Règlement IA : ce que signifie
se mettre en conformité

L’intelligence artificielle (IA) est désormais au cœur de la transformation du secteur financier. Utilisée pour améliorer l’expérience client, renforcer les dispositifs de lutte contre la fraude, optimiser les processus internes ou assister les collaborateurs dans leurs activités quotidiennes, elle offre des perspectives considérables. Elle soulève également des risques nouveaux en matière de protection des données, de cybersécurité, de gouvernance, de dépendance technologique, de responsabilité du fait des produits et de respect des droits fondamentaux.

C’est dans ce contexte que l’Union européenne a adopté le Règlement (UE) 2024/1689 du 13 juin 2024 sur l’IA (RIA). Ce texte constitue désormais l’un des piliers du cadre réglementaire numérique européen, aux côtés du RGPD (Réglement général sur la protection des données), de DORA (Digital Operational Resilience Act) et, selon les cas, de NIS2 (directive sur la sécurité des réseaux et des systèmes d’information). Pour les banques, l’enjeu n’est pas seulement de satisfaire à de nouvelles obligations de conformité ; il s’agit également d’intégrer l’IA dans les dispositifs existants de gouvernance des risques, de contrôle interne et de résilience opérationnelle.

Le RIA repose sur une classification des systèmes d’IA selon leur niveau de risque. Certaines pratiques sont interdites, d’autres sont soumises à des obligations renforcées lorsqu’elles sont qualifiées de « haut risque », tandis que les systèmes présentant un risque limité ou minimal sont soumis à des exigences plus légères.

Dans ce contexte, et sous certaines conditions, les établissements financiers doivent identifier et cartographier les systèmes d’IA qu’ils développent, acquièrent ou utilisent afin de déterminer les obligations applicables à chaque cas d’usage. Pour de nombreux acteurs du secteur, le principal défi ne réside pas dans le développement de modèles internes mais dans l’utilisation croissante de solutions proposées par des fournisseurs tiers, notamment de modèles d’IA à usage général (General Purpose AI Models ou GPAI) intégrés dans des outils conversationnels, des assistants numériques ou des solutions de productivité.

Le RIA distingue plusieurs catégories d’acteurs, parmi lesquelles les fournisseurs et les déployeurs. Cette distinction est essentielle car elle détermine les obligations applicables. Le cas échéant, le fournisseur supporte notamment les obligations relatives à la conception du système, à l’évaluation de conformité, à la documentation technique et à la surveillance post-commercialisation. Selon les circonstances, le déployeur devra réaliser une analyse d’impact avant la première utilisation du système d’IA et demeure responsable de l’utilisation conforme du système et de son intégration dans les dispositifs de gestion des risques de l’établissement.

Souvent, les banques agiront en qualité de déployeurs, c’est-à-dire d’utilisateurs professionnels de systèmes développés par des tiers. Elles pourront toutefois être qualifiées de fournisseurs lorsqu’elles développent elles-mêmes un système d’IA, font développer une solution spécifique sous leur responsabilité ou proposent le système d’IA d’un tiers en marque blanche.

L’une des principales préoccupations des établissements financiers concerne l’identification des systèmes susceptibles d’être qualifiés de « haut risque », notamment car les principales obligations applicables à ces systèmes d’IA entreront en principe en application à compter du 2 août 2026 (même si cette date peut être repoussée à août 2027 si des amendements au RIA sont adoptés – ce qui semble désormais probable).

Dans le secteur bancaire, le RIA vise notamment certains systèmes de scoring de crédit ou d’aide à la décision susceptibles d’influencer l’accès à des services financiers. Ces systèmes sont soumis à un ensemble particulièrement exigeant d’obligations portant sur la gestion des risques, la gouvernance des données, la documentation technique, la tenue de registres, la transparence, la supervision humaine, la robustesse et la cybersécurité.

