Mutuelles, institutions de prévoyance et caisses LPP traitent des données de santé et de prévoyance de millions d'affiliés. Les boards paritaires - employeurs et salariés - portent une responsabilité juridique qu'ils n'ont souvent pas les moyens d'instruire.
En France, les grandes institutions de protection sociale ont engagé des déploiements IA significatifs. Malakoff Humanis revendique 90 millions d'euros de prestations indues détectées en 2025 via ses algorithmes anti-fraude. AG2R La Mondiale opère 1 300 assistants IA générative Almia utilisés par 7 000 collaborateurs. Groupama propose un chatbot GenAI public. VYV déploie des dispositifs acoustiques de détection de détresse en EHPAD.
Ces usages sont opérationnels. Ils touchent des données de santé, des données de prévoyance, des décisions qui affectent directement les droits des affiliés. Pourtant, selon l'Observatoire de la Mutualité Française publié en mars 2026, 60 % des mutuelles n'ont aucune stratégie IA formalisée. Et aucune publication ne documente l'existence d'une commission IA dédiée au sein d'un conseil d'administration paritaire en France ou d'un conseil de fondation LPP en Suisse.
Le pouvoir de décision réel sur ces déploiements appartient aux directions générales, aux DSI et aux Data Factories. Les organes paritaires sont informés, rarement consultés en amont. La résolution unanime du CSEC de Malakoff Humanis de juin 2025 en témoigne : le déploiement IA s'est fait, selon ses termes, sans concertation réelle ni encadrement strict.
01 Plateformes de scoring santé, détection des fraudes, gestion actif-passif avec IA. Architectures cloud américaines exposées au Cloud Act. Shift Technology, BlackRock Aladdin, Azure OpenAI - des dépendances souvent opaque au niveau board.
02 Données de santé individuelles (catégorie particulière RGPD, article 9), données salariales, données patrimoniales des retraités - sur des millions d'affiliés. La fuite Viamedis-Almerys en 2024 a exposé 33 millions d'assurés français.
03 Membres du CA représentant employeurs et salariés, personnellement responsables devant les autorités de contrôle (ACPR en France, CHS PP et OFAS en Suisse). En Suisse, le Tribunal fédéral a condamné solidairement 12 administrateurs LPP en 2024.
Les risques suivants sont documentés. Ils concernent directement la responsabilité des organes dirigeants. Ils ne font l'objet d'aucune offre de conseil dédiée sur le segment paritaire à ce jour.
L'AI Act (Annexe III, point 5c) classe en haut risque les systèmes IA utilisés pour l'évaluation des risques et la tarification en assurance-vie et maladie. Une Fundamental Rights Impact Assessment (FRIA) est obligatoire avant tout déploiement. Les mutuelles et IP concernées doivent produire ce document - y compris pour les systèmes déjà en production.
AG2R La Mondiale opère Almia via S3NS (Thales-Google Cloud). Groupama est sur Azure OpenAI. Shift Technology héberge en Europe mais reste exposée via ses investisseurs et son infrastructure de modèles fondationnels. Le Conseil d'État a validé Azure pour le Health Data Hub en mars 2025 - mais cette jurisprudence ne couvre pas tous les usages mutualistes.
En France, Solvabilité II impose quatre fonctions clés aux mutuelles et IP - sans mention explicite de l'IA. En Suisse, l'arrêt du Tribunal fédéral 9C_496/2022 (octobre 2024) a condamné solidairement douze membres d'un conseil de fondation LPP fribourgeois à environ 35 millions CHF pour défaut de surveillance. Le standard est objectif : le caractère bénévole ou milicien n'exonère pas.
L'étude Inria × Datacraft (juin 2025), qui inclut MAIF et Malakoff Humanis parmi ses 14 organisations participantes, chiffre à 37 % la part des utilisateurs d'IA générative en entreprise française qui n'informent pas leur hiérarchie. Un prompt sur douze contient des données sensibles, clients ou employés. Dans un contexte de données de santé, l'exposition est critique.
L'article 51a LPP liste les tâches inaliénables et intransmissibles du conseil de fondation : stratégie de placement, surveillance de l'exécution. Compenswiss a sélectionné BlackRock Aladdin en 2023 - une décision qui a généré des interpellations parlementaires. Les caisses qui délèguent la gestion via des plateformes IA sans politique de gouvernance documentée exposent leurs administrateurs.
L'article 4 du Règlement UE 2024/1689 impose à tout déployeur d'assurer un niveau suffisant de compétences IA dans son organisation. L'Opinion EIOPA d'août 2025 étend l'exigence aux organes dirigeants. Aucun arrêté ACPR ni aucune directive CHS PP ne précise le niveau requis pour un administrateur paritaire - ce vide est un risque, pas une protection.
Lecture stratégique des dépendances en production, identification des expositions AI Act, plan de gouvernance décisionnelle transmissible au CA paritaire. Une intervention qui prépare la direction à rendre compte.
Formation-action structurée pour les membres du conseil d'administration : lecture des risques IA en cours, cadre de décision, questions à poser à la direction générale. Posture d'administrateur responsable et éclairé.
Cadrage des obligations découlant de l'article 51a LPP face aux usages IA de la caisse et de ses prestataires. Politique IA documentable pour l'autorité de surveillance cantonale. Applicable aux caisses autonomes et demi-collectives.
La gouvernance paritaire ne protège pas des risques IA. Elle les distribue entre des personnes qui doivent être outillées pour les décider.
Une Lecture stratégique des dépendances en production, lisible pour un board non-technicien
Un cadre de gouvernance IA proportionné à la nature paritaire et non lucrative de l'organisation
Une politique IA documentable, transmissible à l'ACPR, à la CHS PP ou à l'autorité de surveillance cantonale
Une réduction du risque shadow IA dans les équipes de gestion des prestations et des actifs
Chaque intervention sectorielle s'appuie sur l'un des cinq formats standards du cabinet.
Cadrage des principes décisionnels avec le comité de direction ou le conseil.
Voir le service →Cadrage stratégique d'un projet ou POC IA en sortie de phase pilote.
Voir le service →Présence régulière aux instances, notes trimestrielles, disponibilité ad hoc.
Voir le service →Lecture indépendante à destination du conseil d'administration.
Voir le service →Doctrine des usages IA officieux et cadrage de l'autorisation.
Voir le service →Séance de cadrage - identifier le format adapté à votre contexte.
VEIA.AI, fondé par Christophe Picou, est un cabinet de conseil stratégique indépendant en gouvernance IA. Aucun partenariat commercial avec un éditeur de plateforme actuarielle, de scoring santé ou un intégrateur. Cette indépendance structurelle est la condition d'une recommandation libre, opposable à l'ACPR, la FINMA, l'autorité de surveillance cantonale et défendable en conseil paritaire.
La doctrine VEIA - Décider avant d'intégrer - s'applique intégralement aux mutuelles et institutions de prévoyance : la souveraineté technique totale est hors d'atteinte, mais la souveraineté décisionnelle sur les données de santé, le scoring IA et les flux de décision actuarielle se construit. Chaque recommandation inclut un Plan B européen. Le Diagnostic Gouvernance IA est la porte d'entrée.