EU AI Act dans le secteur financier : banques, assureurs et établissements de crédit

Les banques, assureurs, gestionnaires d'actifs et prestataires de paiement font face aux obligations de l'EU AI Act superposées à la réglementation financière existante (DORA, MiFID II, RGPD, CRR). Cette page explique quels cas d'usage IA sont à haut risque, comment les régulateurs sectoriels interagissent avec l'AI Act, et ce que les établissements financiers doivent faire pour se conformer.

L'AI Act arrive dans la finance

Les établissements financiers — banques, assureurs, gestionnaires d'actifs, prestataires de paiement, bureaux de crédit — comptent parmi les utilisateurs les plus intensifs d'IA en Europe. Le scoring de crédit, la détection de fraude, le trading algorithmique, le profilage du risque client, la souscription d'assurances, l'automatisation des rapports réglementaires et le filtrage AML/KYC s'appuient tous sur des systèmes IA qui peuvent être soumis à l'EU AI Act.

Pour les établissements financiers, l'EU AI Act n'arrive pas de manière isolée. Il se superpose à une pile réglementaire déjà dense : DORA (résilience numérique), MiFID II (services d'investissement), RGPD (protection des données), CRR/CRD (exigences de fonds propres), Solvabilité II (assurance), DSP2/DSP3 (services de paiement), et les orientations sectorielles de l'ABE, de l'AEAPP et de l'AEMF. Comprendre comment l'AI Act s'intègre à — et parfois entre en conflit avec — la réglementation financière existante est essentiel pour une conformité efficace.

Quels cas d'usage IA sont à haut risque dans la finance ?

L'Annexe III de l'EU AI Act identifie les cas d'usage automatiquement à haut risque. Dans le secteur financier, les plus directement pertinents sont :

Catégorie 5(b) : Évaluation de la solvabilité

À haut risque. Les systèmes IA utilisés pour évaluer la solvabilité de personnes physiques ou pour classer des personnes physiques en termes de risque de crédit sont explicitement listés. Cela couvre :

Le scoring de crédit automatisé pour les prêts à la consommation, les découverts personnels, les cartes de crédit et les hypothèques
Les modèles évaluant la probabilité de remboursement, le risque de défaut ou la capacité d'endettement de consommateurs individuels
Les systèmes IA recommandant des limites de crédit ou des montants de prêt basés sur une évaluation du risque individuel

Non automatiquement couvert : Les modèles de crédit d'entreprise évaluant des personnes morales plutôt que des personnes physiques, bien que ceux-ci puissent encore déclencher des obligations de transparence de l'Art. 50 selon le déploiement.

Catégorie 5(b) : Décisions de prime et de couverture d'assurance

À haut risque si affectant significativement des personnes physiques. Les systèmes IA qui prennent ou influencent fortement des décisions concernant :

La couverture d'assurance (acceptation ou refus de candidats)
Les niveaux de prime (modèles actuariels fixant des primes individuelles)
L'évaluation et le règlement des sinistres (traitement automatisé des sinistres)

Les modèles de tarification d'assurance auto, la souscription en assurance santé et les modèles d'assurance habitation pour les ménages sont directement dans le champ. Le facteur déterminant est de savoir si le système IA prend ou influence significativement une décision qui affecte matériellement l'accès d'une personne physique à un service privé essentiel.

Catégorie 1 : Identification biométrique

À haut risque. Les systèmes IA utilisés pour :

L'identification biométrique à distance de clients (vérification vidéo KYC, authentification continue)
La catégorisation biométrique lorsqu'elle influence la classification du risque ou l'accès aux services

L'identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives est interdite par l'Art. 5. Les systèmes commerciaux de vérification d'identité utilisant la reconnaissance faciale pour le KYC sont soumis aux exigences à haut risque mais ne sont pas interdits.

Catégorie 6 : AML/KYC et adjacent aux forces de l'ordre

Les systèmes IA utilisés par les établissements financiers pour soutenir le filtrage AML/KYC, le filtrage des sanctions ou la surveillance des transactions lorsque le résultat est signalé ou utilisé par les forces de l'ordre peuvent relever de la catégorie 6 de l'Annexe III (forces de l'ordre). Cela inclut :

Les Rapports d'activité suspecte (RAS) générés par IA transmis aux CRF
Les systèmes automatisés de filtrage des PPE (Personnes politiquement exposées)

Les systèmes utilisés uniquement pour la gestion interne du risque sans résultat transmis aux forces de l'ordre sont moins susceptibles d'être classés à haut risque sous la catégorie 6, bien que d'autres catégories puissent s'appliquer.

Ce que les obligations à haut risque signifient pour les établissements financiers

Si un système IA utilisé par un établissement financier est à haut risque selon l'Annexe III, les obligations diffèrent selon que l'établissement est un fournisseur (a construit le système) ou un déployeur (l'a acheté ou licencié).

