Obligations au titre du règlement IA de l'UE pour les banques, établissements de crédit et entreprises fintech. Notation de crédit, systèmes LCB-FT, trading algorithmique, interaction avec DORA et lignes directrices de l'EBA.
Pourquoi le secteur bancaire est particulièrement exposé au règlement IA de l'UE
Le secteur bancaire et des services financiers se trouve à l'intersection des obligations les plus strictes du règlement IA de l'UE et de l'environnement réglementaire le plus complexe de l'UE. Les établissements financiers comptent parmi les plus grands déployeurs d'IA en Europe — dans la souscription de crédit, la détection de fraudes, le filtrage LCB-FT/CFT, la vigilance à l'égard de la clientèle, le trading algorithmique et la gestion de patrimoine. Le règlement IA de l'UE cible directement les cas d'usage les plus critiques via l'Annexe III, classifiant plusieurs applications d'IA financière comme à haut risque par définition.
Le secteur bancaire opère également sous une couche réglementaire préexistante dense : DORA, MiFID II, CRD IV/CRR, Directives LCB-FT, RGPD et BCBS 239. Le règlement IA de l'UE ne remplace pas ces cadres — il s'y ajoute. Pour un établissement de crédit, le déploiement d'un modèle de notation de crédit basé sur l'IA déclenche simultanément des obligations au titre du règlement IA (Annexe III, Art. 9–16), de DORA (gestion du risque TIC) et des lignes directrices de l'EBA sur la gestion du risque de modèle.
Cas d'usage d'IA à haut risque dans la banque au titre de l'Annexe III
L'Annexe III, catégorie 5(b) liste explicitement les IA utilisées pour l'évaluation de la solvabilité ou la notation de crédit des personnes physiques, et les IA utilisées pour évaluer le risque de crédit des personnes morales lorsque l'IA détermine ou influence substantiellement le résultat. Cela couvre un large éventail de déploiements d'IA financière.
Les modèles de notation de crédit et de souscription — systèmes automatisés qui déterminent l'éligibilité aux prêts, les plafonds de crédit ou les taux d'intérêt pour les clients particuliers et PME — constituent des IA à haut risque au titre de l'Art. 6(2) lu conjointement avec l'Annexe III. Les banques agissant en tant que fournisseurs de ces systèmes doivent effectuer des évaluations de conformité, maintenir une documentation technique au titre de l'Art. 11, mettre en place des systèmes de gestion des risques au titre de l'Art. 9, garantir des mécanismes de surveillance humaine au titre de l'Art. 14, et enregistrer le système dans la base de données du règlement IA de l'UE (Art. 71) avant le déploiement.
Les systèmes de LCB-FT et de détection de fraudes présentent un tableau plus nuancé. Les systèmes qui appliquent le filtrage des sanctions, la surveillance des transactions ou l'analyse comportementale pour signaler une activité suspecte affectent généralement les établissements financiers plutôt que de déterminer directement des résultats pour des individus. Lorsque la sortie de l'IA constitue la base principale d'une action défavorable à l'encontre d'un client (gel de compte, refus de service), la classification à haut risque peut être déclenchée au titre de l'Annexe III cat. 5(b) ou cat. 6 (répression pénale) selon le rôle de l'autorité nationale. Les banques doivent procéder à une analyse de classification minutieuse.
Les outils fondés sur des GPAI — grands modèles de langage utilisés pour le service client, le traitement de documents ou l'analyse d'investissements — sont soumis aux exigences de transparence de l'Art. 50 (divulgation que les utilisateurs interagissent avec une IA) et, lorsque le fournisseur du modèle présente un risque systémique, aux obligations de l'Art. 55.
Obligations fournisseur vs déployeur pour les banques
Les banques peuvent agir en tant que fournisseurs (construisant leurs propres modèles d'IA), déployeurs (utilisant des systèmes d'IA tiers), ou les deux. Cette distinction détermine le profil d'obligations :
| Rôle | Source de l'obligation | Exigences clés |
|---|---|---|
| Fournisseur | Art. 9–17 | Évaluation de conformité, documentation technique, SMQ, enregistrement |
| Déployeur | Art. 26 | Surveiller le système, assurer la surveillance humaine, maintenir les journaux, informer les utilisateurs |
| Les deux | Art. 9–17 + Art. 26 | Obligations complètes du fournisseur + devoirs de surveillance du déployeur |
Les banques qui achètent une IA de notation de crédit auprès d'un fournisseur fintech agissent en tant que déployeurs au titre de l'Art. 26. Elles doivent vérifier que le fournisseur a effectué l'évaluation de conformité, intégrer la revue humaine dans les processus de décision défavorable, maintenir des journaux d'utilisation pendant 10 ans (Art. 26(6)), et veiller à ce que les décisions de l'IA soient expliquées aux personnes concernées au titre de l'Art. 22 du RGPD et de l'Art. 13 du règlement IA de l'UE.
