AI Act & Conformité 15 mai 2026 · 18 min de lecture · Par Mohamed Meguedmi

Annexe III §5 banque : guide pratique scoring crédit conforme AI Act

Le scoring crédit bancaire bascule officiellement dans la catégorie « haut risque » du Règlement (UE) 2024/1689, dit AI Act, au titre de l'annexe III §5 point b. À partir du 2 août 2026, toute banque, établissement de crédit ou société de financement exploitant un modèle d'IA pour évaluer la solvabilité d'une personne physique devra prouver sa conformité, sous le contrôle de l'Autorité de contrôle prudentiel et de résolution (ACPR). Dans cet article, je détaille les exigences article par article, le rôle des autorités françaises, les pratiques interdites, la gouvernance des données et la trajectoire concrète à engager dès maintenant. Objectif : transformer une contrainte réglementaire en un avantage compétitif documenté.

En bref

Classer le scoring crédit en haut risque : l'annexe III §5(b) du Règlement (UE) 2024/1689 vise explicitement les systèmes d'IA évaluant la solvabilité des personnes physiques, à l'exception des dispositifs de détection de fraude financière, ce qui couvre la quasi-totalité des moteurs de scoring retail bancaire français.
Identifier l'autorité compétente française : l'ACPR pilote en France le contrôle des systèmes d'IA bancaires relevant de l'annexe III §5, avec un appui technique mutualisé du PEReN et de l'Anssi, conformément au schéma de gouvernance publié par la Direction générale des entreprises.
Préparer la mise en conformité avant le 2 août 2026 : marquage CE, inscription à la base de données européenne, système de gestion des risques, gouvernance des données et supervision humaine deviennent des obligations opposables pour tous les systèmes d'IA à haut risque listés à l'annexe III.
Documenter la transparence vis-à-vis des emprunteurs : l'article 50 et l'article 26(11) imposent d'informer la personne physique soumise à une décision de scoring automatisée, en cohérence avec l'article 22 du RGPD et la doctrine de la CNIL sur le profilage.
Calculer le ROI de la conformité : un système conforme réduit le risque de sanctions (jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial), sécurise les partenariats refinanceurs et limite le contentieux client, trois leviers qui rentabilisent rapidement un projet d'audit AI Act sérieux.

L'AI Act et son impact sur le scoring crédit bancaire

Le Règlement (UE) 2024/1689, entré en vigueur le 1ᵉʳ août 2024, structure le marché européen de l'intelligence artificielle selon quatre niveaux de risque. Le scoring crédit appliqué à une personne physique relève sans ambiguïté du niveau « haut risque » via l'article 6(2), qui renvoie à la liste de l'annexe III du AI Act. Le point 5(b) cite littéralement les « AI systems intended to be used to evaluate the creditworthiness of natural persons or establish their credit score ». La seule exception expressément prévue concerne la détection de la fraude financière, exclusion qu'il faut documenter au cas par cas et ne jamais étendre par analogie.

Concrètement, j'ai vu trois familles de modèles concernées dans les missions IAPRO : les scores d'octroi (consumer finance, crédit immobilier, BFI retail), les scores de comportement (suivi de portefeuille, alertes pré-contentieux) lorsqu'ils déterminent l'accès à un nouveau crédit ou un réaménagement, et les modèles d'algorithmes d'auto-acceptation embarqués dans les parcours digitaux. Dès lors que la décision finale produit un effet juridique ou affecte significativement la personne — refus, plafond, taux — le système entre dans le périmètre.

L'enjeu n'est pas seulement formel. Le considérant 58 du règlement souligne que le scoring crédit peut « entraîner la discrimination de personnes ou de groupes » et perpétuer des biais historiques. L'AI Act installe donc un standard probatoire : la banque doit démontrer que son modèle a été conçu, entraîné, validé et supervisé de manière à minimiser ces risques. À défaut, l'établissement s'expose aux sanctions prévues à l'article 99, qui peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, et 15 millions d'euros ou 3 % pour les manquements aux obligations « haut risque ».

