Ressource gratuite - MindRampart
Check-list de préparation aux questions assureur sur vos usages IA
Questions que certains assureurs commencent à poser
mindrampart.com
contact@mindrampart.com

Les assureurs cyber, RC Pro et D&O commencent à intégrer l'IA dans leurs questionnaires de souscription. Bientôt, ne pas savoir répondre à « quels outils IA utilisez-vous et comment les encadrez-vous ? » pourra affecter vos primes, vos franchises - ou votre couverture.

Cette check-list vous permet d'évaluer votre niveau de préparation en 20 points. Cochez ce qui est en place. Comptez votre score à la fin.

1 Inventaire de vos usages IA
ChatGPT, Copilot, outils RH, CRM avec scoring, chatbot, automatisations, etc.
Ex : Salesforce Einstein, Notion AI, Pennylane, Workday, modules IA des ERPs.
Shadow AI : usage de ChatGPT personnel, comptes individuels non déclarés, extensions navigateur.
Recrutement, scoring client, analyse documentaire, reporting, aide à la décision.
2 Gouvernance et responsabilités
Pas nécessairement un poste dédié - mais quelqu'un qui sait qui décide quoi.
Charte, note interne, consigne orale formalisée - même simple.
Ex : un recruteur valide le tri automatique de CV avant de convoquer un candidat.
Procédure d'escalade, contact fournisseur, décision humaine de substitution.
3 Données et accès
Données clients, RH, financières, contrats, données personnelles de collaborateurs.
Principe de moindre privilège : un outil de rédaction ne doit pas accéder à la paie.
Clause contractuelle ou paramètre de confidentialité activé dans les settings du service.
Ex : un workflow n8n ne doit pas envoyer d'emails clients ou modifier des données sans approbation.
Check-list de préparation aux questions assureur sur vos usages IA
4 Documentation et traçabilité
Un fichier Excel, une note interne, un registre : peu importe le format, l'essentiel est d'exister.
Log de validation, email de confirmation, signature dans le process - quelque chose de traçable.
Conditions d'utilisation, politique de confidentialité, documentation technique - lue et archivée.
Pas nécessairement parfait - mais existant et cohérent.
5 Formation et sensibilisation
Consigne explicite communiquée - pas seulement supposée connue.
Résultat erroné repris sans vérification → erreur métier, juridique ou commerciale.
Veille active ou accompagnement externe - pas de découverte en cas de contrôle.
L'AI Act (Art. 4) impose une obligation de compétence IA aux déployeurs - applicable dès 2025, renforcée à partir du 2 août 2026.
Cocher cette case sélectionne automatiquement le niveau Critique. Elle se grise dès qu'au moins une case ci-dessus est cochée.
Note réglementaire : L'AI Act (Règlement UE 2024/1689) impose de nouvelles obligations aux entreprises qui utilisent des outils IA. Les premières échéances sont arrivées dès février 2025 (pratiques interdites Art. 5) et août 2025 (IA générative). Les obligations de transparence Art. 50 (chatbots) sont applicables au 2 août 2026. Un accord provisoire du 7 mai 2026 pourrait reporter les obligations haut risque Annexe III à décembre 2027 sous réserve d'adoption formelle. Quelle que soit l'évolution du calendrier, documenter vos usages maintenant reste la bonne démarche.
Votre score : 0 / 20
Cochez les cases ci-dessus pour calculer votre score.
0 – 5 ■ Critique Votre organisation n’a pas mis en place les fondamentaux de la gestion des risques IA. En cas de sinistre ou de contrôle réglementaire, vous seriez dans l’incapacité de justifier vos usages. Un audit d’urgence est recommandé avant tout renouvellement de contrat.
6 – 10 ■ Exposition élevée Quelques briques sont en place, mais les lacunes sont significatives. Un sinistre lié à un outil IA pourrait mettre en difficulté votre couverture. Votre assureur est susceptible de poser des questions précises auxquelles vous n’avez pas encore de réponse documentée.
11 – 14 ■ Exposition modérée Vous avez posé plusieurs fondations, mais des angles morts subsistent — notamment sur la documentation et les contrats fournisseurs. Votre niveau de préparation est insuffisant pour répondre sereinement à une demande de justification réglementaire ou assurantielle.
