L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (AI Act) impose aux banques françaises des obligations échelonnées entre 2025 et 2027 pour leurs systèmes d'IA à haut risque (Article 6 et Annexe III). - L'ACPR, en tant qu'autorité de supervision bancaire, s'aligne sur le calendrier européen et publie des orientations sectorielles dès 2025. - Les systèmes de scoring crédit et d'évaluation de solvabilité sont explicitement classés à haut risque (Annexe III, point 5b). - Les sanctions cumulatives peuvent atteindre 35 M€ ou 7 % du chiffre d'affaires mondial (Art. 99 AI Act) selon la nature du manquement. - Le service desk de l'AI Office EU et les futures lignes directrices de l'ACPR constituent les ressources de référence. - Les PME fournisseurs de banques (fintechs, éditeurs RegTech) sont aussi concernées dès lors qu'elles intègrent un système IA dans la chaîne de décision crédit.
1. Contexte réglementaire : AI Act et rôle de l'ACPR
Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024. Son application est échelonnée. Les interdictions de l'Article 5 sont applicables depuis le 2 février 2025. Les obligations sur les modèles d'IA à usage général s'appliquent depuis le 2 août 2025. Le régime complet sur les systèmes à haut risque devient pleinement contraignant le 2 août 2026, avec une extension jusqu'au 2 août 2027 pour certains systèmes intégrés à des produits réglementés.
L'AI Act définit quatre niveaux de risque : pratiques interdites (Art. 5), systèmes à haut risque (Art. 6 et Annexe III), systèmes à risque limité soumis à transparence (Art. 50), et systèmes à risque minimal sans obligation spécifique. Pour le secteur bancaire, la majorité des cas d'usage critiques relèvent de la catégorie « haut risque ».
L'Autorité de contrôle prudentiel et de résolution (ACPR), rattachée à la Banque de France, supervise les établissements de crédit, sociétés de financement, entreprises d'investissement et organismes d'assurance. Bien que la désignation formelle de l'autorité nationale compétente pour l'AI Act relève d'une loi de transposition à venir [à vérifier], l'ACPR exerce de fait un rôle de supervision sur les systèmes d'IA déployés par les acteurs régulés via son mandat prudentiel et ses pouvoirs au titre de l'Article 74 §6-7 de l'AI Act, qui confie aux autorités sectorielles financières la surveillance du marché pour les systèmes à haut risque listés à l'Annexe III, point 5b.
L'ACPR a publié dès 2020 un document de réflexion sur la gouvernance des algorithmes d'IA dans le secteur financier, puis a participé aux travaux conjoints avec l'EBA (European Banking Authority) sur l'utilisation du machine learning pour les modèles internes IRB.
2. Les orientations clés de l'ACPR pour 2026
Le calendrier opérationnel pour les banques françaises se structure autour de trois jalons.
| Échéance | Obligation | Base juridique |
|---|---|---|
| 2 février 2025 | Interdiction des pratiques IA prohibées et obligation de littératie IA des collaborateurs | Art. 5 et Art. 4 AI Act |
| 2 août 2025 | Obligations sur les modèles GPAI utilisés (ex : assistants conversationnels internes) | Art. 51-55 AI Act |
| 2 août 2026 | Conformité complète des systèmes à haut risque déployés en interne ou fournis | Art. 6, 8 à 27 AI Act |
| 2 août 2027 | Extension pour les systèmes IA intégrés à des produits soumis à la législation harmonisée listée à l'Annexe I | Art. 113 §3 AI Act |
L'orientation prioritaire pour les banques concerne les systèmes de notation de solvabilité et de scoring crédit. L'Annexe III, point 5b, classe explicitement comme à haut risque les systèmes IA destinés à « évaluer la solvabilité de personnes physiques ou établir leur score de crédit ». Cette qualification déclenche l'intégralité du chapitre III, section 2 de l'AI Act.
L'ACPR insiste, dans ses publications récentes et dans le cadre du Pôle Fintech-Innovation, sur trois axes : la documentation technique exhaustive des systèmes (Art. 11 et Annexe IV), la traçabilité des décisions et la conservation des journaux (Art. 12 et 19), et la supervision humaine effective (Art. 14).
Le lien entre l'AI Act et le cadre prudentiel existant est explicite. L'Article 1 §1 du Règlement Délégué (UE) 2017/180 sur les modèles internes, les orientations EBA/GL/2020/06 sur l'octroi et le suivi des prêts, ainsi que les dispositions du Code monétaire et financier sur la gouvernance des risques, constituent un socle préexistant que l'AI Act vient compléter sans s'y substituer.