Cadre juridique et autorités compétentes en France

La France a publié son schéma de gouvernance via la Direction générale des entreprises. Pour le scoring crédit relevant de l'annexe III §5, l'autorité de surveillance du marché désignée est l'Autorité de contrôle prudentiel et de résolution (ACPR), dès lors que l'opérateur relève de sa compétence prudentielle, c'est-à-dire les banques, établissements de crédit, sociétés de financement et établissements de paiement agréés en France.

Cette désignation a une portée pratique forte. L'ACPR connaît déjà ces acteurs via le contrôle prudentiel, la LCB-FT, la directive sur le crédit aux consommateurs et les orientations EBA sur l'octroi et le suivi des prêts (EBA/GL/2020/06). Elle disposera donc d'un point d'entrée unique pour articuler ses contrôles AI Act avec les exigences existantes. Le contrôle s'appuiera sur un socle technique mutualisé porté par le PEReN (Pôle d'expertise de la régulation numérique) et l'Anssi, prévu pour outiller les autorités sectorielles.

La CNIL conserve son rôle pivot sur les traitements de données personnelles sous-jacents. Le scoring repose sur des données à caractère personnel : revenus, charges, historique bancaire, parfois données comportementales. Le RGPD continue de s'appliquer, en particulier l'article 22 sur les décisions individuelles automatisées et l'article 5 sur les principes de loyauté, minimisation et exactitude. Pour les pratiques interdites de l'article 5(1c) du AI Act (notation sociale), la CNIL et la DGCCRF sont co-compétentes.

Côté coordination, la DGCCRF assure le rôle de point de contact unique au titre de l'article 70(2) du règlement. La Direction générale des entreprises représente la France au Comité européen de l'IA. Pour un établissement bancaire, la doctrine à retenir est simple : l'interlocuteur opérationnel sur le scoring crédit reste l'ACPR, mais l'analyse d'impact doit intégrer la doctrine CNIL et anticiper la coordination inter-autorités sur les cas mixtes (par exemple lorsqu'un score est utilisé à des fins de marketing personnalisé).

Annexe III §5 : les systèmes à haut risque en banque

L'annexe III §5 vise l'accès aux « services privés et publics essentiels ». Quatre catégories y figurent : prestations sociales et de santé publiques (5a), évaluation de solvabilité et notation de crédit des personnes physiques (5b), tarification et évaluation des risques en assurance-vie et santé (5c), et systèmes de triage d'appels d'urgence (5d). Pour la banque, c'est le point 5(b) qui constitue le cœur du sujet, complété, pour les bancassureurs, par le point 5(c) sur l'assurance-vie et l'assurance santé.

Les obligations qui découlent du classement « haut risque » sont structurées par les articles 8 à 17 du règlement. Je les résume avec les implications opérationnelles bancaires :

Système de gestion des risques (art. 9) : processus itératif couvrant le cycle de vie complet du modèle, intégré au dispositif de gestion des risques modèles déjà attendu par l'ACPR.
Gouvernance des données (art. 10) : jeux d'entraînement, validation et test pertinents, représentatifs, exempts d'erreurs et complets, avec analyse des biais possibles (genre, âge, origine territoriale, situation socio-économique).
Documentation technique (art. 11 et annexe IV) : dossier technique détaillé, conservé à disposition des autorités.
Journalisation (art. 12) : traçabilité des événements pertinents pendant toute la durée d'exploitation.
Transparence et information des déployeurs (art. 13) : notice d'utilisation, limites du système, performance attendue.
Supervision humaine (art. 14) : capacité d'un opérateur humain à comprendre, surveiller et contremander la décision.
Robustesse, exactitude et cybersécurité (art. 15) : niveaux de performance déclarés et résilience aux attaques.

Les considérants 58 et 159 insistent sur le risque de discrimination indirecte. Un score qui pénalise statistiquement les habitants d'un code postal donné, ou les personnes en CDD courts, doit être étudié sous l'angle du biais protégé. La conformité AI Act et la conformité non-discrimination (loi du 27 mai 2008, code de la consommation) deviennent ici indissociables.

