07
Juil 2026
L’intelligence artificielle est déjà largement utilisée par les banques, les assureurs et les gestionnaires d’actifs, tant dans les activités cœur de métier que dans les fonctions support : scoring et octroi du crédit, tarification, détection de fraude, pilotage des risques ou automatisation de certaines tâches de conformité.
Jusque récemment, ces usages s’inscrivaient dans des cadres réglementaires sectoriels technologiquement neutres, principalement centrés sur les résultats et leurs effets sur les clients, les marchés et la stabilité financière (gouvernance, contrôle interne, protection de la clientèle, données personnelles, externalisation), sans encadrement “IA” en tant que tel.
La publication par le Haut Comité Juridique de la Place Financière de Paris (HCJP) d’un rapport consacré aux impacts juridiques et réglementaires de l’IA dans les secteurs bancaire, financier et assurantiel propose une lecture structurée des nouvelles exigences issues de l’AI Act et de leur articulation avec les dispositifs existants.
L’enjeu n’est désormais plus l’opportunité de recourir à l’IA, mais la capacité des institutions financières à en assurer une maîtrise démontrable, à travers des mécanismes de gouvernance, de documentation, de supervision humaine et de contrôle continu, conformes aux exigences européennes et aux attentes croissantes des autorités de supervision.
L’AI Act (publié au Journal officiel de l’Union européenne le 12 juillet 2024 et entré en vigueur le 1er août 2024en France) introduit une approche graduée, structurée autour du niveau de risque des systèmes d’IA : pratiques interdites, systèmes dits « à haut risque », systèmes soumis à des obligations de transparence spécifiques, et systèmes à risque minimal. Cette logique est familière au secteur financier, mais elle s’applique ici directement aux systèmes d’IA eux‑mêmes, entendus comme des dispositifs algorithmiques ou décisionnels automatisés, notamment fondés sur des techniques d’apprentissage, indépendamment du secteur dans lequel ils sont déployés.
Dans le secteur financier, certains cas d’usage sont explicitement qualifiés « à haut risque » par le règlement, en particulier lorsqu’ils influencent de manière déterminante l’accès à des ressources ou des services financiers essentiels. C’est notamment le cas :
Les systèmes d’IA à haut risque sont soumis à des obligations renforcées, notamment en matière de gouvernance et de qualité des données, de documentation technique, de traçabilité (journalisation), d’auditabilité, de supervision humaine effective, de surveillance post‑déploiement et de gestion des incidents. La difficulté principale réside moins dans l’énoncé de ces exigences que dans leur mise en cohérence avec des dispositifs prudentiels, de conformité et de contrôle interne déjà très structurés au sein des institutions financières.
L’AI Act s’inscrit dans une logique de complémentarité avec les réglementations sectorielles existantes, et non de substitution. Pour les établissements financiers, l’enjeu central devient l’articulation des obligations spécifiques à l’IA avec des cadres déjà très structurés, afin de limiter les incohérences de gouvernance, les zones de non‑couverture et les effets de superposition non maîtrisés.
Cette articulation mobilise plusieurs briques réglementaires et de gouvernance existante, au premier rang desquelles :
Le règlement sur l’IA prévoit, dans certains cas, des logiques de complémentarité avec ces dispositifs existants : des mécanismes déjà en place peuvent contribuer à satisfaire certaines exigences nouvelles, à condition de pouvoir démontrer un niveau de protection et de maîtrise comparable. Cette démonstration ne relève pas d’un exercice déclaratif ponctuel, mais d’un travail structurant pour les fonctions conformité, risques et systèmes d’information : cartographie des cas d’usage de l’IA, qualification des niveaux de risque, formalisation des contrôles et justification de l’architecture globale de gouvernance.
Il ne s’agit donc plus seulement de déployer des outils performants, mais de bâtir une capacité de preuve dans la durée, s’inscrivant dans les circuits existants de pilotage et de contrôle (comités risques, conformité, audit interne) et constituant un élément clé du dialogue avec les autorités de supervision et, le cas échéant, avec les organes de direction.
L’IA ne peut plus être appréhendée comme un simple composant technique : elle devient un objet de gouvernance à part entière. À ce titre, elle doit s’inscrire pleinement dans les dispositifs existants de contrôle interne, de gestion des risques et de validation des modèles, entendus au sens large, déployés au sein des institutions financières.
La gouvernance opérationnelle de l’IA repose sur plusieurs piliers structurants :
Le contrôle humain doit permettre de comprendre les résultats produits, d’en apprécier la cohérence et, le cas échéant, d’interrompre ou de corriger le fonctionnement du système. À mesure que l’autonomie des solutions d’IA augmente, le risque est celui d’une dilution des chaînes de responsabilité à l’égard des clients et des autorités, ce qui rend indispensable l’organisation de rôles clairement attribués, de processus d’escalade formalisés et d’éléments de preuve attestant de l’effectivité de la supervision.
Le HCJP met en évidence une dynamique commune aux grands textes européens récents : la montée en puissance d’une logique de documentation et de « preuve de conformité ». L’AI Act, DORA et le RGPD imposent, chacun selon leur logique propre, la capacité à démontrer dans la durée la maîtrise des systèmes, des données et des prestataires.
