IA en banque et assurance : conformité AI Act

Le scoring crédit, la tarification d’assurance-vie ou la détection de fraude reposent de plus en plus sur l’intelligence artificielle. Depuis l’adoption du règlement européen sur l’IA (AI Act, règlement (UE) 2024/1689), ces systèmes sont classés à haut risque — avec des obligations lourdes qui entreront en application le 2 août 2026. Pour les banques et assureurs français, l’enjeu est de s’y préparer sans attendre, d’autant que l’ACPR se positionne déjà comme autorité de surveillance.

Quels systèmes d’IA sont concernés dans le secteur financier ?

L’annexe III du règlement AI Act dresse la liste des systèmes d’IA considérés comme à haut risque. Deux cas visent directement le secteur financier :

• L’évaluation de la solvabilité des personnes physiques : tout système d’IA utilisé pour évaluer la capacité d’un emprunteur à rembourser un crédit (scoring crédit, octroi de prêt automatisé, notation de risque de défaut).
• L’évaluation des risques et la tarification en assurance-vie et en assurance santé : les modèles de tarification qui intègrent des variables personnelles (âge, données de santé, comportement) via des algorithmes d’apprentissage automatique.

Au-delà de ces deux cas explicites, d’autres usages sont susceptibles d’entrer dans le champ du haut risque : les systèmes de détection de fraude utilisant du profilage individuel, les chatbots conseillers financiers prenant des décisions ou recommandations personnalisées, et les outils de KYC (Know Your Customer) automatisés lorsqu’ils impactent l’accès aux services financiers.

En revanche, les systèmes d’IA utilisés pour des tâches purement internes sans impact sur les clients (optimisation de processus back-office, analyse de marché agrégée) ne sont généralement pas classés à haut risque.

Les obligations de l’AI Act pour les systèmes à haut risque

Les établissements financiers qui développent ou déploient des systèmes d’IA à haut risque doivent respecter un ensemble d’exigences structurantes. Je les détaille dans mon guide complet de conformité IA, mais voici les principales obligations applicables au secteur financier.

Système de gestion des risques

L’article 9 du règlement impose un système de gestion des risques continu et itératif tout au long du cycle de vie du système d’IA. Pour un modèle de scoring crédit, cela implique d’identifier et d’évaluer les risques de discrimination (biais algorithmique sur le genre, l’origine, le lieu de résidence), de tester le modèle avant et après sa mise en production, et de documenter les mesures de mitigation adoptées.

Qualité des données d’entraînement

L’article 10 exige que les jeux de données utilisés pour l’entraînement, la validation et les tests soient pertinents, représentatifs, exempts d’erreurs et complets. Dans le contexte bancaire, cela suppose de vérifier que les données historiques de crédit ne reproduisent pas des biais structurels (par exemple, un historique de refus systématique dans certaines zones géographiques qui biaiserait le modèle).

Documentation technique

Chaque système à haut risque doit être accompagné d’une documentation technique détaillée (article 11), tenue à jour, incluant une description générale du système, ses spécifications de conception, le processus de développement, les données d’entraînement utilisées, les performances mesurées et les limites connues. J’analyse ces exigences en détail dans mon article sur la documentation technique AI Act.

Transparence et information des utilisateurs

Les déployeurs doivent fournir des instructions d’utilisation claires (article 13). Pour une banque utilisant un système de scoring crédit fourni par un éditeur, cela signifie comprendre les limites du modèle, les cas d’usage prévus, et les conditions dans lesquelles une supervision humaine est nécessaire.

Contrôle humain

L’article 14 impose une supervision humaine proportionnée au risque. Un analyste crédit doit pouvoir comprendre les résultats du système, décider de ne pas suivre une recommandation automatisée, et interrompre le système si nécessaire. Cette exigence rejoint celle de l’article 22 du RGPD sur les décisions automatisées, qui donne aux personnes le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

Traçabilité et enregistrement

Les systèmes doivent conserver des journaux d’activité (logs) permettant de retracer les décisions prises (article 12). Pour un refus de crédit automatisé, il faut pouvoir reconstituer les variables qui ont conduit à la décision, le score attribué et le seuil appliqué.

Le régime spécifique des établissements financiers

Le règlement AI Act prévoit un régime articulé avec la législation financière existante. L’article 6(3) et les articles 74 à 79 prévoient plusieurs aménagements :

Intégration dans le contrôle interne existant. Les obligations de gestion des risques de l’AI Act peuvent être satisfaites dans le cadre des dispositifs de contrôle interne déjà imposés par la réglementation prudentielle (CRD, Solvabilité II). L’ACPR a confirmé dans sa communication de juillet 2024 que les exigences de l’AI Act s’articuleront avec les obligations existantes de gouvernance.

Présomption de conformité sectorielle. Lorsqu’un établissement financier respecte déjà les exigences de la législation sectorielle (par exemple les orientations de l’ABE sur l’octroi de crédit ou les guidelines de l’EIOPA sur la tarification), certaines obligations de l’AI Act sont présumées satisfaites.

L’ACPR comme autorité de surveillance. En France, l’ACPR devrait être désignée autorité de surveillance du marché pour les systèmes d’IA dans le secteur financier. Elle a déjà publié un document de discussion sur la gouvernance des algorithmes d’IA dans le secteur financier et organise des consultations avec la place depuis 2024.

L’articulation avec le RGPD et DORA

Le secteur financier fait face à un empilement réglementaire sans précédent. L’AI Act ne remplace ni le RGPD ni le règlement DORA : ils s’appliquent cumulativement.