Pratiques interdites et risques liés au scoring crédit

L'article 5 du AI Act liste les pratiques interdites depuis le 2 février 2025. Pour la banque, deux interdictions méritent une attention particulière.

D'abord, l'article 5(1c) prohibe le « social scoring » par les autorités publiques ou pour leur compte, conduisant à un traitement préjudiciable « hors contexte » des données collectées. Le scoring crédit bancaire classique n'entre pas dans cette interdiction tant qu'il reste cantonné à l'évaluation de la solvabilité dans un contexte contractuel précis. La ligne rouge à ne pas franchir : utiliser des données issues d'un contexte sans rapport (réseaux sociaux, géolocalisation comportementale, sociogramme) pour fonder une décision d'octroi. La FAQ officielle de la Commission européenne confirme cette lecture.

Ensuite, l'article 5(1b) interdit l'exploitation des vulnérabilités liées à l'âge, au handicap ou à la situation sociale ou économique. Un parcours digital qui pousserait un crédit renouvelable cher à des profils détectés comme fragiles, sur la base d'un score d'appétence couplé à un score de précarité, expose la banque à un cumul AI Act + DGCCRF + ACPR.

Enfin, la détection de fraude financière est expressément exclue de l'annexe III §5(b). Mais cette exception doit être documentée avec rigueur : finalité de fraude explicite, séparation des chaînes de traitement avec le scoring d'octroi, journalisation distincte. Sans cela, le superviseur considérera que le modèle relève bien du « haut risque ».

Les sanctions de l'article 99 sont graduées : jusqu'à 35 M€ ou 7 % du CA mondial pour une pratique interdite, 15 M€ ou 3 % pour un manquement aux obligations haut risque, 7,5 M€ ou 1 % pour des informations fausses transmises aux autorités. Les PME bénéficient d'un plafonnement au montant le plus bas des deux. Pour un grand groupe bancaire, l'ordre de grandeur dépasse celui des sanctions RGPD historiques.

Transparence et gouvernance des données : exigences pour les systèmes de scoring

L'article 13 du AI Act impose au fournisseur de fournir au déployeur (la banque) une notice d'utilisation lisible, décrivant la finalité, les performances, les limitations, les caractéristiques des données d'entrée attendues, et les mesures de supervision humaine recommandées. L'article 26 impose ensuite au déployeur de respecter ces consignes et, au point (11), d'informer la personne physique soumise à une décision basée sur un système à haut risque listé en annexe III, lorsqu'une décision juridique ou significative est prise à son égard.

Cette obligation s'articule avec l'article 22 du RGPD, qui encadre les décisions individuelles entièrement automatisées. La doctrine CNIL exige une information claire en amont, le droit d'obtenir une intervention humaine, le droit d'exprimer son point de vue et de contester. Pour le scoring crédit, cela suppose : une mention dédiée dans le parcours de souscription, une procédure documentée de recours, et la capacité opérationnelle d'un conseiller à ré-examiner le dossier au-delà du score automatique.

La gouvernance des données (art. 10) appelle, en pratique, à :

Cartographier l'ensemble des variables et des sources, y compris les variables dérivées qui peuvent réintroduire des proxys de critères protégés.
Documenter les choix d'imputation, les fenêtres temporelles, les exclusions et les tests de représentativité.
Réaliser des analyses de biais par sous-population (genre, tranches d'âge, zones géographiques) et conserver les rapports.
Mettre en place un suivi du data drift et du concept drift en production, avec seuils d'alerte et procédure de recalibrage.

L'AI Act prévoit aussi des bacs à sable réglementaires ouverts en France à partir du 2 août 2026, comme l'indique la DGE. Un acteur bancaire peut y tester son modèle de scoring sous supervision de l'ACPR, dans un cadre temporairement assoupli. C'est un levier intéressant pour les nouveaux entrants et pour les modèles de rupture (LLM utilisés en pré-analyse de dossier, par exemple).