Dans cette perspective, les systèmes d’IA ne peuvent rester à la marge des dispositifs existants. Ils doivent être pleinement intégrés :
La gouvernance de l’IA s’inscrit ainsi dans la continuité des exigences de résilience, de contrôle et de traçabilité déjà structurantes pour les institutions financières.
L’IA reconfigure les chaînes de responsabilité au sein des institutions financières. Si l’AI Act s’inscrit principalement dans une logique de prévention, il renforce le lien entre la qualité des dispositifs de gouvernance ex ante et l’exposition de l’établissement en cas de défaillance.
Concrètement, une insuffisance dans la conception, la supervision ou la documentation des systèmes d’IA peut entrainer des conséquences multiples : responsabilité civile à l’égard des clients ou des partenaires, observations ou sanctions prudentielles de la part des superviseurs, mises en cause disciplinaires internes, et impacts réputationnels durables.
Le principe selon lequel le recours à des systèmes automatisés n’exonère pas l’établissement de ses obligations demeure inchangé. En revanche, l’AI Act élève significativement le niveau d’exigence attendu : plus l’autonomie du système est élevée, plus la capacité à démontrer la maîtrise, l’explicabilité des décisions et l’effectivité de la supervision devient centrale. La responsabilité ne se présume plus ; elle doit pouvoir être prouvée.
Cette exigence de sécurisation s’étend à l’ensemble de la chaîne de valeur de l’IA, y compris aux fournisseurs de technologies, de données et de services. La contractualisation avec les prestataires devient dès lors un levier clé de maîtrise des risques : clauses d’audit, exigences de transparence, engagements de performance et de sécurité, mécanismes de réversibilité, accès à la documentation et garanties en matière de protection des données.
Dans ce contexte, plusieurs initiatives professionnelles cherchent à traduire les exigences juridiques de l’AI Act en standards opérationnels directement mobilisables par les entreprises. Elles visent à combler l’écart entre la norme réglementaire et sa mise en œuvre concrète, au travers de référentiels structurés : méthodes de gouvernance, contrôles‑types, grilles d’évaluation des risques ou cadres de maturité.
Ces initiatives peuvent prendre des formes diverses : travaux menés par des associations professionnelles ou des places financières, référentiels sectoriels de gouvernance de l’IA, cadres d’évaluation de la fiabilité et de l’explicabilité des systèmes, ou encore démarches émergentes autour de la notion de « tiers de confiance » pour l’IA. Leur objectif n’est pas de créer une nouvelle couche normative, mais de proposer un socle commun de pratiques facilitant l’appropriation opérationnelle du règlement.
À l’image des certifications déjà utilisées en matière de sécurité, de protection des données ou de résilience opérationnelle, ces référentiels peuvent structurer le dialogue avec les régulateurs, mutualiser les efforts de mise en conformité par la standardisation et rendre plus lisible, pour les parties prenantes, le niveau réel de maîtrise de la gouvernance de l’IA. Ils ne se substituent pas aux obligations réglementaires, mais peuvent devenir des leviers utiles de démonstration et d’harmonisation des pratiques.
L’intelligence artificielle ne peut plus être appréhendée comme un risque spécifique ou isolé. Avec l’entrée en application progressive de l’AI Act, elle s’inscrit désormais au cœur des risques majeurs des institutions financières (risques opérationnels, de conformité, juridiques, de conduite ou encore réputationnels) et doit, à ce titre, être intégrée de manière cohérente aux dispositifs de gestion des risques, de contrôle interne et de gouvernance d’entreprise.
La priorité opérationnelle ne réside pas dans la conformité formelle à un nouveau texte, mais dans l’articulation des exigences de l’AI Act avec les cadres existants (Solvabilité II, DORA, RGPD, protection de la clientèle), afin de construire une approche homogène. Cela implique une cartographie structurée des cas d’usage de l’IA, des exigences claires en matière de données et de traçabilité, une supervision humaine effective, des dispositifs de contrôle continu et de gestion des incidents, ainsi qu’une contractualisation robuste avec les prestataires.
Ces exigences constituent les instruments opérationnels d’une gouvernance des risques liés à l’IA. La capacité à inscrire durablement l’IA dans une gouvernance globale, maîtrisée et démontrable devient ainsi un facteur clé de soutenabilité réglementaire et, à terme, un levier de différenciation pour les établissements capables de démontrer une maîtrise responsable et mature de ces technologies.
Spécialisé dans les domaines de la Banque, de la Finance, de l’Assurance et de la Protection Sociale, notre Cabinet place l’expertise au cœur de son savoir-faire. Nos équipes interviennent à la fois sur les phases stratégiques, organisationnelles, de mise en œuvre et s’adaptent aux spécificités de chaque projet. Nos antennes françaises, luxembourgeoises et anglaises seront ravies d’échanger avec vous autour de vos besoins en assurance, finance et actuariat. Pour nous contacter, cliquez ici.
09
Juil 2026
24
Juin 2026
04
Juin 2026
21
Mai 2026