3. Impact sur les banques françaises
L'impact opérationnel se décline sur trois plans : organisationnel, technique et contractuel.
Sur le plan organisationnel, les banques doivent désigner une fonction responsable de la conformité AI Act. Cette responsabilité peut être confiée à une cellule mixte associant la conformité, la direction des risques (DRC), la DSI et le DPO. La supervision humaine exigée par l'Art. 14 impose un schéma de gouvernance documenté où chaque décision automatisée à fort impact peut être contestée et revue.
Sur le plan technique, les exigences se traduisent par des livrables précis.
| Exigence AI Act | Livrable attendu | Article |
|---|---|---|
| Système de gestion des risques | Politique de risk management documentée, mise à jour continue | Art. 9 |
| Gouvernance des données | Procédures de qualité, biais, représentativité des jeux d'entraînement | Art. 10 |
| Documentation technique | Dossier conforme à l'Annexe IV (≥ 30 pages typiques) | Art. 11 |
| Tenue de registres | Journaux d'événements automatiques sur toute la durée de vie | Art. 12 |
| Transparence | Notice d'utilisation détaillée pour les déployeurs | Art. 13 |
| Supervision humaine | Mesures techniques et organisationnelles vérifiables | Art. 14 |
| Exactitude et robustesse | Niveaux déclarés, tests, résilience aux erreurs | Art. 15 |
Sur le plan contractuel, les banques qui déploient un système IA fourni par un tiers (éditeur, fintech) doivent obtenir la documentation Art. 11 et la déclaration UE de conformité Art. 47. Les clauses-types pour intégration d'IA à haut risque devraient faire l'objet de modèles partagés au sein des places financières [à vérifier].
L'estimation des coûts de mise en conformité varie selon la maturité initiale. Une fourchette de 10 à 15 % du budget IT annuel est régulièrement avancée par les retours de marché, sans étude consolidée publique pour le secteur bancaire français [à vérifier]. Pour des PME fintechs fournisseurs, le coût d'une certification CE par organisme notifié peut représenter 50 000 à 200 000 € par système [à vérifier], hors coûts internes de mise à niveau.
Vous êtes une PME fintech ou éditeur RegTech ?
Identifiez en 5 minutes vos obligations exactes et accédez à nos modèles documentaires Art. 11 et Annexe IV adaptés au secteur bancaire.
Demander un diagnostic gratuit4. Outils et ressources de l'ACPR
Les ressources opérationnelles disponibles à la mi-2026 se répartissent entre trois niveaux : européen, national généraliste et sectoriel bancaire.
Au niveau européen, l'AI Office EU, créé au sein de la Commission européenne, opère un service desk accessible à l'adresse ai-act-service-desk.ec.europa.eu. Ce point d'entrée publie des FAQ, lignes directrices et clarifications interprétatives. L'AI Office est notamment compétent pour les modèles à usage général (Art. 88 et suivants).
Au niveau français généraliste, la CNIL a publié 13 fiches pratiques sur le développement d'IA, accessibles sur cnil.fr/fr/les-fiches-pratiques-ia. Ces fiches couvrent l'articulation entre RGPD et AI Act, sujet central pour les banques qui traitent des données personnelles à grande échelle.
Au niveau bancaire sectoriel, l'ACPR met à disposition :
- Le Pôle Fintech-Innovation, point de contact pour les acteurs nouveaux ou innovants ;
- Les notices d'application sectorielles publiées sur acpr.banque-france.fr ;
- Les travaux conjoints avec l'EBA sur le machine learning prudentiel.
Pour une cartographie complète des sources de référence, consultez notre page dédiée sur /sources.html.
5. Les défis majeurs pour les banques
Trois défis structurels ressortent des premiers retours d'expérience.
Premier défi : la complexité technique des systèmes hérités. De nombreuses banques exploitent des modèles de scoring crédit développés depuis 15 à 20 ans, partiellement réécrits, dont la documentation initiale est incomplète. Reconstituer un dossier Annexe IV pour un système existant peut représenter 6 à 12 mois de travail, contre 3 à 6 mois pour un système nouvellement développé avec une approche « compliance by design » [à vérifier].
Deuxième défi : le coût et l'allocation budgétaire. Au-delà des montants évoqués en section 3, le coût récurrent annuel de maintien en conformité (audits, mise à jour de la documentation, monitoring post-marché Art. 72) doit être budgétisé sur la durée. Le post-market monitoring de l'Art. 72 impose la collecte et l'analyse continue des données de performance.
