|
L'intelligence artificielle dans le secteur de l'assurancepar Georges BERGER Université de Strasbourg - M2 Droit de l'économie numérique 2020 |
Chapitre 2 :Une gouvernance interne primordiale
préalablement au Selon l'étude réalisée conjointement par PwC France et l'Usine Digitale concernant l'intelligence artificielle et le big data, la moitié des entreprises sondées exploite moins de 25% de la donnée collectée et analysée. Plus particulièrement, « les entreprises sont dans l'ensemble plus promptes à collecter les données qu'à les exploiter. En effet, 51% des répondants attribuent une note entre 7 et 10/10 à la collecte des données, contre seulement 36% à l'analyse et 33% à l'exploitation des données87 ». Ces résultats s'expliquent en réalité par combinaison de deux facteurs. D'abord, le recours à l'intelligence artificielle - outil de traitement et de valorisation de la donnée - dépend de la taille de l'entreprise en effectif. Ensuite, le recours à l'intelligence artificielle est corrélé au chiffre d'affaire. Néanmoins, ces résultats montrent clairement une difficulté, non pas pour collecter les données, mais pour les exploiter, et donc créer de la valeur. Pourtant, l'intelligence artificielle intrigue puisque selon les dernières prédictions du cabinet PwC, 9 dirigeants sur 10 considèrent que l'intelligence artificielle présente plus d'opportunités que de risques88. Toutefois, afin de pouvoir en tirer pleinement partie, il semble nécessaire que les acteurs de l'assurance adoptent une véritable gouvernance de l'intelligence artificielle afin de pouvoir en maitriser tous les aspects. Cette gouvernance nécessite en pratique d'établir une stratégie d'entreprise (Section 1), et d'accorder une vigilance particulière à la sécurité (Section 2). Section 1. L'impératif d'une stratégie de la donnée avant l'intégration des outils d'intelligence artificielle Comme nous l'avons précédemment vu, les données occupent une place prépondérante dans le secteur assurantiel. À cet égard, Salah Kamel, PDG de Semarchy, a souligné « les données sont à l'IA ce que les nucélotides sont à l'ADN89 », soulignant les rapports existants 88 https://www.pwc.fr/fr/publications/data/predictions-ia-2020.html 89 https://www.decideo.fr/L-Intelligence-Artificielle-l-ADN-qui-donne-vie-aux- donnees_a11832.html#:~:text=Les%20donn%C3%A9es%20sont%20%C3%A0%20l,nucl%C3%A9otides%20sont%20%C3%A0%20l'ADN &text=Aujourd'hui%2C%20les%20donn%C3%A9es%20ne,par%20exemple%20la%20parole%20humaine. 60/97 entre les données et l'intelligence artificielle. Dans ce contexte, leur valorisation est impérative et s'impose comme un enjeu stratégique, devant permettre aux organisations de créer de valeur. Mais pour réussir l'intégration de l'intelligence artificielle, il est nécessaire préalablement d'adopter une véritable stratégie fondée sur la donnée et l'intégration de l'intelligence artificielle. Cette démarche est nécessaire afin de délimiter le cadre d'intervention de l'intelligence artificielle. En outre, cette stratégie est rendue nécessaire afin de ne pas fausser les résultats de l'intelligence artificielle et surtout, d'obtenir des résultats pertinents. Cette stratégie peut être définie comme l'ensemble des actions, opérations, et processus en vue d'atteindre la vision voulue par l'entreprise. Pour ce faire, cette stratégie se fonde sur trois étapes fondamentales et requises afin de parvenir à l'intégration des nouveaux procédés d'intelligence d'artificielle, qui sont la détermination d'une vision stratégique globale, l'identification du périmètre de la transformation, et la mise en oeuvre des initiatives prioritaires90. Plus particulièrement, pour parvenir à la réalisation des objectifs fixés, et surtout afin de pouvoir développer une approche raisonnée et cohérente, il est nécessaire de prendre en considération certains aspects essentiels. Le premier aspect concerne les données nécessaires à l'intégration de l'intelligence artificielle. D'une part, il est nécessaire de déterminer avec précision la nature précise des données devant être exploitées dans le déploiement de l'intelligence artificielle. D'autre part, afin de garantir la pertinence des résultats, il apparait nécessaire d'assurer la qualité des données contenues sur les systèmes d'information. S'il n'existe pas définition légale de la qualité des données, cette notion peut cependant être définie comme l'aptitude de l'ensemble des données à satisfaire des exigences internes (pilotage, prise de