Cas pratiques : comment les banques s'adaptent à l'AI Act

Les établissements français les plus avancés ont engagé trois chantiers en parallèle.

Premier chantier : l'inventaire. Beaucoup d'établissements découvrent qu'ils opèrent dix à trente modèles concernés, entre l'octroi, le suivi, la pré-qualification commerciale, l'auto-acceptation digitale et les modèles d'éligibilité produit. Le bon niveau de granularité, c'est le « système d'IA » au sens fonctionnel : un même score utilisé dans deux parcours produit deux systèmes distincts à documenter. Sur une mission récente IAPRO menée avec un acteur du crédit à la consommation, le cadrage initial a multiplié par deux le nombre de systèmes identifiés par rapport à l'inventaire transmis par la DSI.

Deuxième chantier : la mise à niveau de la gouvernance modèles. L'AI Act se superpose à la doctrine de validation interne déjà appliquée pour les modèles Bâle, IFRS 9 et LCB-FT. Plutôt que de construire un dispositif parallèle, j'oriente systématiquement les clients vers une extension du framework existant : ajout d'un volet « biais et discrimination », ajout d'un volet « supervision humaine documentée », ajout d'un volet « transparence usager ». La European Banking Authority (EBA) publie depuis plusieurs années des orientations qui se prêtent bien à cette extension.

Troisième chantier : la souveraineté technique. Beaucoup de banques utilisent désormais des LLM pour le pré-traitement des dossiers (extraction de pièces, qualification de revenus atypiques). Or, dès lors que ces traitements alimentent une décision d'octroi, ils entrent dans le périmètre. Une installation IA souveraine on-premise (Mistral, Llama 3, Qwen via Ollama / vLLM) devient une option sérieuse pour conserver la maîtrise des données et faciliter les audits AI Act. C'est précisément le cœur du métier IAPRO et c'est aussi le sujet sur lequel je collabore avec Regulia.fr sur les missions d'audit AI Act.

ROI et bénéfices de la conformité à l'AI Act

La conformité AI Act se justifie économiquement, à condition de raisonner en coût évité plutôt qu'en pur coût de mise en conformité. Trois leviers structurent le ROI.

Évitement des sanctions et du contentieux. À 35 M€ pour une pratique interdite et 15 M€ pour un manquement haut risque, le simple risque pondéré justifie un budget audit significatif. À cela s'ajoutent les actions individuelles fondées sur l'article 22 du RGPD, déjà actives sur le scoring, et les actions de groupe potentielles via les associations de consommateurs.

Sécurisation des partenariats. Les refinanceurs, plateformes d'apporteurs d'affaires et fintechs partenaires demandent de plus en plus des attestations de conformité AI Act dans leurs due diligences. Un dossier solide devient un actif commercial. Le programme France 2030 et les aides Bpifrance intègrent également la conformité AI Act dans leurs critères, tout comme certaines lignes France Num.

Optimisation des processus internes. Un modèle documenté, supervisé, validé est aussi un modèle mieux maîtrisé. Sur les missions où j'ai accompagné une mise en conformité complète, on observe systématiquement une amélioration de la stabilité du modèle, une baisse du taux de contentieux et un raccourcissement des cycles de validation. Le /calculateur-roi-ia permet de simuler ces gains pour un établissement donné.

Côté contexte macro, la France investit 400 millions d'euros via neuf IA clusters pour former 100 000 personnes par an dans le secteur, selon la DGE. C'est un signal clair : la conformité bien menée est aussi une carte de compétitivité.

Défis techniques et solutions pour les systèmes de scoring

Trois obstacles techniques reviennent dans toutes les missions IAPRO.

Le biais algorithmique. Les modèles entraînés sur des historiques portent les biais des décisions passées. La solution combine analyse pré-entraînement (équilibrage, suppression de variables proxy), techniques in-training (régularisation sous contrainte d'équité, reweighting) et tests post-entraînement par sous-population. La doctrine de la CNIL sur l'IA publie des recommandations utilisables comme socle méthodologique.

