Un membre salarié du conseil d'administration paritaire d'une grande mutuelle française apprend, lors d'une réunion ordinaire, que l'algorithme de scoring santé utilisé pour les offres de couverture repose sur un modèle américain, que les données de santé de 4 millions d'affiliés transitent via une infrastructure cloud exposée au Cloud Act, et qu'il en porte, en tant que membre du CA, la responsabilité juridique - sans avoir jamais eu à se prononcer sur cet outil. La décision avait été prise par la DSI, validée en comité technique, et présentée au CA comme un fait accompli opérationnel. C'est une situation documentée, pas une hypothèse.
Un écart structurel entre pouvoir réel et responsabilité formelle
Le secteur de la protection sociale mutualiste déploie l'IA à un rythme soutenu. Malakoff Humanis a détecté 90 millions d'euros de prestations indues en 2025 via ses algorithmes anti-fraude. AG2R La Mondiale opère 1 300 assistants IA générative Almia sur une base de 7 000 utilisateurs, architecturés sur S3NS - la co-entreprise Thales-Google Cloud. Groupama est le premier assureur français à avoir ouvert un chatbot génératif public. Ces déploiements sont réels, mesurables, en production.
Selon l'Observatoire publié par la Mutualité Française et Ethik-IA en mars 2026, 40 % des mutuelles disposent d'une stratégie IA formalisée ou en cours de formalisation. 60 % n'en ont aucune. Ce chiffre ne décrit pas l'absence de l'IA - il décrit l'absence de gouvernance formelle autour d'une IA déjà présente.
L'écart est structurel : les décisions de déploiement sont pilotées par les directions générales, les DSI, les Data Factories. Les organes paritaires - conseils d'administration de mutuelles et d'institutions de prévoyance, conseils de fondation de caisses LPP - sont informés a posteriori. La résolution unanime du CSEC de Malakoff Humanis de juin 2025 en atteste : le déploiement IA a été conduit, selon ses termes, sans concertation réelle ni encadrement strict.
Données de santé et scoring IA : ce que l'ACPR et l'OFAS commencent à voir
La fuite Viamedis-Almerys de janvier-février 2024 a exposé les données de santé de 33 millions d'assurés français. C'est la plus grande violation de données personnelles de santé jamais enregistrée en France. La CNIL a enregistré 87 sanctions en 2024, pour 55,2 millions d'euros cumulés - un record. Cegedim Santé a été condamnée à 800 000 euros en septembre 2024 pour avoir constitué un entrepôt de données de santé sans autorisation.
L'AI Act (Règlement UE 2024/1689) classe explicitement comme systèmes IA à haut risque les outils utilisés pour l'évaluation des risques et la tarification en assurance-vie et maladie (Annexe III, point 5c). Pour les déployeurs - mutuelles, institutions de prévoyance - cela impose une Fundamental Rights Impact Assessment avant toute mise en production, une supervision humaine effective, et la conservation de journaux d'audit pendant six mois minimum. L'ACPR a été désignée autorité de surveillance sectorielle. L'Opinion EIOPA d'août 2025 précise les attentes prudentielles : politique IA documentée, cadre de responsabilité, gouvernance des données, mécanismes de recours.
L'article 4 du même règlement, applicable depuis le 2 février 2025, impose à tout déployeur d'assurer un niveau suffisant de compétences IA dans son organisation - y compris dans ses organes dirigeants. Aucun arrêté ACPR ne précise ce que cela signifie pour un administrateur paritaire dont le mandat est bénévole. Ce vide régulatoire n'est pas une protection : en cas de litige, le silence des textes ne décharge pas la responsabilité. La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Pour un organe paritaire, cela signifie être en mesure de poser les bonnes questions sur les outils déployés en son nom - avant, pas après. - Doctrine VEIA.AI Spécificité des caisses LPP suisses Le deuxième pilier suisse repose sur environ 1 320 institutions de prévoyance actives, pour un total bilan de 1 129 milliards CHF. Les conseils de fondation sont paritaires au sens strict : 50 % représentants employeurs, 50 % représentants salariés. L'article 52 LPP engage leur responsabilité personnelle sur fortune privée pour tout dommage causé intentionnellement ou par négligence. L'arrêt du Tribunal fédéral 9C_496/2022 du 18 octobre 2024 a condamné solidairement douze membres d'un conseil de fondation fribourgeois - ainsi que le réviseur et l'expert LPP - à environ 35 millions CHF pour avoir confié un mandat de gestion sans stratégie de placement ni surveillance. Le standard jurisprudentiel est objectif : le caractère bénévole ou milicien n'exonère pas. La transposition à la gouvernance IA est directe : un conseil de fondation qui délègue la gestion des actifs via une plateforme IA sans politique documentée, sans supervision effective, sans cartographie des dépendances, s'expose à une responsabilité analogue. Ni la Commission