décision, etc.) et des exigences externes (réglementation, etc.). Pour pouvoir assurer la qualité des données contenues dans un système d'information, il est nécessaire de prendre en considération plusieurs critères : - la fraicheur, qui suppose un bref délai entre la collecte de la donnée et son analyse ; - la disponibilité de la donnée, qui suppose des temps d'accès corrects aux bases de données, du classement des données, de la présentation claire et intelligible des données, mais également de la mise à disposition aux utilisateurs des outils nécessaires pour accès à ces données ; - la cohérence des données collectées, eu égard la finalité et les objectifs de la collecte ; 90 McKinsey France, Accélérer la mutation numérique des entreprises : un gisement de croissance et de compétitivité pour la France, Septembre 2014 - la traçabilité, permettant de suivre le cheminement de l'information de sa collecte jusqu'à sa restitution ; - la sécurisation des données, et ; - l'exhaustivité des données. Le deuxième vise à prendre en considération l'environnement externe. À cet égard, il est important pour les assureurs de développer une approche respectueuse de la règlementation applicable au secteur, qu'il des règles relatives au portage du risque, à la lutte contre le blanchiment, mais également en matière de protection des données personnelles. Le troisième aspect essentiel à prendre en considération le facteur humain. Plus spécifiquement, afin de pouvoir mener à bien l'intégration des outils d'intelligence artificielle dans l'organisation, il est nécessaire pour les compagnies de prévoir les compétences requises pour y parvenir. Comme le précise le rapport d'IBM de 201991, la construction et le déploiement des outils d'intelligence artificielle peuvent nécessiter une équipe de développeurs, d'analyste business, d'architecte IT, d'analystes et d'ingénieurs data. À cet égard, ce point appelle deux remarques. D'abord, il apparait primordial pour les compagnies du secteur de budgétiser dès le départ les ressources nécessaires à l'embauche de ces nouvelles recrues issues principalement du numérique. Ensuite, cette nouvelle embauche doit passer par une campagne de recrutement active des assureurs, qui doivent engager les moyens nécessaires afin d'attirer les profils indispensables à la bonne réalisation de la stratégie. Aussi, outre les nouveaux recrutements induits par la construction des nouveaux systèmes d'intelligence artificielle, il est également nécessaire de prévoir en amont l'acculturation et la formation des collaborateurs de l'entreprise. En ce sens, nous avons vu précédemment que l'intelligence artificielle doit permettre de rendre l'organisation plus agile, en effaçant les cloisonnements traditionnels entre les métiers et en offrant des possibilités d'automatiser une partie des tâches répétitives. Dans ce contexte, les métiers évoluant, il est nécessaire que cette mutation s'accompagne d'une part, d'une réévaluation des effectifs et de la planification des charges de travail requises, et d'autre part d'un accompagnement des collaborateurs par la mise en place de plans de formation personnalisés. 61/97 91 IBM Power Systems, Considering the impact of AI in insurance, Becky Humphreys, Sam Jones, Mark Woolnough, 2019 Par ailleurs, il est crucial de prendre en considération la structure informatique existante dans l'entreprise. En effet, afin de pouvoir capitaliser sur les nouveaux procédés d'intelligence artificielle, il est non seulement nécessaire de déterminer les capacités informatiques existantes avant l'implémentation de l'intelligence artificielle dans le système, mais également de prévoir les besoins en terme de réorganisation des systèmes informatiques, notamment en terme de stockage (stockage physique, solutions cloud public ou privé, externalisation, etc.), d'évolution des bases de données, d'interopérabilité, de capacité de calcul et de traitement de l'information, etc. Cette démarche est essentielle puisqu'en omettant de définir les besoins informatiques, l'organisation s'expose à un cloisonnement des systèmes et des utilisations, contreproductives dans un cadre où l'intelligence artificielle vise à cultiver la transversalité des métiers et le dé-silotage des organisations. Enfin, cette stratégie, pour être effective, doit intégrer une structure de la gouvernance de la stratégie, qui se doit d'être multidisciplinaire (des experts du management, des achats, de la conformité, des technologies