Recoupements avec la réglementation sectorielle : DORA, MiFID II et Solvabilité II
DORA (Règlement 2022/2554) s'applique aux banques, entreprises d'investissement, compagnies d'assurance et prestataires TIC tiers. Pour les IA spécifiquement, DORA exige :
- Les systèmes d'IA traités comme des systèmes TIC soumis aux cadres de gestion des risques (Art. 6 DORA)
- La classification et le signalement des incidents liés aux TIC — les défaillances d'IA peuvent constituer des incidents TIC majeurs
- Les tests de résilience des systèmes TIC critiques — modèles d'IA inclus lorsqu'ils sont essentiels aux opérations
- La gestion du risque tiers couvrant les contrats avec les fournisseurs d'IA, les stratégies de sortie et les droits d'audit
MiFID II (Directive sur les marchés d'instruments financiers) s'applique au trading algorithmique et aux conseils en investissement. Les recommandations d'investissement générées par l'IA déclenchent des exigences d'évaluation de l'adéquation ; les systèmes de trading algorithmique requièrent des contrôles pré-négociation, des coupe-circuits et une notification réglementaire.
Les lignes directrices de l'EBA sur la gestion du risque TIC et de sécurité (EBA/GL/2019/04, mise à jour 2022) imposent une gouvernance du risque technologique couvrant les modèles d'IA, des exigences de continuité opérationnelle et l'indépendance de la validation des modèles. Celles-ci s'alignent substantiellement avec les exigences de gestion des risques de l'Art. 9 du règlement IA de l'UE.
Autorités de contrôle
L'application du règlement IA de l'UE pour l'IA bancaire s'opère à travers une structure d'autorités à double niveau :
Les autorités nationales compétentes (ANC) désignées par chaque État membre au titre de l'Art. 70 sont les principaux organes d'application du règlement IA. Elles peuvent mener des surveillances du marché, demander la documentation technique et imposer des amendes (jusqu'à 30 M€ ou 6 % du chiffre d'affaires annuel mondial au titre de l'Art. 99).
L'Autorité bancaire européenne (EBA) coordonne la surveillance sectorielle de l'IA dans l'union bancaire, fournit des normes techniques sur le risque TIC et publie des lignes directrices qui orientent les attentes des superviseurs nationaux. L'EBA participe également au Comité européen de l'IA créé au titre de l'Art. 65.
La BCE et les superviseurs prudentiels nationaux peuvent demander la documentation des modèles d'IA dans le cadre des évaluations SREP (Supervisory Review and Evaluation Process) au titre de CRD IV lorsque l'IA pilote des décisions matérielles de crédit ou de risque opérationnel.
Feuille de route de conformité pour les banques
Immédiat (maintenant → août 2026) : Effectuer le contrôle de conformité aux interdictions — examiner tous les systèmes d'IA au regard des pratiques interdites par l'Art. 5, notamment la notation sociale et l'identification biométrique en temps réel dans les espaces publics. Ces interdictions s'appliquent immédiatement aux nouveaux contrats.
T3 2026 — Audit de classification à haut risque : Cartographier tous les systèmes d'IA déployés et en cours de développement par rapport à l'Annexe III, spécifiquement les catégories 5(b) et 5(c). Documenter le raisonnement de classification. Impliquer les équipes juridiques et conformité pour évaluer le recoupement avec DORA.
T4 2026 — Obligations fournisseur pour les IA internes : Pour les modèles de notation de crédit et de souscription développés en interne, initier les procédures d'évaluation de conformité, élaborer la documentation technique conformément à l'Annexe IV et mettre en place un SMQ au titre de l'Art. 17.
2027 — Obligations déployeur pour les IA tierces : Auditer tous les contrats avec les fournisseurs d'IA au regard de la conformité au règlement IA de l'UE. Exiger des fournisseurs qu'ils fournissent les déclarations de conformité et les numéros d'enregistrement. Mettre à jour les accords de traitement des données pour refléter les obligations de journalisation de l'Art. 26.