Concrètement, les établissements concernés doivent en principe être en mesure de démontrer que les risques ont été identifiés, évalués et maîtrisés tout au long de leur cycle de vie. Selon les circonstances, ils peuvent également devoir assurer la qualité et la représentativité des données utilisées, documenter le fonctionnement du système, conserver des traces suffisantes pour permettre les contrôles et garantir l’existence d’une supervision humaine effective. Sur ce dernier point, les banques doivent pouvoir démontrer que les utilisateurs, formés et conscients du biais d’automatisation, soient capables de surveiller et d’interpréter les sorties, de pouvoir les ignorer/renverser ou d’arrêter le système.

L’essor rapide des modèles d’IA à usage général transforme profondément la gestion du risque fournisseur dans le secteur bancaire. Les banques s’appuient de plus en plus sur des solutions intégrant des modèles génératifs développés par des acteurs technologiques spécialisés. Cette dépendance crée de nouveaux enjeux en matière de maîtrise des risques, de sécurité, de propriété intellectuelle et de continuité opérationnelle.

Le RIA impose aux fournisseurs de GPAI des obligations, notamment en matière de documentation technique, de transparence, de respect du droit d’auteur et de gestion des risques systémiques pour les modèles les plus puissants.

Pour les établissements financiers, cela implique un renforcement des processus de due diligence et des exigences contractuelles applicables aux prestataires d’IA. Selon les cas, les contrats devront notamment traiter des questions relatives à la documentation du système, à la gouvernance des données, aux droits d’audit, à la gestion des incidents, à la cybersécurité, à la localisation des données, à la continuité de service et aux mécanismes de réversibilité.

Les obligations de transparence occupent une place importante dans le nouveau cadre européen. Selon les situations, lorsque des personnes physiques interagissent directement avec un système d’IA, ils doivent être informés qu’ils utilisent un tel système et que le contenu généré soit identifié comme étant créé par IA. Ces exigences concernent directement les banques qui utilisent des agents conversationnels, des assistants virtuels ou des outils génératifs dans leurs parcours client.

Au-delà de la seule conformité réglementaire, cette transparence pourrait participer à la confiance des utilisateurs dans les services numériques proposés par les établissements financiers. Elle suppose la mise en place d’informations claires et compréhensibles, ainsi que de mécanismes permettant, lorsque cela est pertinent, l’intervention ou l’escalade vers un interlocuteur humain.

Le RIA introduit également une obligation de développement des compétences internes en matière d’IA (AI literacy).

Les établissements soumis à ces obligations d’AI literacy doivent veiller à ce que les personnes impliquées dans le développement, le déploiement, l’utilisation ou le contrôle des systèmes d’IA disposent d’un niveau de connaissance adapté à leurs responsabilités.

Les banques devront envisager de mettre en place, à l’égard du personnel s’occupant du fonctionnement ou utilisant des systèmes d’IA, des programmes structurés de sensibilisation et de formation, couvrant notamment les enjeux réglementaires, éthiques, opérationnels et de cybersécurité liés à l’IA.

Parallèlement, la mise en place d’une structure de gouvernance appropriée devient indispensable. Sans nécessairement créer de nouvelles structures, les établissements devront pouvoir être en mesure d’identifier les responsabilités de manière adéquate, de valider les cas d’usage sensibles, de superviser les risques associés et d’assurer un reporting approprié auprès des organes de direction.

Le RIA encourage également le recours aux bacs à sable réglementaires et aux codes de conduite volontaires, qui peuvent constituer des outils utiles pour expérimenter de nouveaux usages dans un cadre maîtrisé.

L’un des principaux enseignements de l’AI Act est que la conformité liée à l’IA ne peut être gérée en silo.

Pour les banques, les exigences issues de ce règlement devront être intégrées dans une approche globale associant protection des données personnelles, cybersécurité, résilience opérationnelle, gestion du risque fournisseur, gestion du risque de modèle, responsabilité du fait des produits, et respect des droits fondamentaux.

La feuille de route de mise en conformité devra ainsi prendre en compte plusieurs chantiers complémentaires, selon le cadre applicable : cartographie des systèmes d’IA, classification des cas d’usage, gouvernance des modèles, contrôle des prestataires, supervision humaine, transparence vis-à-vis des clients, formation des collaborateurs et adaptation des dispositifs de contrôle interne.