et des données, ainsi que des responsables de processus issus de différentes fonctions), l'idée étant de couvrir l'ensemble des fonctions de l'entreprise pour une prise en compte de l'ensemble des problématiques des différents métiers et une meilleure compréhension des enjeux. En ce sens, il donc nécessaire pour les assureurs de développer une approche conciliant stratégie métiers et stratégie data. C'est d'ailleurs la préconisation du cabinet Deloitte en la matière, soulignant dans son étude que « 90% des assureurs interrogés indiquent avoir une approche data indépendante de la stratégie métier92 », la data étant encore trop souvent associée aux seules directions IT, là où elle devrait alimenter l'ensemble des fonctions et métiers. Plus spécifiquement s'agissant de l'assurance, l'ACPR a en substance retenu la même approche, et a pu préciser à cet égard qu'il est primordial pour les assureurs de tenir compte de leurs caractéristiques propres afin de conduire leur transformation numérique. Plus particulièrement, l'ACPR souligne que les entreprises d'assurance doivent gérer trois héritages du passé censés permettre aux compagnies, une fois leur transformation achevée, de pouvoir se positionner stratégiquement sur le marché. Ces trois héritages sont l'héritage informatique, par l'adoption de méthodes agiles, l'héritage des ressources humaines, par une acculturation 62/97 92 Cabinet Deloitte, A little less conversation, a lot more action - tactics to get satisfaction from data analytics, 2017 63/97 des collaborateurs aux nouveaux outils, et un héritage des processus de la relation client, au coeur de l'activité et devant guider les mutations du secteur93. En tout état de cause, cette démarche est primordiale préalablement à toute intégration de systèmes d'intelligence artificielle, tant elle vise à déterminer de manière précise la situation de départ, l'objectif à atteindre, et les moyens pour y parvenir. De manière plus pragmatique, un assureur qui intégrerait les nouveaux outils d'intelligence artificielle sans préalablement en étudier les moyens pour y parvenir s'exposerait à plusieurs risques. D'abord, l'absence de stratégie maximise les risques d'introduire dans le système des données peu qualitatives ou erronées, augmentant le risque de résultats « biaisés » par l'intelligence artificielle. En outre, cette situation augmente le risque d'une intelligence artificielle peu respectueuse non seulement des obligations légales applicables aux assureurs, mais également des droits et libertés reconnus aux individus. Par exemple, dans le champ de l'assurance de personne, l'absence d'un cadre clair et d'une délimitation du champ d'intervention de l'intelligence artificielle augmente pourrait entrainer la collecte de données de santé sans respecter les précautions particulières devant être mises en oeuvre s'agissant de ce type de données, considérées comme sensibles au regard du RGPD. Surtout, en l'absence de stratégie d'intégration, la situation pourrait conduire à un effet inverse. En effet, s'agissant des collaborateurs, un champ d'intervention de l'intelligence artificielle et une mauvaise intégration pourrait conduire un cloisonnement des métiers plutôt qu'à une transversalité et une synergie, au risque d'un abandon de ces outils. S'agissant du client, les risques ne sont pas négligeables. En effet, par exemple, en gestion de sinistres, une mauvaise programmation pourrait conduire à une mauvaise collecte des données. Sur la base de ces données, l'intelligence artificielle pourrait mal interpréter les faits d'un sinistre et retenir un partage de responsabilité erroné dans un sinistre automobile. Outre l'erreur en termes de gestion du sinistre, cette situation crée de l'insatisfaction, avec le risque que celui-ci résilie et/ou le risque d'une mauvaise réputation sur le long terme par le partage d'expérience sur les réseaux. 