L'explicabilité. Les modèles à fort pouvoir prédictif (XGBoost, réseaux profonds) ne sont pas nativement explicables. L'article 86 du règlement crée pour les personnes affectées un droit d'obtenir des explications claires et significatives sur le rôle du système d'IA dans la décision. Les techniques SHAP, LIME, ou les modèles « glass-box » comme l'EBM (Explainable Boosting Machine) constituent les outils techniques de référence.

La complexité documentaire. Le dossier technique de l'annexe IV demande un effort de documentation considérable. La meilleure pratique consiste à industrialiser la production de cette documentation via les outils MLOps déjà en place : MLflow, Vertex AI Model Registry, ou des solutions open source on-premise pour les acteurs souverains.

Les normes harmonisées attendues du CEN-CENELEC (JTC 21) accusent un retard de publication, ce qui crée une zone grise jusqu'à fin 2026. La Commission européenne a annoncé un paquet « Digital Omnibus » destiné à clarifier les articulations entre AI Act, RGPD, DORA et NIS 2. Mon conseil opérationnel : ne pas attendre la publication des normes harmonisées pour engager le travail de fond — les exigences du règlement sont claires et opposables.

L'avenir du scoring crédit sous l'AI Act : tendances et innovations

Trois tendances structurent la prochaine décennie.

La révision périodique de l'annexe III. L'article 7 autorise la Commission à modifier la liste des systèmes à haut risque. Le scoring crédit bancaire restera, à n'en pas douter, dans la liste, mais le périmètre pourrait s'étendre (modèles utilisés en assurance emprunteur, scores PSE pour les TPE, scores de « financial wellness »).

Les LLM intégrés au crédit. L'utilisation de modèles de langage pour qualifier des justificatifs, analyser des relevés bancaires ou interagir avec le client crée de nouveaux systèmes à haut risque dès lors qu'ils contribuent à une décision d'octroi. La doctrine consolidée de l'ACPR et de la CNIL est à suivre de près.

La standardisation européenne. Les bancassureurs européens convergent vers un référentiel commun de gouvernance modèle IA, ce qui ouvre la voie à des audits croisés et à des passeports de conformité reconnus dans toute l'Union.

Conformité et responsabilité : le rôle des banques

La banque cumule souvent les rôles de fournisseur (lorsqu'elle développe son propre modèle) et de déployeur (lorsqu'elle utilise un modèle d'un éditeur ou d'une fintech). Les obligations diffèrent : le fournisseur porte le marquage CE, l'inscription à la base de données européenne et la conformité technique complète ; le déployeur doit respecter les consignes de la notice, assurer la supervision humaine, informer les personnes et conserver les logs.

L'article 25 prévoit aussi un transfert de responsabilité : si la banque modifie substantiellement un système acheté, ou l'utilise à une finalité différente, elle devient elle-même fournisseur. Dans la pratique, cela vise toute calibration locale, tout fine-tuning, tout ajout de variables propres. C'est un point critique des missions IAPRO : on identifie systématiquement les modèles « achetés » qui ont été transformés au point de basculer juridiquement en « modèles internes ».

La gouvernance attendue inclut : un comité de gouvernance IA (souvent rattaché au COMEX risques), un référent AI Act identifié, une cartographie tenue à jour, des procédures d'évaluation préalable pour tout nouveau cas d'usage, et un plan de remédiation pour les modèles existants. L'horizon du 2 août 2026 est court : un programme de mise en conformité sérieux prend en général neuf à quinze mois pour un acteur bancaire de taille moyenne.

FAQ — scoring crédit bancaire et AI Act

Quels sont les risques juridiques liés au scoring crédit non conforme à l'AI Act ?

