Les entités financières soumises à DORA font face à des obligations EU AI Act simultanées. Cet outil identifie les chevauchements pour votre secteur et vos cas d'usage IA : scoring de crédit, détection de fraude, trading algorithmique, LCB-FT.
La double exposition des entités financières
Les institutions financières opérant dans l'UE font face à une double conformité réglementaire depuis 2025 : DORA est en vigueur depuis janvier 2025, les obligations AI Act GPAI depuis août 2025, et les systèmes IA à haut risque (scoring de crédit, évaluation des risques d'assurance) devront être conformes au 2 décembre 2027.
Zones de chevauchement clés
1. Gestion du risque TIC et gouvernance IA
DORA (Art. 5-16) : cadre de gestion du risque TIC, politique de sécurité, continuité des activités.
AI Act (Art. 9) : gestion des risques spécifique à l'IA tout au long du cycle de vie.
Chevauchement : les systèmes IA utilisés dans les processus TIC critiques (détection de fraude, trading, évaluation de crédit) doivent satisfaire aux exigences des deux régimes. Le registre des risques DORA et la documentation de gestion des risques AI Act peuvent être consolidés.
2. Déclaration d'incidents
DORA (Art. 17-23) : déclaration des incidents TIC majeurs aux autorités de surveillance dans des délais stricts (notification initiale 4h, rapport intermédiaire 72h, rapport final 1 mois).
AI Act (Art. 73) : déclaration des incidents graves liés aux systèmes IA à haut risque aux autorités nationales compétentes.
Chevauchement : un incident de cybersécurité impliquant un système IA critique (ex : compromission du modèle de détection de fraude) déclenche potentiellement des obligations de déclaration sous les deux régimes simultanément.
3. Gestion des prestataires TIC tiers
DORA (Art. 28-44) : registre des contrats, clauses contractuelles obligatoires, droit d'audit pour les prestataires TIC critiques.
AI Act (Art. 25, 53) : obligations du déployeur vis-à-vis des fournisseurs d'IA ; obligations des fournisseurs GPAI en aval.
Chevauchement : tout contrat avec un fournisseur d'IA tiers doit intégrer les clauses DORA (droit d'audit, continuité, sous-traitance) ET les exigences AI Act (documentation technique, informations de conformité en aval, droits d'auteur).
4. Systèmes IA Annexe III dans le secteur financier
Les systèmes suivants sont à la fois dans le périmètre DORA (TIC critique) et AI Act Annexe III (services essentiels — Art. 7(5)) :
| Cas d'usage | Classif. AI Act | Lien DORA |
|---|---|---|
| Scoring de crédit automatisé | Annexe III (services essentiels) | TIC critique |
| Évaluation des risques d'assurance IA | Annexe III (services essentiels) | TIC critique |
| Détection de fraude IA | Dépend du contexte | TIC critique |
| Trading algorithmique avec IA | Dépend du contrôle humain | TIC critique |
| LCB-FT / AML basé sur IA | Dépend du contexte | TIC critique |
→ Analyse complète de la convergence AI Act, DORA et NIS2
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Oui. DORA s'applique aux établissements de crédit, compagnies d'assurance, entreprises d'investissement, prestataires de services de paiement et autres entités financières — et est en vigueur depuis janvier 2025. Ces mêmes entités sont également soumises à l'EU AI Act pour tout système IA qu'elles développent ou déploient.
DORA oblige les entités financières à gérer leurs prestataires TIC — y compris les fournisseurs d'IA — dans le cadre d'arrangements contractuels spécifiques (Art. 28-44). L'AI Act impose indépendamment aux déployeurs de mettre en place des mesures de gouvernance IA. Lorsqu'un fournisseur d'IA est à la fois prestataire TIC tiers DORA et fournisseur AI Act, les contrats doivent satisfaire aux deux cadres réglementaires.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.