93 Autorité de Contrôle Prudentiel et de Résolution, Étude sur la révolution numérique dans le secteur français de l'assurance, n°87 - Mars 2018 64/97 Si une stratégie de la donnée et d'intégration des nouveaux outils d'intelligence artificielle est nécessaire, la question de la sécurité des infrastructures doit également être prise en compte en amont par les acteurs du secteur. Section 2. L'importance d'une prise en considération des risques liés à la sécurité des procédés d'intelligence artificielle Par nature, l'environnement numérique est caractérisé par une plus grande fragilité que le monde physique, notamment en raison de la dématérialisation de l'information. En effet, l'information est par nature immatérielle, impliquant de facto une double vulnérabilité : celle affectant le support physique (contenant) et celle affectant la donnée, entendue comme la signification, la représentation de l'information (contenu). Face à la multiplication des attaques d'envergure (Maze, Wannacry, Petya, etc), « parler de cyber résilience aujourd'hui revient à admettre qu'il est impossible d'empêcher l'avènement de cyber incidents, que le cyber espace est un monde fragile, instable et potentiellement hostile. Faire de la cyber résilience ne signifie pas se résoudre à l'incapacité de protéger correctement les infrastructures informationnelles, mais plutôt à reconnaître objectivement l'insuffisante efficacité des mesures de sécurité préventives, qu'elles soient d'ordre politique, organisationnelle, managériale, juridique ou technique94 ». La cyber résilience étant devenue aujourd'hui un impératif afin de réduire les risques technologiques inhérents à cet élan constant de numérisation, il est nécessaire de prendre les mesures nécessaires afin de pouvoir assurer la sécurité, tant des structures physiques, que des données numériques possédées. Afin de garantir la sécurité des systèmes d'information, il existe six concepts de base que chaque entreprise doit poursuivre lors de l'établissement d'une politique de sécurisation des systèmes d'information et de gestion des risques cyber. Alors que les trois premiers, référencés selon l'acronyme anglais « CIA » (Confidentiality, Integrity, Availability), s'imposent 94 Solange Ghernaouti et Christian Aghroum, Cyber-résilience, risques et dépendances : pour une nouvelle approche de la cyber-sécurité, 2012 65/97 comme des objectifs des sécurité, les trois autres acronymes (« AAA » pour Authentication, Authorization, Acccounting), constituent des fonctions de sécurité (voir annexe 9). Si ces attaques semblent inévitables, il faut également souligner que les conséquences de ces attaques sont également nombreuses. Ainsi, outre une indisponibilité des services et du site de l'entreprise pendant une période significative, un ralentissement ou un arrêt total de la production pendant quelques heures, mais également une perte du chiffre d'affaires et une obligation de remplacer du matériel endommagé. En outre, le Cabinet Deloitte, spécialisé dans l'audit professionnel, a pu mettre avant le fait que les estimations des conséquences d'une cyber attaque sont généralement erronées, et se limitent à la « partie émergée de l'iceberg »95. En effet, ces estimations ne prennent en compte que les coûts les plus évidents. Or, une cyberattaque entraine également des coûts beaucoup plus diffus et difficiles à chiffrer, comme la perte de confiance accordée par le client, l'érosion du chiffre d'affaires liés à la perte de contrats client, ou encore dépréciation de la valeur de marque (préjudice d'image et atteinte à la réputation). Et les exemples foisonnent en la matière, comme en témoigne la récente attaque informatique commise contre l'assureur MMA au courant du mois de juillet 2020. Bien qu'aucune donnée concernant les assurés n'ait été dérobée, l'attaque a entrainé l'arrêt des systèmes de l'entreprise pendant plusieurs jours, rendant indisponibles le site web de l'entreprise, mais également l'intégralité de l'intranet et des applicatifs nécessaires à la poursuite de l'activité96. En pratique, l'intelligence artificielle ne fait pas exception à la règle et est, elle aussi, exposée au phénomène. En effet, dans un rapport de 201997, le cabinet Wavestone, identifie trois principaux moyens d'attaque à l'encontre des procédés d'intelligence artificielle : - les attaques par empoisonnement, ciblant spécifiquement la phase d'apprentissage automatique de l'IA. En agissant à l'occasion de cette phase, l'attaque souhaite modifier le comportement de l'intelligence artificielle en influençant le jeu de données utilisés par l'IA. C'est typiquement le procédé qui a été utilisé par les utilisateurs de Twitter afin de pousser Tay, l'intelligence artificielle déployée par Microsoft, à tenir des propos racistes et négationnistes. 