1. Cyber-assurance
Avec le développement rapide de la technologie, la diversité des risques s’est également accrue. Cette diversification a entraîné l’apparition de nouveaux types de polices d’assurance dans le droit des assurances. L’une de ces assurances est la cyber-assurance. Étant donné que les crimes et les délits se sont de plus en plus déplacés vers l’environnement numérique en raison de l’étroite interdépendance entre le monde virtuel et le monde réel, il est devenu nécessaire de couvrir les risques qui peuvent survenir dans le cyberespace.
Dans ce contexte, la cyber-assurance fait référence à un type de police visant à protéger les entreprises contre les dommages potentiels résultant de la divulgation ou de la compromission d’informations sensibles et confidentielles qui doivent être protégées.
Les événements qui peuvent survenir à la suite d’une cyberattaque comprennent la suppression ou la manipulation de données, l’interruption de l’activité ou de la production, l’extorsion, les menaces et l’atteinte à la réputation. L’atteinte à la réputation est considérée comme le risque le plus important.
Les cyberassurances sont un sujet d’actualité dans le monde entier depuis les années 1990, alors qu’en Turquie, la sensibilisation à ce sujet ne date que de 2010. Jusqu’à présent, il n’existe pas de législation spécifique sur la cyberassurance dans le droit turc. Par conséquent, les dispositions générales du code de commerce turc n° 6102 et d’autres dispositions pertinentes du droit des assurances s’appliquent à la cyberassurance.
2) L’utilisation de l’évaluation algorithmique des risques dans la cyberassurance
Les progrès technologiques rapides ont déclenché la transition numérique dans différents secteurs et ont également un impact sur le secteur de l’assurance. Dans ce contexte, l’intelligence artificielle (IA), qui commence à jouer un rôle important dans de nombreux secteurs, a également influencé plusieurs processus clés dans le domaine des assurances, notamment l’analyse des données, l’évaluation des risques, la tarification des polices, l’évaluation des sinistres et les relations avec les clients.
L’un des domaines où l’IA est la plus nécessaire est le calcul des risques dans la cyberassurance, qui implique des facteurs de risque très complexes, contrairement à des formes plus traditionnelles comme l’assurance vie, l’assurance dommages ou l’assurance commerciale.
L’IA peut analyser des ensembles de données vastes et complexes et utiliser des algorithmes pour effectuer une évaluation des risques afin d’évaluer le cyber-risque d’une entreprise. Un sous-domaine de l’IA, l’apprentissage automatique (ML), est capable d’identifier des modèles dans d’énormes ensembles de données et d’utiliser ces modèles pour effectuer des évaluations prédictives. Le ML joue donc un rôle actif dans l’évaluation des risques. Il crée des évaluations des risques en prenant en compte des paramètres tels que les antécédents d’une entreprise en matière de cyberattaques, son infrastructure informatique et la sensibilisation de son personnel à la cybersécurité.
3) Inconvénients des applications de l’IA dans le secteur des assurances : Asymétrie des informations
Les algorithmes d’IA et de ML étant complexes et souvent difficiles à interpréter, il est difficile pour les utilisateurs de comprendre comment les décisions sont prises et d’identifier ou de corriger les éventuelles erreurs et distorsions. L’opacité du fonctionnement interne de ces algorithmes peut saper la confiance des utilisateurs et conduire à des pratiques potentiellement déloyales. C’est pourquoi l’explicabilité et la transparence des systèmes d’IA et de ML sont essentielles.
Si ces algorithmes ne peuvent pas être suffisamment compris par les preneurs d’assurance – ou si l’incapacité à les comprendre empêche d’identifier les erreurs sous-jacentes -, un problème d’asymétrie de l’information dans le contrat d’assurance se pose du point de vue du preneur d’assurance.
« Asymétrie de l’information » fait référence à un déséquilibre dans lequel une partie au contrat dispose de plus ou de meilleures informations que l’autre. Dans ce contexte, l’égalité d’accès à l’information signifie que les deux parties peuvent obtenir les informations pertinentes sans difficultés excessives et sont sur un pied d’égalité en ce qui concerne les événements incertains qui affectent le contrat.
Dans le cas des contrats d’assurance, le preneur d’assurance a généralement moins de connaissances techniques que l’assureur en ce qui concerne les conditions contractuelles préétablies et la couverture d’assurance elle-même. Par conséquent, le preneur d’assurance est considéré comme la partie la plus faible et la plus vulnérable du contrat. Cette disparité entraîne une« asymétrie d’information » entre les parties. Étant donné que les polices d’assurance sont considérées comme des contrats de consommation et que l’assurance est un produit juridique doté d’une structure complexe – contrairement aux biens ou services ordinaires -, il est encore plus nécessaire de mettre en place des mesures de protection juridique pour remédier à ce déséquilibre.
