Le règlement européen sur l'intelligence artificielle (EU AI Act) est entré en application progressive depuis 2025. Avec ses obligations pour les systèmes d'IA à haut risque, il impacte directement les banques qui utilisent des modèles algorithmiques pour le scoring crédit, la détection de fraude, la LCB-FT ou les décisions RH.
En 2026, les premières obligations contraignantes pour les systèmes à haut risque sont entrées en vigueur. La MOA est au cœur de ce chantier de mise en conformité.
Périmètre de l'EU AI Act pour les banques
L'EU AI Act classe les systèmes d'IA en plusieurs catégories de risque. Pour les banques, la catégorie « haut risque » est la plus pertinente.
Les systèmes à haut risque (Annexe III du règlement) incluent notamment :
- Scoring de crédit : évaluation de la solvabilité des personnes physiques
- Évaluation de solvabilité : systèmes utilisés pour l'octroi de crédits
- Détection de fraude : systèmes de surveillance des transactions
- LCB-FT : systèmes de détection des opérations suspectes
- Décisions RH : recrutement, évaluation, promotion (sous certaines conditions)
Les obligations pour les systèmes à haut risque
Documentation et traçabilité
Les banques doivent documenter de manière exhaustive leurs systèmes d'IA :
- Registre des systèmes IA : inventaire complet de tous les systèmes d'IA utilisés
- Documentation technique : description du modèle, des données d'entraînement, de la validation, des performances
- Logs de décision : traçabilité des décisions prises par le système
- Durée de conservation : les logs doivent être conservés pendant 5 ans minimum
📋 Documentation IA — Ce qu'elle doit contenir
- Description du système : objectif, architecture, fonctionnalités
- Données d'entraînement : sources, volume, qualité, représentativité
- Validation : métriques de performance, tests de robustesse
- Limites : biais identifiés, cas limites, scénarios d'échec
- Évolutions : versioning, mises à jour, retraining
Gouvernance des modèles
La gouvernance des modèles est renforcée :
- Human oversight : une supervision humaine est obligatoire pour les décisions critiques
- Processus de revue et d'approbation : les modèles doivent être approuvés avant déploiement
- Responsabilité du déploiement : une personne ou une équipe doit être désignée responsable
- Revue périodique : les modèles doivent être réévalués au minimum annuellement
Gestion des données d'entraînement
Les données utilisées pour entraîner les modèles font l'objet d'exigences :
- Qualité des données : les données doivent être pertinentes, complètes et représentatives
- Biais algorithmiques : les banques doivent détecter et corriger les biais (discrimination, sous-représentation)
- Données représentatives : les données d'entraînement doivent couvrir l'ensemble de la population concernée
- Tests de robustesse : les modèles doivent être testés face à des données dégradées ou adverses
Transparence et explainability
Les obligations de transparence sont renforcées :
- Droit à l'explication : les clients ont le droit de comprendre les décisions automatisées (articulation avec RGPD Article 22)
- Explainability : les modèles doivent être interprétables (SHAP, LIME, ou modèles intrinsèquement interprétables)
- Communication : les banques doivent informer leurs clients de l'utilisation de systèmes d'IA
⚖️ RGPD + AI Act — Double obligation d'explication
- RGPD Article 22 : droit de ne pas faire l'objet d'une décision automatisée
- AI Act : obligation d'expliquer les décisions des systèmes à haut risque
- Articulation : les deux cadres s'appliquent cumulativement
- Sanctions : cumul de sanctions RGPD (4% CA) et AI Act (3% CA)
Calendrier d'application
Le calendrier de l'EU AI Act est désormais bien établi :
- 2025 : interdiction des systèmes d'IA à risque inacceptable (notation sociale, manipulation cognitive)
- 2026 : obligations pour les systèmes à haut risque (Annexe III) — entrée en vigueur
- 2027 : obligations pour les modèles IA à usage général (GPAI) — comme les grands modèles de langage
- 2028 : pleine application de l'ensemble du règlement
Articulation avec les régulateurs financiers
Les banques doivent naviguer entre plusieurs cadres réglementaires :
- BCE/ACPR : attendent des banques qu'elles intègrent le risque IA dans leurs dispositifs de gestion des risques
- EBA : a publié des guidelines sur l'utilisation de l'IA dans le crédit (2025)
- SR 11-7 (Fed) : pour les groupes américains, les exigences sur la gouvernance des modèles s'appliquent également
- Interaction DORA : les systèmes d'IA peuvent être considérés comme des composants ICT critiques
Rôle central de la MOA dans les projets AI Act
La MOA est au cœur de la mise en conformité AI Act :
- Cartographie des systèmes IA existants : inventaire de tous les modèles et algorithmes utilisés dans la banque
- Expression des besoins : pour les outils de registre IA, de documentation et de monitoring
- Processus de validation et de recette : spécification des tests d'équité, de robustesse et de performance
- Coordination : entre équipes juridique, IT, risk, conformité et métier
- Documentation : rédaction des fiches techniques et des rapports pour les superviseurs
💡 Ce qu'il faut retenir — EU AI Act
- Systèmes scoring crédit : haut risque par défaut
- Documentation technique : obligatoire avant déploiement
- Human oversight : décision finale humaine requise
- Sanctions : jusqu'à 3% du CA mondial (haut risque)
- Délai mise en conformité : 24 mois après publication
- RGPD + AI Act : double obligation d'explication