Le département des services financiers de New York publie de nouvelles directives concernant l'utilisation de l'intelligence artificielle dans le domaine de l'assurance – Ce que vous devez savoir

Le 11 juillet 2024, le Département des services financiers de New York (DFS) a publié la circulaire n° 7 (2024) (lettre n° 7) adoptant des lignes directrices concernant l'utilisation de l'intelligence artificielle (IA) dans les décisions de souscription et de tarification. Ces lignes directrices exigent des assureurs qu'ils élaborent et mettent en œuvre un cadre de gouvernance pour gérer les risques liés à l'IA, qui devrait inclure une surveillance par le conseil d'administration, la direction générale et le personnel qualifié. Dans un communiqué de presse annonçant la Lettre n° 7, la surintendante du DFS, Adrienne Harris, a décrit l'objectif de la lettre comme étant « de garantir que la mise en œuvre de l'IA dans le domaine de l'assurance ne perpétue ni n'amplifie les biais systémiques qui ont entraîné une discrimination illégale ou injuste, tout en préservant la stabilité du marché ».

Résumé des recommandations de la lettre n° 7 et principaux points à retenir en matière de conformité

Par la lettre n° 7, le DFS cherche à fournir des orientations aux assureurs autorisés à souscrire des assurances dans l'État de New York, aux sociétés relevant de l'article 43, aux organismes de maintenance de la santé, aux sociétés de secours mutuel agréées et au Fonds d'assurance de l'État de New York (collectivement, les « assureurs ») concernant le développement et la gestion de l'utilisation des données et sources d'informations externes sur les consommateurs (ECDIS), des systèmes d'intelligence artificielle (AIS) et d'autres modèles prédictifs d'IA déployés dans la souscription et la tarification des polices d'assurance et des contrats de rente.

Répondre aux préoccupations en matière d'équité

Si l'utilisation des systèmes ECIDS et AIS peut être bénéfique pour les assureurs, le DFS craint que l'utilisation de ces technologies ne renforce et n'exacerbe les inégalités et n'augmente les risques de résultats inexacts, arbitraires, capricieux ou injustement discriminatoires, qui peuvent tous affecter de manière disproportionnée les communautés et les personnes vulnérables ou nuire au marché de l'assurance à New York. Les sources, l'exactitude et la fiabilité de l'ECDIS sont particulièrement préoccupantes, surtout lorsque la source n'est pas soumise à la surveillance réglementaire du DFS, tout comme le comportement d'auto-apprentissage de l'AIS, qui peut renforcer et amplifier les effets disproportionnés sur les personnes et les communautés vulnérables. Par conséquent, les assureurs doivent désormais être en mesure de démontrer que les ECDIS et AIS utilisés pour la souscription et la tarification sont conformes aux normes actuarielles généralement acceptées et doivent démontrer une relation claire, empirique, statistiquement significative, rationnelle et non injustement discriminatoire entre les variables utilisées et le risque pertinent de l'assuré.

Afin d'utiliser l'ECDIS ou l'AIS dans le cadre de la souscription ou de la tarification, un assureur doit établir, au moyen d'une évaluation exhaustive, que les directives de souscription et de tarification dérivées de l'IA ne violent pas la loi sur les assurances. Une telle évaluation exhaustive doit, au minimum, comporter les trois étapes suivantes :

1. Évaluer si l'utilisation de l'ECDIS ou de l'AIS produit des effets négatifs disproportionnés sur la souscription ou la tarification pour des assurés se trouvant dans une situation similaire ou pour des assurés appartenant à une catégorie protégée.
2. Évaluer s'il existe une explication ou une justification légitime, légale et équitable pour l'effet différentiel sur des assurés se trouvant dans une situation similaire.
3. Mener et documenter de manière appropriée une recherche et une analyse visant à trouver une ou plusieurs variables ou méthodologies alternatives moins discriminatoires.

Impact sur la gouvernance d'entreprise

Conformément à l'article 11 NYCRR § 90.2, les assureurs sont tenus de mettre en place des cadres de gouvernance d'entreprise adaptés à leur nature, leur taille et leur complexité. Ce cadre doit permettre un contrôle rigoureux de l'utilisation de l'IA par l'assureur, dans l'esprit de la lettre n° 7. Ce contrôle est exercé par le conseil d'administration de chaque assureur, et le cadre de gouvernance doit définir clairement les responsabilités liées à l'utilisation de l'IA et veiller à ce que la direction soit en mesure de comprendre l'impact global de l'IA sur le secteur de l'assurance. La lettre n° 7 prévoit en outre que les assureurs qui utilisent l'IA doivent formaliser le développement et la gestion de ces technologies dans des politiques et procédures écrites, sous la forme d'un document « évolutif » qui doit être révisé et approuvé au moins une fois par an par les organes dirigeants ou la haute direction des assureurs (si cette tâche leur est déléguée) afin de tenir compte de l'évolution rapide du marché et de se conformer aux meilleures pratiques du secteur.

