Mon entreprise utilise un outil de tri de CV par IA — suis-je concerné ?

Oui. Les systèmes d'IA dans le recrutement et la gestion RH sont classés « haut risque » à l'annexe III du règlement. À partir du 2 août 2026, vous devez notamment garantir la supervision humaine, informer les candidats et tenir une documentation prouvant l'absence de biais.

Les chatbots sont-ils interdits ou réglementés ?

Ni interdits, ni « haut risque ». Les chatbots relèvent du risque limité : la seule obligation est d'informer clairement l'utilisateur qu'il interagit avec une IA. Mais si le chatbot prend des décisions qui affectent l'accès à un service essentiel (crédit, assurance), il peut basculer en haut risque.

Ma RC Pro couvre-t-elle un litige lié à une décision IA biaisée ?

Pas automatiquement. Beaucoup d'assureurs introduisent en 2026 des exclusions « algorithmic liability ». Vérifiez explicitement le contrat ou négociez une extension dédiée couvrant les dommages causés par les décisions automatisées et le biais algorithmique.

Qui est responsable, le fournisseur d'IA ou mon entreprise ?

Les deux, à des titres différents. Le fournisseur (éditeur) est responsable de la conformité du système ; le déployeur (votre entreprise) est responsable de l'usage qui en est fait, de l'information des utilisateurs finaux et de la supervision humaine. Le contrat fournisseur doit clarifier la répartition.

Actualité22 avril 20269 min de lectureMis à jour le 28 avril 2026

AI Act du 2 août 2026 : quelles obligations et quelle assurance pour votre entreprise ?

L'AI Act, premier cadre mondial sur l'intelligence artificielle, devient pleinement applicable le 2 août 2026. Sanctions jusqu'à 35 M€ ou 7 % du CA mondial : les entreprises doivent revoir leur conformité et leurs garanties.

L'Artificial Intelligence Act (règlement UE 2024/1689), entré en vigueur le 1er août 2024, devient pleinement applicable le 2 août 2026. C'est le premier cadre réglementaire mondial sur l'intelligence artificielle. Pour les entreprises françaises qui utilisent ou déploient des outils d'IA, l'échéance approche et les implications en matière d'assurance sont concrètes.

Quatre niveaux de risque, quatre régimes

Le règlement classe les systèmes d'IA en quatre niveaux de risque :

Risque inacceptable : notation sociale, manipulation comportementale subliminale, identification biométrique en temps réel dans l'espace public, exploitation de vulnérabilités. Interdits depuis le 2 février 2025.
Risque élevé : 8 domaines listés à l'annexe III, dont RH, accès aux services essentiels (crédit, assurance), éducation, justice.
Risque limité : chatbots, deepfakes, reconnaissance émotionnelle. Obligations de transparence.
Risque minimal : filtres antispam, jeux. Libres.

Les obligations « haut risque » applicables au 2 août 2026

À partir de cette date, toute entreprise utilisant un système d'IA à haut risque doit :

Constituer la documentation technique du système.
Mettre en place un système de gestion des risques.
Assurer la traçabilité des données d'entraînement.
Garantir une surveillance humaine effective des décisions automatisées.
Apposer le marquage CE et enregistrer le système dans la base européenne.
Notifier les incidents graves à l'autorité de surveillance.

Les fournisseurs (éditeurs), déployeurs (utilisateurs professionnels), importateurs et distributeurs sont chacun soumis à des obligations spécifiques selon leur position dans la chaîne de valeur. En France, l'autorité de surveillance désignée est principalement la CNIL, en lien avec l'ARCEP et la DGCCRF selon les secteurs.

Trois lignes d'assurance directement impactées

RC Professionnelle

Un algorithme de recrutement biaisé, un scoring crédit défaillant, une recommandation médicale erronée ou un chatbot diffusant une information fausse peuvent engager la responsabilité civile de l'entreprise utilisatrice. Les contrats RC Pro classiques ne couvrent pas systématiquement les dommages causés par les décisions algorithmiques ; certains assureurs introduisent en 2026 des exclusions spécifiques sauf souscription d'une extension dédiée.

Cyberassurance

Les modèles d'IA constituent de nouvelles cibles : prompt injection, empoisonnement de données d'entraînement, exfiltration de modèles, jailbreak. Les contrats doivent intégrer ces typologies.

RGPD et données personnelles

La plupart des systèmes d'IA traitent des données personnelles, ce qui rend la garantie atteinte aux données personnelles indispensable.

Barème de sanctions

Manquement	Plafond	% CA mondial
IA à risque inacceptable	35 M€	7 %
Obligations haut risque	15 M€	3 %
Informations inexactes aux autorités	7,5 M€	1 %

Le montant le plus élevé est retenu. Les PME bénéficient d'un plafonnement proportionné au plus bas des deux montants.

Six chantiers à boucler avant le 2 août 2026

Cartographier l'usage de l'IA (RH, marketing, finance, support, sécurité).
Classer chaque système selon les 4 niveaux de risque.
Désigner un référent IA et constituer la documentation technique pour les systèmes haut risque.
Informer utilisateurs et salariés concernés.
Mettre à jour les contrats fournisseurs IA (responsabilités fournisseur/déployeur).
Auditer les contrats d'assurance et négocier les extensions « algorithmic liability ».

Ineos Courtage accompagne les entreprises dans l'audit de leurs contrats d'assurance face aux nouveaux risques IA et négocie l'inclusion de garanties spécifiques (algorithmic liability, AI bias, model security, data poisoning) auprès des assureurs spécialisés.

Questions fréquentes

Sources et références

Règlement (UE) 2024/1689 — AI Act (texte officiel) — EUR-Lex
Intelligence artificielle — la position de la CNIL — CNIL
AI Act : ce que les entreprises doivent savoir — Service Public Entreprendre

Publié par Ineos Courtage · Cabinet de courtage en assurances — ORIAS 25000522