Dans certains cas, notamment en matière d’assurance maladie, le preneur d’assurance peut disposer de plus d’informations sur le risque sous-jacent que l’assureur et peut ne pas divulguer ces informations de manière transparente. Dans de telles situations, l’asymétrie d’information favorise le preneur d’assurance. Afin d’atténuer cette asymétrie pour les deux parties, les dispositions du code de commerce turc prévoient une obligation de divulgation pour le preneur d’assurance et une obligation d’information pour l’assureur.
Toutefois, si les assureurs utilisent des systèmes algorithmiques d’évaluation des risques basés sur l’IA pour évaluer l’élément fondamental de la police d’assurance, cela peut aggraver l’asymétrie d’information au détriment du preneur d’assurance. Compte tenu de la complexité de ces systèmes, le preneur d’assurance peut ne pas être en mesure de comprendre l’évaluation des risques ou de voir dans quelle mesure les données intégrées dans l’algorithme peuvent refléter des réalités différentes de son propre point de vue.
Les systèmes d’IA parviennent souvent à des conclusions basées sur des déductions et des prédictions invérifiables concernant le comportement, les préférences ou la vie privée des personnes. Même lorsque ces systèmes s’appuient sur des ensembles de données riches et variés, le recours à des variables inattendues ou opaques peut conduire à des décisions biaisées ou discriminatoires, en particulier lorsqu’elles sont basées sur des attributs sensibles de la vie privée.
Comme le preneur d’assurance ne peut pas comprendre pleinement le processus d’évaluation des risques, il peut ne pas être en mesure d’évaluer correctement les primes ou les montants d’assurance proposés. Il en résulte un cas évident d ‘ »asymétrie de l’information ». Dans de tels scénarios, il peut également y avoir violation de l’article 11 de la loi turque n° 6698 sur la protection des données à caractère personnel.
En effet, les preneurs d’assurance ne savent pas comment les données qu’ils ont fournies à l’assureur pour le calcul du risque sont traitées par AI et n’exercent donc pas les droits que leur confère l’article 11, notamment les paragraphes :« d) demander la rectification de données à caractère personnel si elles ont été traitées de manière incomplète ou inexacte », « g) s’opposer à l’apparition d’un résultat à leur encontre par la seule analyse des données traitées par des systèmes automatisés ».
En fin de compte, il est essentiel de s’assurer que les systèmes d’IA et de ML sont équitables, transparents et responsables afin d’éliminer les préjugés et d’empêcher un traitement injuste des personnes. Le développement et la mise en œuvre de systèmes d’IA explicables (XAI) sont essentiels pour instaurer la confiance et garantir la conformité juridique. Cela nécessite la création de nouvelles normes et d’orientations réglementaires.
4) Questions relatives à l’annulation des politiques
Les compagnies d’assurance peuvent, sur la base des scores algorithmiques générés par les systèmes d’IA, limiter l’étendue de la couverture, annuler totalement le contrat ou classer le demandeur dans un groupe à haut risque et refuser de l’assurer. Bien que cela ne soit pas contraire au principe de la liberté contractuelle, cela peut aboutir à des résultats injustes, notamment en raison de l’asymétrie d’information qui existe au moment de la conclusion du contrat.
Les polices d’assurance étant des contrats standard, les annulations unilatérales basées sur des évaluations algorithmiques devraient être soumises à un contrôle juridictionnel. Toutefois, en raison de la complexité de ces algorithmes, il se peut que le preneur d’assurance ne les comprenne pas parfaitement et s’abstienne donc d’exercer son droit de recours.
5) Conclusion
Bien que l’évaluation algorithmique des risques basée sur l’IA dans les polices d’assurance cyber augmente la rapidité et l’efficacité du secteur de l’assurance, elle entraîne également des problèmes d’asymétrie de l’information et de manque de transparence pour le preneur d’assurance. Cela peut conduire à la perte des droits du preneur d’assurance, notamment dans les cas où la police est résiliée ou la couverture d’assurance limitée. Il est donc indispensable d’améliorer l’explicabilité des systèmes algorithmiques et d’introduire de nouvelles règles dans le domaine du droit des assurances afin de garantir un traitement équitable et la sécurité juridique.
Duygu Yaren Yıldırım, stagiaire en droit