Si vous êtes le fournisseur (vous avez construit le système)

Système de gestion des risques (Art. 9) : Établir et maintenir un processus documenté de gestion des risques itérant tout au long du cycle de vie du système
Gouvernance des données (Art. 10) : Les données d'entraînement, de validation et de test doivent être soumises à des pratiques de gouvernance couvrant la pertinence, la représentativité et l'évaluation des biais
Documentation technique (Annexe IV) : Dossier technique complet incluant description du système, architecture, approche d'entraînement, métriques de performance et plan de surveillance après commercialisation
Transparence (Art. 13) : Instructions d'utilisation permettant aux déployeurs de comprendre les capacités, limitations et exigences de surveillance
Surveillance humaine (Art. 14) : Mesures de conception permettant la surveillance et l'intervention humaines
Précision, robustesse, cybersécurité (Art. 15) : Niveaux de performance et résilience démontrés
Évaluation de la conformité : Auto-évaluation (Annexe VI) pour la plupart des systèmes de l'Annexe III, ou évaluation par un organisme notifié pour les systèmes biométriques
Marquage CE et déclaration UE de conformité
Enregistrement dans la base de données UE de l'IA
Surveillance après commercialisation (Art. 72) : Système actif de collecte des données de performance réelles et de signalement d'incidents

Si vous êtes le déployeur (vous avez acheté/licencié le système)

Conformité aux instructions : Utiliser le système strictement conformément aux instructions du fournisseur
Surveillance humaine : Désigner du personnel qualifié pour effectuer la surveillance avec l'autorité et les ressources appropriées
Qualité des données d'entrée : S'assurer que les données d'entrée sont pertinentes et représentatives pour le contexte de déploiement spécifique
Conservation des journaux : Activer et conserver les journaux automatisés pendant la durée requise
Signalement d'incidents : Signaler les incidents graves au fournisseur et, dans certains cas, directement aux autorités
Évaluation d'impact sur les droits fondamentaux (Art. 27) : Requise pour les organismes publics ; recommandée pour les déployeurs du secteur privé dans les contextes sensibles

Interaction avec DORA

Le Digital Operational Resilience Act (DORA) est entré en application en janvier 2025 et impose des exigences complètes de gestion des risques TIC aux établissements financiers — y compris les systèmes IA en tant que composants TIC.

Points d'interaction clés :

Cadre de gestion des risques TIC

DORA exige que les établissements financiers maintiennent un cadre de gestion des risques TIC couvrant l'identification, la protection, la détection, la réponse et le rétablissement. Les systèmes IA sont des outils TIC soumis à ce cadre. L'EU AI Act ajoute des exigences spécifiques à l'IA par-dessus : tests de biais, documentation de transparence, conception de la surveillance humaine et gestion du cycle de vie.

En pratique : Le modèle IA de scoring de crédit d'une banque doit respecter à la fois la gestion des risques TIC de DORA (détection d'incidents, planification de la continuité, gestion des changements) et les exigences à haut risque de l'EU AI Act (système de gestion des risques, documentation technique, surveillance après commercialisation).

Risque des tiers (prestataires TIC tiers)

DORA impose des exigences détaillées pour gérer les prestataires TIC tiers — y compris des exigences contractuelles, des droits d'audit et la surveillance des prestataires critiques. Lorsqu'un établissement financier utilise un système IA tiers (ex. un modèle de scoring de crédit fourni par un éditeur), les exigences de gestion des risques des tiers de DORA s'appliquent à ce prestataire.

Les obligations du déployeur au titre de l'EU AI Act s'appliquent également — exigeant que le fournisseur fournisse des instructions, une documentation de conformité et une capacité de journalisation. Les établissements financiers devraient s'assurer que leurs contrats de prestataires IA tiers satisfont à la fois aux exigences de prestataires TIC de DORA et aux droits à l'information du déployeur au titre de l'EU AI Act.

Signalement d'incidents

DORA dispose de son propre cadre de signalement d'incidents pour les incidents TIC significatifs, signalés aux superviseurs sectoriels (ABE, AEAPP, AEMF). L'EU AI Act exige que les incidents graves impliquant des systèmes IA à haut risque soient signalés aux autorités nationales de surveillance du marché.

Ce sont des obligations de signalement distinctes à des autorités différentes. Un incident grave impliquant un système IA de scoring de crédit pourrait déclencher à la fois un rapport d'incident DORA (à l'ABE/superviseur financier national) et un rapport d'incident EU AI Act (à l'autorité de surveillance du marché).

Superviseurs sectoriels et application de l'AI Act

Pour les établissements financiers, les superviseurs financiers sectoriels — ABE (banque), AEAPP (assurance), AEMF (valeurs mobilières et marchés) — ont un rôle spécifique dans la mise en œuvre de l'EU AI Act, bien qu'ils ne soient pas l'autorité principale d'application de l'AI Act.

Au titre de l'AI Act, les établissements financiers qui sont fournisseurs de systèmes IA à haut risque doivent s'enregistrer dans la base de données UE de l'IA. Dans le secteur financier, l'autorité de supervision financière compétente peut être désignée comme ou collaborer avec l'autorité nationale de surveillance du marché responsable de la supervision de l'AI Act dans ce secteur.