Troisième défi : la pénurie de compétences. Les profils combinant data science, droit du numérique et culture prudentielle bancaire sont rares. Les besoins se concentrent sur trois métiers : AI Risk Officer, AI Compliance Officer et Auditeur IA. La formation interne, couplée à des partenariats universitaires, constitue la voie la plus réaliste pour la majorité des banques de taille moyenne.
| Défi | Impact opérationnel | Réponse type |
|---|---|---|
| Modèles hérités peu documentés | Délai de reconstitution documentaire long | Audit ciblé + reverse engineering technique |
| Budget de mise en conformité | 10-15 % du budget IT [à vérifier] | Priorisation des systèmes haut risque |
| Pénurie de compétences IA-juridique | Recrutement difficile sur profils mixtes | Formation interne + partenariats académiques |
Pour comprendre les enjeux financiers d'une non-conformité, consultez l'article dédié /ai-act-sanctions-pme-amendes/ qui détaille le régime de l'Art. 99 AI Act.
6. Exemples concrets d'application
Trois cas d'usage illustrent la mise en pratique des obligations.
Cas 1 : algorithme de scoring crédit aux particuliers. Un système prédictif qui combine données bureau de crédit, historique transactionnel et signaux comportementaux pour produire un score de défaut relève sans ambiguïté de l'Annexe III, point 5b. Les obligations applicables incluent l'enregistrement dans la base de données européenne (Art. 49 et 71), la déclaration UE de conformité (Art. 47), et la mise en place d'un système de management de la qualité (Art. 17). Les variables d'entrée et sortie doivent être documentées avec leurs sources, leur justification métier et leur impact relatif sur la décision.
Cas 2 : assistant conversationnel pour le service client. Un chatbot bancaire basé sur un modèle GPAI n'est pas, en soi, classé à haut risque. Il relève de l'obligation de transparence de l'Art. 50 §1 : informer l'utilisateur qu'il interagit avec un système IA. Si le chatbot prend des décisions impactant l'éligibilité à un produit financier, le système global peut basculer en haut risque.
Cas 3 : détection de fraude. Un système IA qui détecte les transactions suspectes pour le compte de la conformité LCB-FT n'est pas explicitement listé à l'Annexe III. Sa qualification dépend de son usage : aide à la décision humaine versus décision automatisée bloquante. L'analyse au cas par cas, documentée, est essentielle.
Les tests d'équité réguliers exigés par l'Art. 10 §2 (f) et (g) — détection des biais possibles, mesures correctives — doivent porter sur les variables sensibles au sens du RGPD et sur les variables proxys susceptibles de produire une discrimination indirecte.
Préparez votre dossier Annexe IV dès aujourd'hui
Téléchargez notre pack documentaire prêt à l'emploi : modèle de fiche technique, journal des risques, procédure de supervision humaine, registre des incidents Art. 73.
Accéder aux modèles regulia7. Conseils pour les banques
L'approche recommandée se déroule en cinq étapes.
- Cartographier l'ensemble des systèmes IA en production et en projet. Inclure tout système qui correspond à la définition de l'Art. 3 §1, c'est-à-dire un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie, qui infère, à partir des entrées qu'il reçoit, comment générer des sorties.
- Classifier chaque système selon les quatre niveaux de risque AI Act. Cette classification conditionne l'intégralité des obligations.
- Hiérarchiser les efforts sur les systèmes à haut risque, en commençant par le scoring crédit. Définir un planning d'audit étalé jusqu'au 2 août 2026.
- Mettre en place une gouvernance dédiée à l'IA. Comité IA mensuel, rôles formalisés (AI Owner, AI Risk Officer), articulation avec les comités existants (Comité des risques, Comité conformité, Comité produits).
- Suivre les évolutions réglementaires en continu. Lignes directrices de l'AI Office, doctrine ACPR, jurisprudence CJUE à venir. La page pilier /ai-act-pme-france/ centralise les mises à jour utiles aux PME et à leurs partenaires bancaires.
