L'essentiel en 30 secondes - Le scoring de crédit relève des systèmes d'IA à haut risque au sens de l'Annexe III du Règlement (UE) 2024/1689 (Article 6). - Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les manquements les plus graves (Art. 99). - Documentation technique, gestion des risques, journalisation et contrôle humain deviennent obligatoires pour ces systèmes. - La CNIL publie 13 fiches pratiques IA et recommande une revue régulière des modèles décisionnels automatisés. - Le contrôle humain effectif (Art. 14) conditionne la commercialisation et l'usage opérationnel. - Le service desk européen (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation des PME.
Une banque régionale française qui distribue des crédits à la consommation utilise depuis 2019 un moteur de scoring fondé sur un modèle de gradient boosting. Le directeur des risques découvre que son outil entre dans le champ de l'EU AI Act. Voici comment structurer la mise en conformité pas à pas, à partir d'un cas concret.
L'établissement compte 180 salariés, 14 agences et un encours de crédit consommation de 240 M€. L'outil traite 12 000 demandes par mois. Il alimente la décision d'octroi sans intervention humaine systématique sur les dossiers automatiquement acceptés ou refusés. Cette configuration déclenche les obligations renforcées du Règlement.
Cet article décortique chaque étape — qualification juridique, classification, obligations, audit, sanctions — pour les dirigeants, DPO et responsables conformité de banques régionales, néobanques, sociétés de financement et établissements de paiement. Le cadre vaut aussi pour les courtiers utilisant un outil de pré-scoring.
1. Contexte juridique : l'AI Act et son impact sur le scoring de crédit
L'EU AI Act, ou Règlement (UE) 2024/1689 du 13 juin 2024, encadre la mise sur le marché et l'usage des systèmes d'intelligence artificielle dans l'Union européenne. Il s'applique aux fournisseurs, déployeurs, importateurs et distributeurs.
Définition d'un système d'IA. L'Article 3(1) qualifie de système d'IA tout système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et produisant des prédictions, contenus, recommandations ou décisions à partir d'entrées reçues. Le scoring de crédit moderne, fondé sur l'apprentissage automatique supervisé, entre directement dans cette définition.
Classification du scoring de crédit. L'Annexe III, point 5(b) du Règlement vise expressément les systèmes d'IA utilisés pour évaluer la solvabilité de personnes physiques ou pour établir leur score de crédit. Ces usages sont classés à haut risque au titre de l'Article 6(2). Une exception existe pour les systèmes destinés à détecter la fraude financière — elle ne couvre pas l'octroi de crédit.
Obligations applicables. Le Chapitre III, Section 2 (Articles 8 à 17) impose un système de gestion des risques, une gouvernance des données, une documentation technique, une journalisation des événements, une transparence vis-à-vis du déployeur, un contrôle humain et une précision-robustesse-cybersécurité de niveau approprié.
Pour comprendre le périmètre global et les obligations d'une PME française, le guide d'ensemble AI Act PME France sert de point d'entrée.
2. Analyse du scoring de crédit en tant que système d'IA
Tous les outils de notation ne se valent pas. La question n'est pas marketing, elle est technique et juridique. Voici les critères à examiner.
Caractéristiques techniques. Un scoring fondé sur une simple grille de pondération manuelle (âge, revenu, charges, ancienneté professionnelle) avec des poids fixes définis par un comité crédit n'est pas un système d'IA au sens de l'Article 3(1). À l'inverse, un moteur reposant sur la régression logistique entraînée, le gradient boosting, les forêts aléatoires ou les réseaux de neurones franchit le seuil de la définition. La présence d'un modèle entraîné sur données historiques est l'indicateur déterminant.
Impact sur les droits fondamentaux. Le considérant 58 et l'Annexe III justifient le classement haut risque par l'impact d'un refus de crédit sur l'accès au logement, à un véhicule, aux soins. Le Règlement renvoie également au droit à la non-discrimination protégé par la Charte des droits fondamentaux de l'UE et par les directives anti-discrimination.
Transparence et traçabilité. L'Article 13 exige que le système soit suffisamment transparent pour permettre au déployeur d'interpréter et d'utiliser ses sorties. Concrètement, la banque doit pouvoir expliquer la logique générale du score, les variables prises en compte et la signification des sorties. L'Article 86 ajoute un droit pour la personne concernée d'obtenir une explication claire et significative des décisions individuelles fondées sur des systèmes haut risque.
| Critère | Scoring rule-based | Scoring IA (modèle entraîné) |
|---|---|---|
| Variables et pondérations | Fixées manuellement | Apprises sur données |
| Entrée AI Act | Hors champ Article 3(1) | Système d'IA |
| Annexe III point 5(b) | Non applicable | Applicable |
| Documentation technique Art. 11 | Non requise | Requise |
| Contrôle humain Art. 14 | Bonne pratique | Obligation |
3. Évaluation de la classification du scoring de crédit
La classification haut risque n'est pas une option de prudence : elle découle du texte.