Les Autorités européennes de surveillance (AES) ont été actives dans :

La publication d'orientations sur la gouvernance de l'IA dans les services financiers (orientations ABE sur la gouvernance interne, ML/IA dans le risque de crédit)
La contribution aux orientations de mise en œuvre de l'EU AI Act pour le secteur financier
La coordination avec le Bureau de l'IA de l'UE sur la supervision des modèles GPAI dans la mesure où cela affecte les services financiers

Priorités pratiques de conformité pour les établissements financiers

Inventoriez tous les systèmes IA en usage — classifiez chacun selon les critères de l'Annexe III. Priorisez les systèmes de solvabilité, de tarification d'assurance et biométriques/KYC.
Déterminez le statut fournisseur vs. déployeur pour chaque système — utilisez-vous des modèles fournis par des éditeurs ou construisez-vous en interne ?
Alignez la gouvernance IA avec le cadre de risque TIC de DORA — intégrez les obligations de l'AI Act dans la structure de gouvernance DORA existante pour éviter les processus dupliqués.
Révisez les contrats de prestataires IA tiers — assurez-vous que les contrats prévoient : documentation de conformité, instructions d'utilisation, accès aux journaux, engagements de notification d'incidents, obligations de mise à jour et droits d'audit.
Établissez des mécanismes de surveillance humaine — pour les cas d'usage IA à haut risque, assurez-vous que le personnel qualifié dispose de l'autorité, des outils et du temps pour examiner de manière significative les sorties IA avant que des décisions importantes ne soient prises.
Connectez à la surveillance après commercialisation — étendez les processus existants de gestion des risques de modèles (validation des modèles Bâle, gestion des changements DORA) pour couvrir les exigences de surveillance après commercialisation de l'Art. 72.
Préparez-vous à la base de données UE de l'IA — si vous êtes fournisseur de systèmes IA à haut risque, l'enregistrement est obligatoire. Si vous êtes un déployeur du secteur public, l'enregistrement peut également être requis.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-19 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Les modèles de scoring de crédit sont-ils soumis aux exigences à haut risque de l'EU AI Act ?

Oui. Les systèmes IA d'évaluation de la solvabilité — utilisés pour évaluer la solvabilité de personnes physiques ou apprécier le risque de crédit — sont explicitement listés à l'Annexe III, catégorie 5(b) comme systèmes à haut risque. Cela couvre le scoring de crédit automatisé pour les prêts à la consommation, les hypothèques, les cartes de crédit et les découverts. Les systèmes utilisés uniquement pour l'évaluation du crédit des entreprises peuvent ne pas être dans le champ, mais les systèmes impliquant l'évaluation de personnes physiques individuelles sont clairement couverts.

Comment DORA interagit-il avec l'EU AI Act pour les établissements financiers ?

DORA (Digital Operational Resilience Act) et l'EU AI Act ont des champs d'application qui se chevauchent mais sont distincts. DORA couvre la gestion des risques TIC de manière large — y compris les systèmes IA en tant qu'outils TIC — avec des exigences de signalement d'incidents, de tests de résilience et de gestion des risques des tiers. L'EU AI Act ajoute des obligations IA spécifiques (tests de biais, transparence, surveillance humaine, surveillance après commercialisation) pour les cas d'usage IA à haut risque. Pour les établissements financiers, la conformité nécessite de traiter les deux cadres — DORA n'exempte pas les établissements des obligations de l'AI Act, et l'AI Act ne remplace pas les exigences de risque TIC de DORA.

Les systèmes IA utilisés pour la détection de fraude relèvent-ils de l'EU AI Act à haut risque ?

Cela dépend du cas d'usage. Les systèmes IA utilisés pour la détection de fraude transactionnelle en temps réel — où l'IA signale des transactions suspectes pour examen humain ou les bloque automatiquement — ne sont pas automatiquement à haut risque selon l'Annexe III. Cependant, si le système prend ou influence fortement des décisions qui affectent significativement les individus (ex. blocage de compte, réduction de limite de crédit, refus d'indemnité d'assurance), le cas d'usage peut relever de la catégorie 5 de l'Annexe III (accès aux services essentiels). La certitude juridique dépendra des orientations réglementaires et du déploiement spécifique.

Les systèmes IA utilisés pour la tarification et la souscription d'assurances sont-ils à haut risque ?

Les systèmes IA de tarification et de souscription d'assurances qui prennent ou influencent fortement des décisions sur la couverture, les niveaux de prime ou le règlement des sinistres pour des personnes physiques relèvent probablement de la catégorie 5 de l'Annexe III (accès aux services privés essentiels). Cela inclut les modèles de tarification d'assurance auto, santé et habitation. Les modèles de souscription d'assurance-vie évaluant le risque de longévité pour des individus peuvent également être couverts. Chaque cas d'usage doit être évalué individuellement selon les critères de l'Annexe III.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.