Pour les définitions précises des termes techniques utilisés (système IA, déployeur, fournisseur, modèle GPAI), consultez le /glossaire.html.
| Étape | Échéance recommandée | Livrable |
|---|---|---|
| Cartographie complète | T3 2025 | Registre des systèmes IA |
| Classification AI Act | T4 2025 | Matrice de classification documentée |
| Plan de remédiation | T1 2026 | Roadmap budgétisée |
| Documentation Annexe IV | T2 2026 | Dossier technique par système haut risque |
| Audit interne final | T3 2026 | Rapport et plan d'action |
8. Conclusion : l'importance de l'anticipation
La conformité anticipée à l'AI Act produit trois effets cumulatifs : elle réduit l'exposition aux sanctions de l'Art. 99 (jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, 15 M€ ou 3 % pour les manquements aux obligations sur les systèmes à haut risque, 7,5 M€ ou 1 % pour la fourniture d'informations incorrectes) ; elle facilite les relations avec les autorités de supervision et notamment avec l'ACPR dans le cadre des inspections sur place ; elle constitue un argument commercial vis-à-vis des partenaires et clients institutionnels.
L'ACPR encourage les démarches proactives via son Pôle Fintech-Innovation et ses échanges réguliers avec les place. Les PME fournisseurs de banques — éditeurs RegTech, fintechs B2B, prestataires d'analyse de données — sont concernées au premier chef. Une banque qui exige une déclaration UE de conformité d'un fournisseur à compter du 2 août 2026 ne pourra pas contractualiser avec un éditeur non conforme.
L'horizon 2026 n'est pas une borne lointaine. À l'échelle d'un cycle bancaire de gouvernance des risques, il représente trois à quatre revues trimestrielles. La structuration des chantiers doit donc démarrer immédiatement.
FAQ
Q : Quelles sont les principales obligations pour les banques en 2026 ?
À compter du 2 août 2026, les banques doivent garantir la conformité complète de leurs systèmes d'IA à haut risque, en particulier les algorithmes de scoring crédit visés à l'Annexe III, point 5b. Cela couvre la documentation technique conforme à l'Annexe IV, la tenue de journaux (Art. 12), la supervision humaine effective (Art. 14), les tests d'équité réguliers (Art. 10), et la déclaration UE de conformité (Art. 47). L'ACPR exerce la surveillance du marché au titre de l'Art. 74 §6-7.
Q : Quelles sont les sanctions en cas de non-conformité ?
L'Article 99 AI Act prévoit trois plafonds : 35 M€ ou 7 % du CA mondial pour les pratiques interdites de l'Art. 5 ; 15 M€ ou 3 % pour les manquements aux obligations sur systèmes haut risque ; 7,5 M€ ou 1 % pour la fourniture d'informations incorrectes. Le montant retenu est le plus élevé des deux. S'y ajoutent les sanctions RGPD distinctes (Art. 83 RGPD, jusqu'à 20 M€ ou 4 % du CA). Le détail figure dans /ai-act-sanctions-pme-amendes/.
Q : Comment l'ACPR soutient-elle les banques dans cette transition ?
L'ACPR mobilise plusieurs canaux : le Pôle Fintech-Innovation pour les échanges directs avec les acteurs, la publication de notices et travaux de réflexion sur la gouvernance algorithmique, et la coordination avec l'EBA sur le machine learning prudentiel. Au niveau européen, l'AI Office EU opère le service desk ai-act-service-desk.ec.europa.eu. La page /ai-act-pme-france/ centralise les ressources utiles aux PME interagissant avec les banques.
Q : Quels sont les systèmes d'IA considérés comme à haut risque dans le secteur bancaire ?
L'Annexe III liste explicitement, au point 5b, les systèmes destinés à évaluer la solvabilité des personnes physiques ou à établir leur score de crédit, à l'exclusion des systèmes utilisés pour détecter la fraude financière. D'autres usages bancaires peuvent relever du haut risque selon leur finalité (Annexe III, points 4 et 6 notamment). La qualification précise se fait au cas par cas. Le /glossaire.html précise les définitions.
Q : Quels sont les délais pour la conformité ?
Le calendrier officiel de l'AI Act prévoit une application échelonnée : Art. 5 (pratiques interdites) depuis le 2 février 2025 ; Art. 51-55 (GPAI) depuis le 2 août 2025 ; régime complet des systèmes haut risque le 2 août 2026 ; extension au 2 août 2027 pour les systèmes intégrés à des produits soumis à la législation harmonisée de l'Annexe I (Art. 113 §3). L'ACPR s'aligne sur ces échéances.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel UE
- Texte consolidé AI Act — artificialintelligenceact.eu
- Service desk AI Office EU — Commission européenne
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Gestion du risque IA
- ACPR — publications sur la gouvernance des algorithmes et le Pôle Fintech-Innovation
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises et à leurs partenaires bancaires. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.