Critères de l'Article 6. Un système est haut risque s'il relève de l'Annexe III et n'entre pas dans l'une des exceptions de l'Article 6(3). Les exceptions visent les systèmes destinés à effectuer une tâche procédurale étroite, à améliorer le résultat d'une activité humaine déjà réalisée, à détecter des schémas décisionnels sans remplacer ni influencer l'évaluation humaine antérieure, ou à effectuer une tâche préparatoire à une évaluation pertinente. Un moteur qui produit un score d'octroi remis tel quel au comité crédit ne préparait pas un travail humain antérieur — il porte l'évaluation elle-même.
Analyse des risques pour les consommateurs. Le déploiement sans encadrement expose les emprunteurs à des biais (genre, code postal, origine présumée), à des décisions inexpliquées et à des recours difficiles. La CNIL rappelle dans ses fiches pratiques IA que les traitements automatisés à effet juridique relèvent aussi de l'Article 22 du RGPD.
Conséquences d'une qualification erronée. Classer à tort le système en risque limité prive la banque de la documentation, de la déclaration au registre UE (Article 71) et du marquage CE. En cas de contrôle de la CNIL ou de l'autorité compétente désignée par la France, le manquement relève de l'Article 99(4) du Règlement. La requalification ultérieure peut entraîner suspension du service et obligation de mise en conformité immédiate.
Faites qualifier votre scoring en 48h
Notre pack « Qualification IA » fournit la grille de décision Article 6, le modèle de note interne et la check-list documentaire AI Act adaptés au secteur bancaire.
Demander le pack qualification4. Obligations spécifiques pour les systèmes d'IA de risque élevé
Le Chapitre III, Section 2 du Règlement liste les obligations applicables aux fournisseurs. Une banque qui développe son moteur en interne est fournisseur ; une banque qui achète une solution éditeur reste déployeur, avec des obligations propres (Article 26).
Système de gestion des risques (Art. 9). Processus continu, itératif, documenté. Il identifie les risques connus et raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux. Il prévoit les mesures d'atténuation et les tests associés.
Gouvernance des données (Art. 10). Les jeux d'entraînement, validation et test doivent être pertinents, suffisamment représentatifs, exempts d'erreurs autant que possible et complets au regard de l'usage. Le texte exige un examen des biais possibles et des mesures pour les prévenir, détecter et corriger.
Documentation technique (Art. 11 et Annexe IV). Description générale du système, conception détaillée, surveillance et contrôle humain, métriques de précision et de robustesse, journal des modifications. La banque tient cette documentation à disposition des autorités pendant 10 ans après mise sur le marché (Art. 18).
Journalisation (Art. 12). Enregistrement automatique des événements pertinents pendant toute la durée de vie du système. Permet le suivi du fonctionnement, l'identification de situations à risque et l'audit a posteriori.
Transparence et information du déployeur (Art. 13). Notice d'utilisation claire, caractéristiques de performance, limitations connues, ressources informatiques nécessaires.
Contrôle humain (Art. 14). Mesures permettant à des personnes physiques de comprendre les capacités et limites du système, de surveiller son fonctionnement, d'intervenir ou d'interrompre le système, et de ne pas s'appuyer aveuglément sur sa sortie (« automation bias »). Pour le scoring de crédit, cela impose une révision humaine effective des dossiers refusés.
Exactitude, robustesse et cybersécurité (Art. 15). Niveaux appropriés selon l'usage, déclarés dans la notice, maintenus tout au long du cycle de vie.
| Article | Obligation | Livrable côté banque |
|---|---|---|
| Art. 9 | Gestion des risques | Politique de risque IA + registre |
| Art. 10 | Gouvernance des données | Note de représentativité + audit biais |
| Art. 11 | Documentation technique | Dossier Annexe IV |
| Art. 12 | Journalisation | Logs horodatés conservés |
| Art. 13 | Transparence déployeur | Notice d'utilisation |
| Art. 14 | Contrôle humain | Procédure de revue dossiers |
| Art. 15 | Exactitude / robustesse | Rapport de tests + plan correctif |
| Art. 17 | Système qualité | Manuel qualité IA |
5. Mise en œuvre de la conformité : étapes clés
L'expérience terrain montre qu'un projet de mise en conformité scoring se déroule sur 6 à 9 mois pour une banque régionale.
- Audit initial de qualification. Cartographier tous les systèmes décisionnels automatisés. Pour chacun, appliquer la grille Article 3(1) puis Article 6 et Annexe III. Produire une note de qualification signée par le DPO et le directeur des risques.