Août 2027 — Obligations GPAI effectives : S'assurer que tous les LLM et modèles de fondation tiers utilisés dans les applications bancaires sont conformes aux Art. 51–55. Vérifier que les fournisseurs ont publié la documentation de transparence au titre de l'Art. 53.
Décembre 2027 — Échéance pour les IA à haut risque : Conformité totale requise pour tous les systèmes d'IA à haut risque de l'Annexe III. Assurer l'enregistrement dans la base de données du règlement IA de l'UE, le fonctionnement des mécanismes de surveillance humaine et les plans de surveillance post-commercialisation au titre de l'Art. 72.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Les banques sont soumises aux obligations du règlement IA de l'UE principalement via les catégories 5(b) et 5(c) de l'Annexe III : les IA utilisées dans l'évaluation de la solvabilité et la notation de crédit, et les IA utilisées dans la souscription d'assurances vie et santé. Ces systèmes sont classifiés comme systèmes d'IA à haut risque et requièrent des évaluations de conformité, une documentation technique, des mécanismes de surveillance humaine, et une inscription dans la base de données du règlement IA de l'UE. Par ailleurs, les banques déployant des IA pour le filtrage anti-blanchiment (LCB-FT), la détection de fraudes ou la vigilance à l'égard de la clientèle peuvent relever de l'Annexe III selon la fonction du système et les décisions qu'il influence.
DORA (Digital Operational Resilience Act, Règlement 2022/2554) et le règlement IA de l'UE créent des obligations qui se recoupent sans être identiques. DORA impose aux entités financières de gérer le risque TIC, de conduire des tests de résilience et de maintenir des capacités de signalement des incidents — ce qui s'applique aux systèmes d'IA en tant qu'outils TIC. Le règlement IA de l'UE ajoute des exigences de classification des risques, d'évaluation de conformité, de transparence et de surveillance humaine propres aux systèmes d'IA. Un établissement de crédit exploitant un système de notation de crédit piloté par l'IA doit satisfaire à la fois au cadre de gestion du risque TIC de DORA et aux exigences applicables aux IA à haut risque du règlement IA de l'UE. Les lignes directrices de l'EBA sur la gestion du risque TIC et de sécurité s'appliquent en parallèle.
Les systèmes de trading algorithmique ne figurent pas explicitement dans l'Annexe III et ne constituent donc pas automatiquement une IA à haut risque au sens du règlement IA de l'UE. Toutefois, si un algorithme de trading est utilisé comme composante d'une évaluation de solvabilité ou influence l'accès aux services financiers d'une manière affectant des personnes physiques, il peut entrer dans le champ de l'Annexe III. Les exigences de MiFID II applicables au trading algorithmique — notamment les coupe-circuits, les tests de systèmes et les pistes d'audit — demeurent pleinement applicables. Les exigences de transparence de l'Art. 50 du règlement IA de l'UE s'appliquent aux IA interagissant avec des personnes physiques, et les obligations relatives aux modèles GPAI prévues à l'Art. 51 s'appliquent aux grands modèles de langage utilisés dans des plateformes de trading ou d'analyse.
L'Autorité bancaire européenne (EBA) a publié des lignes directrices sur la gouvernance interne (EBA/GL/2021/05) et la gestion du risque TIC qui informent directement les attentes en matière de gouvernance de l'IA pour les banques. Les exigences clés comprennent la responsabilité au niveau du conseil d'administration pour la stratégie IA, la validation indépendante des modèles d'IA utilisés dans le risque de crédit, des cadres de risque opérationnel couvrant les défaillances des IA, et des exigences d'explicabilité pour les systèmes d'IA affectant les décisions de crédit. Les consultations de l'EBA sur l'apprentissage automatique pour les modèles IRB fixent des normes quantitatives pour la validation des modèles, la qualité des données et le suivi des performances, qui s'alignent étroitement avec les exigences de gestion des risques de l'Art. 9 du règlement IA de l'UE.
Oui, en principe — le règlement IA de l'UE s'applique quelle que soit la taille de l'entreprise. Toutefois, l'Art. 9(5) exige que les systèmes de gestion des risques soient proportionnés à la taille et à la nature du fournisseur ou du déployeur. Les dispositions relatives aux PME et aux startups prévues aux Art. 55 et Art. 57 à Art. 63 donnent accès à des bacs à sable réglementaires opérés par les autorités nationales compétentes, réduisant les obstacles aux tests de conformité. L'EBA Innovation Hub et le Forum européen pour les facilitateurs d'innovation (EFIF) fournissent un soutien supplémentaire aux entreprises fintech qui naviguent dans la réglementation de l'IA.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.