cadre de gouvernance et d'évaluation des risques : qui est responsable, comment l'efficacité est évaluée, quelle surveillance existe, et quelle diligence raisonnable est faite sur les systèmes des fournisseurs tiers.
Pour les systèmes que l'assureur classe comme à haut risque : conception du modèle, données d'entraînement, procédures de validation, mesures de performance et résultats des tests de biais. La documentation dont un examinateur a besoin pour comprendre ce que fait le modèle et comment vous savez qu'il fonctionne.
Sources de données, contrôles de qualité, représentativité, traçabilité, et dépistage des indicateurs indirects de la race et de l'origine ethnique. La NAIC s'intéresse précisément aux données de tarification, aux données des médias sociaux et à l'imagerie aérienne qui peuvent corréler avec des caractéristiques protégées.
Remarquez ce que ces questions présupposent. Elles présupposent que vous pouvez produire, après coup, un compte rendu cohérent du modèle qui a tourné, des données qu'il a vues, de la façon dont il a été validé et de ce qu'il a produit. Elles présupposent que le modèle que vous avez documenté l'an dernier est le modèle qui a réellement évalué la police cette année. Elles présupposent que la traçabilité est reconstructible. Pour beaucoup d'IA en production, ces présupposés ne tiennent pas, et un rapport de gouvernance rédigé au présent n'est pas le même artefact qu'une piste de preuve qui peut être reconstruite au passé.
La partie que la plupart des assureurs ratent
Voici la partie qui transforme cela d'un exercice de documentation en un problème structurel. Le cadre de la NAIC ne fait aucune distinction entre l'IA qu'un assureur construit et l'IA qu'un assureur achète. La responsabilité reste à l'assureur dans les deux cas. Si le modèle d'un fournisseur tiers a contribué à une décision de souscription ou de sinistre, c'est l'assureur, et non le fournisseur, qui doit répondre aux questions de l'examinateur à son sujet.
La NAIC construit une voie parallèle pour cela. Un groupe de travail distinct a fait circuler un cadre préliminaire qui obligerait les fournisseurs tiers de données et de modèles à s'enregistrer auprès des départements d'assurance des États, à déposer la documentation de leurs modèles et à soumettre une attestation annuelle. Mais les régulateurs ont été explicites sur ce que ce registre est et n'est pas. Il crée de la visibilité, pas une exonération. Dans leur propre formulation, l'enregistrement est un préalable, pas un substitut, à la diligence propre de l'assureur. La responsabilité ne se transfère pas au fournisseur enregistré.
C'est là l'écart. Un assureur peut collecter tous les rapports SOC et tous les résumés d'IA responsable que ses fournisseurs voudront bien fournir et n'avoir tout de même rien qui réponde à la question pour laquelle un examen est conçu : qu'est-ce que ce modèle a fait, sur ces données, à cette date, et comment le savez-vous. Le fournisseur a rédigé ces résumés à son propre sujet. Ce sont les affirmations du fournisseur que la bonne chose s'est produite, et non une preuve indépendante qu'elle s'est produite.
Où s'en va la norme
L'outil d'aujourd'hui est fondé sur des principes. Il n'emploie pas les mots « reçu inviolable » ni « reproduisez cette inférence ». Je tiens à être prudent et à ne pas prétendre qu'une règle existe alors qu'elle n'existe pas encore. Mais la direction n'a rien de subtil, et ce n'est pas seulement une histoire d'assurance.
Dans les secteurs réglementés en 2026, la conversation sur l'audit est passée de « montrez-moi vos journaux » à quelque chose de plus strict : reproduisez ce résultat, nommez chaque intrant que le modèle a vu, dites-moi quelle version du modèle et quelle police l'ont produit, et prouvez que le dossier n'a pas été altéré. Les directives sur les contrôles internes publiées cette année exigent une piste d'audit complète et non modifiable, suffisante pour reconstruire ce sur quoi un système d'IA a agi, et assez inviolable pour tenir lieu de preuve. La demande converge vers la reconstruction, et un journal qu'un fournisseur tient à son propre sujet ne répond pas à une norme de reconstruction.
L'assurance est simplement le secteur où un régulateur a construit l'instrument en premier. L'outil de la NAIC est un gabarit de travail de ce à quoi ressemble « examiner l'IA » en pratique : un inventaire, un dossier de gouvernance, le détail au niveau des modèles, la traçabilité des données et une responsabilité des fournisseurs qui ne se transfère pas. Il n'est pas difficile d'imaginer d'autres régulateurs, en santé, en banque, dans tout domaine où un modèle tiers pilote une décision conséquente, arriver à la même forme de question. C'est une prévision, pas un fait. Mais c'est la prévision sur laquelle je miserais, parce que la question sous-jacente est la même partout : quand le modèle n'est pas le vôtre, comment prouvez-vous ce qu'il a fait ?
Quoi faire avec six mois
Pour les assureurs des États pilotes, les demandes arrivent maintenant. Pour tous les autres, l'adoption de novembre est le moment où l'instrument devient national. Dans les deux cas, le cadrage utile est celui-ci : six mois suffisent pour bâtir une infrastructure qui produit de la preuve en continu, à partir de ce point. Ce n'est pas assez de temps pour reconstruire une piste de preuve que vous n'avez jamais captée.
Cette asymétrie est tout l'argument en faveur du traitement de la vérifiabilité comme quelque chose que l'on intègre dès le départ plutôt que l'on documente après coup. L'assureur qui peut produire un dossier inviolable et vérifiable de façon indépendante de ce que chaque modèle a fait, sur quelles données, et quand, peut répondre à l'examen. L'assureur qui s'appuie sur les assurances autorédigées de ses fournisseurs parie que l'examinateur ne posera jamais la seule question à laquelle ces assurances n'ont jamais été conçues pour répondre.