- Évaluation d'écart. Comparer l'existant aux Articles 9 à 15. Identifier les obligations déjà satisfaites au titre du RGPD (Article 22, AIPD), de l'ACPR (gouvernance modèles) ou de la DSP2. La majorité des banques disposent déjà d'une partie de la documentation modèle.
- Plan de remédiation. Hiérarchiser les chantiers : documentation, journalisation, biais, contrôle humain. Allouer un budget et un calendrier.
- Refonte du processus humain. Imposer une revue humaine effective sur les dossiers refusés et sur un échantillon aléatoire des dossiers acceptés automatiquement. Documenter les motifs de la décision finale.
- Évaluation de conformité (Art. 43). Pour le scoring de crédit relevant de l'Annexe III point 5(b), la procédure interne d'évaluation de conformité de l'Annexe VI s'applique en général. Documentation à l'appui, signature de la déclaration UE de conformité (Art. 47), apposition du marquage CE (Art. 48) et enregistrement dans la base UE (Art. 49 et 71).
- Surveillance post-commercialisation (Art. 72). Plan documenté de collecte, d'analyse des performances et des incidents pendant l'usage.
- Notification d'incidents graves (Art. 73). Procédure interne de remontée à l'autorité de surveillance du marché dans les délais fixés par le texte.
Le calendrier d'application est échelonné : règles sur les pratiques interdites depuis le 2 février 2025, gouvernance et IA à usage général depuis le 2 août 2025, exigences principales des systèmes haut risque de l'Annexe III applicables à compter du 2 août 2026, et obligations sur les systèmes haut risque intégrés à des produits réglementés (Annexe I) à compter du 2 août 2027.
6. Exemples de bonnes pratiques pour une banque régionale
Trois pratiques observées chez des établissements avancés.
Formation interne ciblée (Art. 4 — AI literacy). L'Article 4 impose aux fournisseurs et déployeurs de garantir un niveau suffisant de maîtrise de l'IA chez leur personnel concerné. La banque régionale déploie un parcours de 4 heures pour les analystes crédit, 2 jours pour le chief data officer et le DPO, et une sensibilisation d'1 heure pour les commerciaux d'agence.
Audit dans le cycle de développement. Intégration des contrôles AI Act dans le pipeline MLOps : tests de biais à chaque ré-entraînement, validation indépendante par une équipe modèle séparée de l'équipe data science, gel de version avant déploiement, documentation versionnée.
Comité de veille réglementaire. Réunion trimestrielle entre DPO, directeur juridique, RSSI, responsable conformité ACPR et IA Lead. Suivi des lignes directrices de l'AI Office, des décisions CNIL, des codes de bonne pratique, et des consultations en cours sur eur-lex.
Le glossaire regroupe les définitions essentielles (fournisseur, déployeur, modèle à finalité générale, marquage CE IA).
7. Sanctions et risques pour les PME
Le régime des sanctions figure à l'Article 99 du Règlement.
Échelle des amendes (Art. 99). Le non-respect des pratiques interdites de l'Article 5 est passible d'une amende administrative pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel total de l'exercice précédent, le montant le plus élevé étant retenu. Les manquements aux obligations applicables aux systèmes haut risque (Articles 16 et suivants pour les fournisseurs, Article 26 pour les déployeurs) atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. La fourniture d'informations inexactes aux autorités est sanctionnée jusqu'à 7,5 millions d'euros ou 1 %.
Plafonds adaptés aux PME (Art. 99(6)). Pour les PME et start-ups, le plafond retenu est le montant le plus faible entre les deux options (montant fixe ou pourcentage de CA). Cette clause atténue mécaniquement l'exposition d'une banque régionale au chiffre d'affaires limité.
Risques connexes. Au-delà de l'amende AI Act, l'usage d'un scoring non conforme engage la responsabilité civile (recours emprunteurs déboutés), la sanction CNIL si l'AIPD est insuffisante, la sanction ACPR pour défaut de gouvernance modèle. La perte réputationnelle, mesurée par enquête d'opinion auprès des clients, peut peser plus lourd que l'amende.
Notification. L'Article 73 oblige le fournisseur à notifier tout incident grave à l'autorité de surveillance du marché. Un incident grave inclut l'atteinte à un droit fondamental — un refus discriminatoire systématique peut entrer dans cette catégorie.
Pour le détail des sanctions et un calculateur d'exposition, voir AI Act sanctions PME et amendes.
| Manquement | Plafond Art. 99 | Cas concret scoring |
|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ ou 7 % CA | Notation sociale prohibée |
| Obligations haut risque (Art. 16+) | 15 M€ ou 3 % CA | Documentation Annexe IV absente |
| Information inexacte aux autorités | 7,5 M€ ou 1 % CA | Déclaration UE erronée |
Sécurisez votre dossier de conformité scoring
Le pack « Conformité scoring crédit » regroupe le modèle de documentation technique Annexe IV, la procédure de contrôle humain Art. 14, la matrice de gestion des risques Art. 9 et la trame de surveillance post-commercialisation Art. 72.
