Exemple appliqué — Revue annuelle de conformité dans une caisse maladie

Une caisse maladie (180 000 assurés, 12 solutions IA en exploitation) conduit sa revue annuelle de conformité sur 6 semaines. La revue est pilotée par l’AIBS avec le DPO, la juriste, le responsable sécurité IT et un référent par métier.

Section 1 — Inventaire actualisé Les 12 solutions IA en exploitation sont qualifiées selon l’AI Act adopté. Distribution : - Risque inacceptable : 0 (aucune solution interdite) - Haut risque : 2 (scoring de risque maladie pour la tarification, aide à la décision pour acceptation des nouveaux assurés) - Risque limité : 5 (assistants conversationnels, génération de courriers, classification de documents) - Risque minimal : 5 (outils internes de productivité)

Section 2 — Référentiel applicable Cadre identifié : nLPD suisse (en vigueur), AI Act européen (en vigueur depuis février 2025, applicable de fait aux services transfrontaliers), exigences OFAS (Office fédéral des assurances sociales), gouvernance interne (charte IA validée en 2024).

Évolutions identifiées sur 12 mois : - Adoption de l’AI Act : nouvelles exigences pour les 2 systèmes à haut risque - Mise à jour de la gouvernance interne : nouvelle politique de retention des données - Décision FINMA mai 2025 : exigences renforcées sur la traçabilité (impact indirect via cohérence sectorielle)

Section 3 — Évaluation par solution

Solution « Scoring de risque maladie » (haut risque AI Act) — Statut : conformité partielle - DPIA à jour : OUI - Documentation technique conforme exigences AI Act : INCOMPLÈTE (4 sections à compléter) - Surveillance humaine effective : OUI mais procédure à formaliser - Système de gestion des risques : EN PLACE mais audit à renouveler - Information aux personnes concernées : EN PLACE - Conservation des logs : OUI - Action requise : compléter la documentation technique d’ici 4 mois pour conformité AI Act, formaliser la procédure de surveillance humaine.

Solution « Aide à la décision acceptation » (haut risque) — Statut : conformité partielle - Évaluations similaires, plus 2 écarts spécifiques sur la robustesse technique et la cybersécurité. - Action requise : audit de cybersécurité spécifique (programmation Q3), tests de robustesse à conduire.

Solutions à risque limité — Statut : globalement conforme - 4 sur 5 conformes, 1 nécessitant une mise à jour de la transparence vers les utilisateurs (ajout d’une mention explicite que l’interlocuteur est un système IA).

Solutions à risque minimal — Statut : conforme - Pas d’action requise.

Section 4 — Évolutions du contexte sur 12 mois - Nouvelle politique de rétention impactant 8 des 12 solutions : ajustement des durées de conservation requis. - Croissance des volumes de données pour 3 solutions, induisant une revue d’impact LPD. - Un incident mineur (réponse incorrecte d’un assistant en mars) ayant conduit à des actions correctives, à formaliser dans le dossier de conformité. - Un audit FINMA sectoriel ayant ouvert une recommandation sur la traçabilité (à intégrer).

Section 5 — Analyse d’impact 14 actions correctives identifiées sur l’ensemble du portefeuille, dont 5 critiques (à traiter dans les 4 mois) et 9 importantes (à traiter dans les 12 mois).

Section 6 — Plan d’action Plan détaillé avec responsable, ressource estimée, échéance pour chaque action. Budget total des actions correctives : CHF 280k sur 12 mois.

Section 7 — Reporting Note de synthèse au comité de direction (4 pages), présentation au conseil d’administration (15 minutes), reporting aux instances réglementaires applicables (information FINMA pour deux systèmes haut risque dans le rapport annuel).

Section 8 — Plan d’audit prochain - Audit interne complet dans 12 mois - Audit externe sur les 2 systèmes haut risque dans 18 mois - Surveillance trimestrielle légère sur les indicateurs de conformité

Le coût total de la revue représente environ 220 jours-personnes répartis sur 6 semaines, soit environ CHF 220k en charge interne. Coût jugé proportionné aux enjeux par le comité de direction.