95 Cabinet Deloitte, Beneath the surface of a cyberattack, a deeper look at business impacts, 2016 97 Wavestone, Intelligence artificielle et cybersécurité : protéger dès maintenant le monde de demain, 2019 66/97 - les attaques par interférence, par lesquelles l'attaquant teste successivement différentes requêtes adressées à l'IA et étudie l'évolution de son comportement. Par ce procédé, « l'attaquant cherche ici soit la récupération des données utilisées par l'IA (en apprentissage ou en production), soit le vol du modèle (ou de certains de ses paramètres) ». C'est notamment le procédé qui a été utilisé pour contourner le dispositif de sécurité « Face ID » équipant les iPhone X. Ainsi, à l'aide d'une paire de lunettes, d'un ruban adhésif, et d'un utilisateur endormi afin de déverrouiller l'appareil. Prouvant que le système ne teste pas la vivacité, mais simplement l'existence de similitudes, il est donc possible de contourner l'authentification à l'aide de masques imprimés en 3D98. - les attaques par évasion, qui visent à détourner le fonctionnement de l'IA par illusion, en jouant sur les données d'entrée de l'application. Ainsi, en introduisant un bruit à l'entrée, l'attaquant détourne le comportement de l'IA au stade du traitement de l'information, afin que le système produise une décision différente de celle normalement attendue par l'application. Plus particulièrement, l'utilisation croisée des technologies, dont notamment les objets connectés, augmentent les failles dans la sécurité et les risques en découlant. En effet, en raison probablement d'une sécurisation très faible de ces objets connectés, de la disponibilité continue des machines, et du nombre important d'objets en circulation facilitant les attaques de grande ampleur, les objets connectés connaissent une augmentation des attaques les concernant depuis 201699. Dans ce contexte, les acteurs du secteur de l'assurance doivent tenir compte, en amont de l'intégration de ces nouveaux outils, des risques liés à la cybersécurité. Cette question est d'ailleurs rendue nécessaires au regard de deux éléments complémentaires. D'une part, au-delà de la protection des données de la personne concernée, le RGPD impose aux responsables de traitement et leurs sous-traitant des standards de sécurité à mettre en oeuvre afin de garantir la disponibilité, l'intégrité et la confidentialité des données traitées. Ainsi, aux termes des articles 25 et 32 du Règlement, les responsables de traitement et leurs sous-traitants doivent prendre toutes les mesures physiques, logiques et organisationnelles 99 ANSSI, État de la menace liée aux botnets, version 2.0.4, novembre 2019 67/97 requises afin de garantir un niveau de sécurité adapté au risque. En outre, l'article 33 du Règlement oblige le responsable de traitement à notifier, dans les cas explicités par l'article, les violations de données aux personnes concernées et/ou à l'autorité de contrôle nationale. Plus particulièrement, toute violation de sécurité portant sur les données personnelles et présentant des risques pour les personnes concernées doit faire l'objet d'une notification auprès de l'autorité de contrôle dans les 72 heures suivant la connaissance de la violation. Le responsable du traitement doit également en informer les personnes concernées s'il existe un risque élevé pour leurs droits et libertés. En outre, cette notification doit indiquer les conséquences probables de cette violation et les mesures prises pour y remédier, ce qui représente un coût pour les entreprises concernées (identification de l'incident, recherche de l'origine, frais relatifs à l'identification des personnes concernées par la violation, frais d'envoi des notifications, etc.). Ainsi, les assureurs, également soumis à cette réglementation, doivent nécessairement intégrer cette question de la sécurité des outils d'intelligence artificielle (mais également des objets connectés) dans leur stratégie d'intégration, et doivent donc à ce titre adopter un comportement actif en la matière. D'autre part, nous avons vu précédemment que le déploiement de l'intelligence artificielle dans le secteur de l'assurance supposait une approche favorisant la confiance des utilisateurs. En tout état de cause, si cette confiance passe par l'adoption d'une approche éthique de l'intelligence artificielle, il faut cependant souligner que la sécurité des infrastructures et systèmes informatiques visent également à accroitre la confiance. Ainsi, la sécurité des infrastructures doit être pleinement prise en considération lors de l'intégration des outils d'intelligence artificielle afin de cultiver cette confiance, nécessaire et importante dans un secteur où la satisfaction du client occupe une place centrale. 68/97 |
|