Recevoir le pack scoring8. Perspectives et recommandations
Trois axes pour 2025-2027.
Adoption progressive. Engager la qualification dès maintenant, sans attendre l'échéance du 2 août 2026 pour les obligations principales sur les systèmes haut risque de l'Annexe III. Les chantiers documentaires et organisationnels demandent plusieurs trimestres.
Service desk européen. Le service desk de la Commission européenne (ai-act-service-desk.ec.europa.eu) répond aux questions des organisations sur l'application du Règlement. Les réponses ne sont pas juridiquement contraignantes mais aident à sécuriser une démarche.
Suivi des évolutions. L'AI Office publie progressivement des lignes directrices, modèles et codes de bonne pratique. La CNIL met à jour ses fiches pratiques IA. ISO/IEC 42001:2023 constitue le référentiel de management de l'IA qui converge avec les exigences AI Act. Les autorités sectorielles (ACPR pour la banque) publieront leurs attentes sectorielles.
La liste consolidée des sources recense les références officielles à consulter périodiquement.
FAQ
Quel est le délai pour se conformer à l'AI Act pour les systèmes d'IA de risque élevé ?
L'AI Act est entré en vigueur le 1er août 2024. Les obligations sur les systèmes haut risque de l'Annexe III (dont le scoring de crédit, point 5(b)) deviennent applicables le 2 août 2026, et celles sur les systèmes haut risque liés à des produits réglementés de l'Annexe I à compter du 2 août 2027 (Art. 113). Les pratiques interdites de l'Article 5 sont déjà applicables depuis le 2 février 2025. Compte tenu de la charge documentaire et organisationnelle, démarrer le projet 12 à 18 mois avant l'échéance pertinente reste la pratique raisonnable.
Quelles sont les conséquences d'une non-conformité pour une banque régionale ?
Les sanctions administratives de l'Article 99 atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les manquements aux obligations applicables aux systèmes haut risque, et jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires pour les pratiques interdites de l'Article 5. Pour les PME, le plafond le plus faible entre montant fixe et pourcentage s'applique (Art. 99(6)). À cela s'ajoutent les sanctions CNIL au titre du RGPD, les mesures ACPR au titre de la gouvernance modèle, les recours civils des emprunteurs et le préjudice réputationnel.
Dois-je implémenter un contrôle humain pour mon scoring de crédit ?
Oui. L'Article 14 du Règlement (UE) 2024/1689 impose un contrôle humain effectif sur les systèmes haut risque. Pour un scoring de crédit, cela signifie qu'une personne qualifiée doit pouvoir comprendre les capacités et limites du système, surveiller son fonctionnement, détecter les anomalies (y compris le biais d'automatisation), interpréter correctement la sortie, et décider de ne pas s'y conformer ou d'interrompre le système. L'Article 22 du RGPD complète ce cadre en encadrant les décisions individuelles entièrement automatisées.
Quel est le rôle du service desk européen pour les PME ?
Le service desk européen (ai-act-service-desk.ec.europa.eu) est un point d'entrée mis en place par la Commission européenne pour aider les organisations, et en particulier les PME, à comprendre leurs obligations. Il fournit des ressources pédagogiques, oriente vers les textes pertinents et permet de poser des questions. Ses réponses ne constituent pas un avis juridique contraignant, mais elles offrent un repère utile pour les structures sans équipe juridique IA dédiée.
Comment documenter mon système d'IA pour la conformité ?
L'Article 11 et l'Annexe IV du Règlement listent le contenu minimal de la documentation technique : description générale du système et de sa finalité, éléments de conception (architecture, choix de modèle, données d'entraînement et de test, métriques), description du système de gestion des risques (Art. 9), procédures de surveillance, de fonctionnement et de contrôle humain (Art. 14), métriques de précision et robustesse (Art. 15), description du système de gestion de la qualité (Art. 17). La documentation est tenue à jour et conservée 10 ans (Art. 18). La CNIL recommande une documentation structurée avec annexes techniques distinctes.
Sources officielles
- Service desk EU AI Act — ai-act-service-desk.ec.europa.eu
- Règlement (UE) 2024/1689 sur EUR-Lex — eur-lex.europa.eu
- CNIL — dossier IA — cnil.fr/fr/ai-act
- Texte consolidé du Règlement — artificialintelligenceact.eu
- Guide général PME : AI Act PME France
- Sanctions et calculateur : AI Act sanctions PME et amendes
- Définitions clés : glossaire
- Veille consolidée : sources
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.