Outre les politiques et procédures écrites, les assureurs doivent conserver une documentation complète relative à l'utilisation de toute IA, qu'elle soit développée en interne ou par des tiers (conformément à la norme 11 NYCRR 243). Les assureurs doivent gérer les risques pertinents à chaque étape du cycle de vie de l'AIS, ainsi que dans leur ensemble, ce qui peut être réalisé dans le cadre d'une fonction de gestion des risques existante ou séparément dans le cadre d'un programme indépendant. Conformément à la norme 11 NYCRR § 89.16, les assureurs doivent déjà disposer d'une fonction d'audit interne chargée de réaliser les audits, examens et tests généraux et spécifiques nécessaires pour protéger les actifs, évaluer l'efficacité et l'efficience des contrôles et évaluer la conformité aux politiques et réglementations. Les nouvelles directives exigent que la fonction d'audit interne soit adaptée de manière appropriée à toute utilisation de l'ECDIS et de l'AIS.

Les assureurs doivent comprendre comment l'ECDIS ou l'AIS sont utilisés dans les outils fournis par des fournisseurs tiers qu'ils utilisent pour la souscription et la tarification, et ont la responsabilité de s'assurer que ces outils répondent à toutes les exigences légales et réglementaires. Les assureurs doivent élaborer des normes, des politiques, des procédures et des protocoles écrits pour l'acquisition, l'utilisation ou l'exploitation de tout ECDIS ou AIS tiers. Les assureurs doivent également élaborer des procédures pour corriger et éliminer les informations incorrectes de leur AIS que l'assureur a identifiées ou qui ont été signalées à un fournisseur tiers.

La transparence est essentielle

Les assureurs doivent informer les assurés potentiels de toute utilisation de l'ECDIS ou de l'AIS dans le cadre de la souscription ou de la tarification. Cette divulgation doit inclure : (i) si l'assureur utilise l'AIS dans son processus de souscription ou de tarification ; (ii) si l'assureur utilise des données sur la personne obtenues auprès de fournisseurs externes (par exemple, via l'ECDIS) ; et (iii) que cette personne a le droit de demander des informations sur les données spécifiques qui ont conduit à la décision de souscription ou de tarification, y compris les coordonnées pour faire une telle demande. En cas de refus, de limitation, de différence de tarif ou de toute autre décision de souscription défavorable, la ou les raisons fournies à l'assuré ou à l'assuré potentiel doivent inclure des détails sur toutes les informations sur lesquelles l'assureur a fondé sa décision. Le DFS estime désormais que le fait de ne pas divulguer de manière adéquate les éléments importants d'un AIS et les sources de données externes sur lesquelles il s'appuie (qu'elles proviennent ou non de l'ECDIS) à un consommateur peut constituer une pratique commerciale déloyale au sens de la loi sur les assurances.

Nous sommes là pour vous aider

Notre équipe juridique est là pour vous aider à vous y retrouver dans ce paysage réglementaire en constante évolution. Nous pouvons vous aider dans les domaines suivants :

• Évaluation d'impact : Évaluation de l'impact des nouvelles réglementations sur vos systèmes ECDIS ou IA existants.
• Procédures de conformité : Élaboration de procédures conformes pour l'analyse ECDIS et AIS.
• Élaboration d'un cadre de gouvernance : mise en œuvre d'un cadre de gouvernance solide pour la surveillance de l'ECDIS et de l'IA.
• Informations destinées aux consommateurs : rédaction d'informations claires et concises destinées aux consommateurs concernant l'utilisation de l'ECDIS ou de l'IA dans les décisions en matière d'assurance.

En répondant de manière proactive à ces exigences, vous pouvez garantir que votre entreprise reste conforme à la lettre n° 7 et à toutes les autres exigences applicables du DFS, et minimiser le risque de mesures réglementaires. N'hésitez pas à nous contacter pour obtenir des conseils supplémentaires sur la manière d'aborder cette nouvelle ère d'utilisation des données électroniques et de l'IA dans le domaine de l'assurance.