de haute surveillance des caisses de pension (CHS PP), ni l'OFAS n'ont publié de directive IA spécifique à mai 2026. Les grandes caisses - BVK Zurich (45,8 milliards CHF), Publica (42,5 milliards), CPEV (17 milliards) - ne documentent aucune initiative IA structurée dans leurs rapports annuels 2024. Les usages existent, via les gestionnaires d'actifs et leurs plateformes (Aladdin, Bloomberg AIM, SimCorp). La chaîne de responsabilité reste non cartographiée au niveau conseil de fondation. Fait documenté : Compenswiss (fonds de compensation AVS/AI/APG, ~46 Md CHF) a sélectionné BlackRock Aladdin en 2023. Cette décision a généré des interpellations parlementaires en 2025 sur la dépendance à une infrastructure américaine pour la gestion d'un actif national. Ce que la gouvernance doit couvrir Quatre questions structurantes permettent à un organe paritaire d'évaluer sa situation réelle face à l'IA déployée dans son organisation. Quels systèmes IA sont actuellement en production, et quelles décisions automatisées ou assistées prennent-ils sur les droits des affiliés ? Sur quelles infrastructures cloud ces systèmes opèrent-ils, et dans quelle mesure les données de santé traitées sont-elles exposées à des législations extraterritoriales ? Le déploiement de ces systèmes a-t-il fait l'objet d'une évaluation d'impact sur les droits fondamentaux conforme à l'AI Act ? Quels mécanismes de supervision humaine et de recours sont en place pour les affiliés affectés par des décisions algorithmiques ? Ces questions ne supposent pas de compétence technique. Elles supposent une posture décisionnelle : la volonté de gouverner ce qui est déployé au nom de l'organisation, avant d'en répondre devant une autorité de contrôle. C'est précisément ce que VEIA apporte aux directeurs généraux de mutuelles, aux présidents de conseils paritaires d'institutions de prévoyance et aux directeurs de caisses LPP.
« La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Pour un organe paritaire, cela signifie être en mesure de poser les bonnes questions sur les outils déployés en son nom - avant, pas après. - Doctrine VEIA.AI »
Spécificité des caisses LPP suisses
Le deuxième pilier suisse repose sur environ 1 320 institutions de prévoyance actives, pour un total bilan de 1 129 milliards CHF. Les conseils de fondation sont paritaires au sens strict : 50 % représentants employeurs, 50 % représentants salariés. L'article 52 LPP engage leur responsabilité personnelle sur fortune privée pour tout dommage causé intentionnellement ou par négligence.
L'arrêt du Tribunal fédéral 9C_496/2022 du 18 octobre 2024 a condamné solidairement douze membres d'un conseil de fondation fribourgeois - ainsi que le réviseur et l'expert LPP - à environ 35 millions CHF pour avoir confié un mandat de gestion sans stratégie de placement ni surveillance. Le standard jurisprudentiel est objectif : le caractère bénévole ou milicien n'exonère pas. La transposition à la gouvernance IA est directe : un conseil de fondation qui délègue la gestion des actifs via une plateforme IA sans politique documentée, sans supervision effective, sans cartographie des dépendances, s'expose à une responsabilité analogue.
Ni la Commission de haute surveillance des caisses de pension (CHS PP), ni l'OFAS n'ont publié de directive IA spécifique à mai 2026. Les grandes caisses - BVK Zurich (45,8 milliards CHF), Publica (42,5 milliards), CPEV (17 milliards) - ne documentent aucune initiative IA structurée dans leurs rapports annuels 2024. Les usages existent, via les gestionnaires d'actifs et leurs plateformes (Aladdin, Bloomberg AIM, SimCorp). La chaîne de responsabilité reste non cartographiée au niveau conseil de fondation.
Ce que la gouvernance doit couvrir
Quatre questions structurantes permettent à un organe paritaire d'évaluer sa situation réelle face à l'IA déployée dans son organisation. Quels systèmes IA sont actuellement en production, et quelles décisions automatisées ou assistées prennent-ils sur les droits des affiliés ? Sur quelles infrastructures cloud ces systèmes opèrent-ils, et dans quelle mesure les données de santé traitées sont-elles exposées à des législations extraterritoriales ? Le déploiement de ces systèmes a-t-il fait l'objet d'une évaluation d'impact sur les droits fondamentaux conforme à l'AI Act ? Quels mécanismes de supervision humaine et de recours sont en place pour les affiliés affectés par des décisions algorithmiques ?
Ces questions ne supposent pas de compétence technique. Elles supposent une posture décisionnelle : la volonté de gouverner ce qui est déployé au nom de l'organisation, avant d'en répondre devant une autorité de contrôle. C'est précisément ce que VEIA apporte aux directeurs généraux de mutuelles, aux présidents de conseils paritaires d'institutions de prévoyance et aux directeurs de caisses LPP.
Découvrir ce que VEIA propose aux mutuelles, IP et caisses LPP.