15 – 17 ■ Maîtrise partielle Vous avez une bonne conscience des enjeux et avez mis en place la plupart des éléments de base. Il reste quelques points à formaliser pour constituer un dossier documentaire solide et répondre sereinement à un questionnaire assurantiel.
18 – 20 ■ Bonne base documentée Vous disposez de la plupart des éléments attendus par un assureur ou un régulateur. Un audit complet permettra de valider formellement votre dispositif et de produire une documentation exploitable en cas de contrôle.
Détail par section
Section 0 – 1 pt 2 pts 3 pts 4 pts
S1 — Inventaire Inventaire inexistant. Vous ne savez pas quels outils IA opèrent dans votre organisation. Risque assurantiel maximal. Inventaire partiel. Les principaux outils sont identifiés, mais les usages SaaS et shadow AI restent dans l’angle mort. Bon inventaire des usages visibles. Quelques angles morts probables sur les intégrations natives et les usages personnels. Inventaire complet et structuré. Vous savez ce que vous utilisez, pourquoi, et pouvez le justifier.
S2 — Gouvernance Aucune gouvernance. Personne n’est responsable des usages IA. En cas de problème, la chaîne de responsabilité est introuvable. Gouvernance embryonnaire. Un responsable existe mais les règles d’usage et les procédures de contrôle restent informelles. Gouvernance en place mais non formalisée. Les règles existent, la supervision est assurée, mais la documentation est insuffisante. Gouvernance structurée : responsable identifié, règles écrites, supervision humaine des décisions IA, procédures en cas d’incident.
S3 — Données & contrats Vos données transitent vers des tiers sans contrôle ni contractualisation. Risque de violation de données et de responsabilité contractuelle très élevé. Vous avez commencé à cartographier les flux de données, mais les contrats fournisseurs n’ont pas été revus sous l’angle IA. Vous contrôlez globalement vos données et avez vérifié certains contrats. Il reste des zones grises sur les automatisations et les accès. Flux de données maîtrisés, contrats incluant des clauses IA, automatisations supervisées. Exposition contractuelle maîtrisée.
S4 — Documentation Aucune trace documentaire. En cas de contrôle ou de sinistre, vous ne pouvez pas démontrer ce que vous faites ni comment. Quelques éléments documentés mais pas de démarche structurée. La traçabilité est partielle et ne couvrirait pas une demande formelle. Documentation en cours. Vous pouvez rendre compte de vos principaux usages, mais il manque des éléments clés pour une justification complète. Documentation solide. Vous pouvez justifier vos usages IA face à un assureur ou une autorité de contrôle avec des preuves écrites.
S5 — Formation Collaborateurs non formés aux risques IA. Les usages non encadrés constituent le principal facteur de risque résiduel. Sensibilisation de base réalisée, mais les managers et utilisateurs ne sont pas en mesure d’appliquer des règles de bonne conduite. Collaborateurs informés et consignes transmises. Il reste à formaliser un programme de formation continue et un canal de remontée des incidents. Équipes formées, règles connues, canal de remontée des incidents en place. Maturité IA collective solide.
Règles de plancher :
  • S1 ≤ 1 — Si l’inventaire est inexistant, le niveau global est ramené à Critique quel que soit le total.
  • S3 ≤ 1 — Si les données et contrats ne sont pas maîtrisés, le niveau global est plafonné à Exposition élevée au mieux.
  • S4 ≤ 1 — Si la documentation est absente, le niveau global est plafonné à Exposition modérée au mieux.
La prochaine étape : savoir exactement où vous en êtes
Cette check-list vous donne une première lecture. Elle ne remplace pas un inventaire complet de vos systèmes IA, ni une analyse de vos contrats fournisseurs, ni la qualification de vos obligations réglementaires.
Le Diagnostic Automatisation IA Sécurisée MindRampart (à partir de 2 000 € HT) identifie vos 3 cas d’usage prioritaires, cartographie vos données sensibles et vous donne une décision claire : quoi automatiser, quoi éviter, quoi sécuriser.
L’Audit Flash IA (dès 4 500 € HT pour une TPE/petite PME) va plus loin : inventaire complet, classification réglementaire AI Act, analyse de vos contrats SaaS et rapport documenté exploitable en cas de contrôle.
mindrampart.com  ·  contact@mindrampart.com  ·  30 min d’échange sans engagement