AI Act + RGPD : deux angles complémentaires

Le RGPD encadre le traitement des données personnelles utilisées par le système d’IA. L’AI Act encadre le système d’IA lui-même. En pratique, pour un modèle de scoring crédit :

• Le RGPD impose une base légale pour le traitement (généralement l’intérêt légitime ou l’exécution du contrat), le respect du principe de minimisation, et le droit des personnes à obtenir une explication de la décision (article 22 et considérant 71).
• L’AI Act impose la documentation technique, les tests de non-discrimination, la supervision humaine et la traçabilité du système.
• La CNIL a publié des recommandations spécifiques sur l’IA qui complètent ce cadre, notamment sur la constitution des bases d’apprentissage et le respect des droits des personnes.

Le non-respect de l’un n’exonère pas de l’autre. Un scoring crédit peut être conforme à l’AI Act (documentation, tests) mais violer le RGPD (pas de base légale, pas d’information des personnes). L’inverse est tout aussi possible.

AI Act + DORA : résilience opérationnelle

Le règlement DORA impose aux établissements financiers des exigences de résilience opérationnelle numérique, y compris pour les systèmes d’IA critiques. Concrètement, un système de scoring crédit doit également faire l’objet de tests de résilience, d’un plan de continuité d’activité, et d’une gestion des risques liés aux prestataires TIC qui fournissent le système d’IA. L’articulation AI Act / DORA est détaillée dans mon guide DORA.

Calendrier : ce qu’il faut préparer avant août 2026

L’AI Act entre en application progressivement. Voici les échéances critiques pour le secteur financier :

Échéance	Obligation
2 février 2025	Interdiction des pratiques d’IA prohibées (manipulation, scoring social)
2 août 2025	Règles applicables aux modèles d’IA à usage général (GPAI)
2 août 2025	Désignation des autorités nationales de surveillance (ACPR pour le financier)
2 août 2026	Application des obligations pour les systèmes à haut risque (scoring crédit, tarification assurance)
2 août 2027	Application aux systèmes d’IA intégrés dans des produits couverts par une législation d’harmonisation

D’ici août 2026, les établissements financiers devraient :

1. Inventorier tous les systèmes d’IA utilisés et les classifier selon les niveaux de risque de l’AI Act.
2. Évaluer les écarts entre les dispositifs de conformité existants (contrôle interne, gouvernance des modèles) et les nouvelles exigences.
3. Documenter les systèmes à haut risque existants (documentation technique, données d’entraînement, résultats des tests).
4. Mettre en place des audits algorithmiques réguliers — une obligation que je détaille dans mon article sur l’audit algorithmique.
5. Former les équipes (conformité, risques, IT) aux nouvelles obligations.
6. Vérifier la conformité des prestataires d’IA (éditeurs de solutions de scoring, fournisseurs de modèles) au regard de leurs obligations en tant que fournisseurs de systèmes à haut risque.

Les sanctions encourues

Le non-respect des obligations applicables aux systèmes à haut risque expose les établissements financiers à des amendes pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). Pour les pratiques interdites (scoring social, manipulation), les amendes montent à 35 millions d’euros ou 7 % du CA mondial. J’analyse le régime complet des sanctions AI Act dans un article dédié.

Ces sanctions s’ajoutent aux sanctions déjà possibles au titre du RGPD (jusqu’à 20 millions d’euros ou 4 % du CA mondial) et aux mesures prudentielles de l’ACPR.

Ce qu’il faut retenir

• Les systèmes d’IA de scoring crédit et de tarification assurance-vie/santé sont classés à haut risque par l’AI Act, avec des obligations applicables dès le 2 août 2026.
• Les établissements financiers bénéficient d’un régime articulé avec la réglementation prudentielle, mais doivent néanmoins documenter, tester et superviser leurs systèmes d’IA.
• Le RGPD (droit à l’explication, base légale, minimisation) et DORA (résilience opérationnelle) s’appliquent cumulativement à l’AI Act — pas alternativement.
• L’ACPR se positionne comme autorité de surveillance en France et prépare activement sa mission de contrôle.
• L’inventaire des systèmes d’IA et l’analyse d’écart doivent être lancés maintenant pour respecter l’échéance d’août 2026.

FAQ

Le scoring crédit est-il systématiquement un système d’IA à haut risque ?

Oui, dès lors qu’il s’agit d’un système d’IA utilisé pour évaluer la solvabilité de personnes physiques en vue de l’octroi d’un crédit. L’annexe III du règlement AI Act le classe explicitement à haut risque. Cela couvre les modèles de machine learning, mais aussi les systèmes experts automatisés qui entrent dans la définition de l’article 3(1) du règlement.

Les assureurs IARD sont-ils concernés par l’AI Act ?

Le texte vise spécifiquement l’assurance-vie et l’assurance santé pour la classification à haut risque. Les assureurs IARD (automobile, habitation) ne sont pas expressément visés par l’annexe III. Toutefois, si leurs systèmes d’IA utilisent du profilage individuel avec des effets significatifs, ils restent soumis aux obligations du RGPD, notamment l’article 22 sur les décisions automatisées.

Comment articuler AI Act et contrôle interne ACPR existant ?

Le règlement prévoit que les exigences de gestion des risques de l’AI Act peuvent être intégrées dans les dispositifs de contrôle interne existants (article 6(3)). En pratique, il est recommandé d’étendre le cadre de gouvernance des modèles (validation, back-testing, documentation) pour y intégrer les exigences spécifiques de l’AI Act : tests de non-discrimination, explicabilité, supervision humaine et journalisation.

Quelles sanctions risque un établissement financier non conforme ?

Les amendes peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial pour le non-respect des obligations relatives aux systèmes à haut risque. Ces sanctions s’ajoutent aux mesures de l’ACPR (mise en demeure, blâme, retrait d’agrément) et aux amendes RGPD de la CNIL (jusqu’à 20 millions d’euros ou 4 % du CA mondial).