L'article 99 prévoit des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour un manquement aux obligations haut risque, et jusqu'à 35 millions d'euros ou 7 % pour une pratique interdite. S'y ajoutent les actions individuelles fondées sur l'article 22 du RGPD, les sanctions ACPR sur la maîtrise des risques modèles, et le risque réputationnel lié à toute mise en cause publique pour discrimination algorithmique.

Comment les banques peuvent-elles justifier la légitimité de leurs systèmes de scoring ?

La justification repose sur trois piliers documentaires : la finalité du traitement au regard du RGPD article 6, la nécessité du recours à un système automatisé pour l'octroi de crédit, et la démonstration de la qualité du modèle au sens des articles 9, 10 et 15 du AI Act. Le dossier technique de l'annexe IV constitue la pièce maîtresse, complété par les analyses d'impact RGPD et les rapports de tests de biais.

Quelles sont les exceptions autorisées pour le scoring crédit (ex. détection de fraude) ?

L'annexe III §5(b) exclut explicitement les systèmes d'IA utilisés pour détecter la fraude financière. Cette exception doit être documentée précisément : finalité fraude explicite, chaîne de traitement séparée des modèles d'octroi, journalisation distincte, absence d'usage du score fraude pour fonder une décision de refus de crédit. Toute confusion entre scoring d'octroi et scoring fraude ramène l'ensemble dans le périmètre haut risque.

Quel est le rôle de la CNIL dans la surveillance des systèmes de scoring ?

La CNIL conserve sa compétence pleine et entière sur les traitements de données personnelles sous-jacents, en particulier l'article 22 du RGPD sur les décisions automatisées. Sur le scoring crédit relevant de l'annexe III §5, l'ACPR est l'autorité de surveillance du marché AI Act, mais la CNIL reste compétente sur les pratiques interdites de l'article 5(1c) et sur l'ensemble du volet protection des données.

Quels outils techniques permettent de garantir la transparence des systèmes de scoring ?

Les outils de référence sont les méthodes d'explicabilité post-hoc (SHAP, LIME), les modèles intrinsèquement interprétables (régressions, GAM, EBM), les tableaux de bord de monitoring (data drift, performance par sous-population), et la documentation industrialisée via MLflow ou un model registry interne. Une installation IA souveraine on-premise facilite l'audit complet de la chaîne, sans dépendance à un fournisseur SaaS extérieur.

Quels sont les coûts associés à la conformité à l'AI Act pour les banques ?

Le coût varie selon la taille du parc de modèles. Pour une banque de taille moyenne, un programme de mise en conformité initiale (audit, gap analysis, refonte documentaire, outillage MLOps, formation) se situe couramment entre 300 000 et 1,5 million d'euros, hors développements correctifs. Le coût récurrent annuel de maintien en conformité représente ensuite 15 à 25 % du coût initial. Le /calculateur-roi-ia permet un cadrage précis.

Comment les banques peuvent-elles intégrer l'IA dans leurs processus de crédit sans compromettre la conformité ?

La méthode IAPRO consiste à intégrer la conformité dès la conception : analyse d'éligibilité AI Act dès le cadrage du cas d'usage, choix d'architectures explicables par défaut, gouvernance des données documentée dès la collecte, plan de supervision humaine intégré au parcours, et installation souveraine on-premise pour les composants critiques. Cette approche « compliance by design » réduit significativement le coût total comparé à une mise en conformité a posteriori.

Quels sont les exemples de systèmes de scoring déjà conformes à l'AI Act ?

Aucun système n'est officiellement « certifié AI Act » à ce jour : les normes harmonisées sont en cours de publication et les obligations de l'annexe III ne sont applicables qu'à compter du 2 août 2026. Les établissements les plus avancés ont engagé des programmes pilotes documentés, mais la conformité formelle se matérialisera par le marquage CE et l'inscription à la base de données européenne, à partir de cette date.

Quelles sont les sanctions possibles en cas de non-conformité ?

Le règlement prévoit trois paliers à l'article 99 : 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites de l'article 5, 15 M€ ou 3 % pour les manquements aux obligations applicables aux systèmes à haut risque, 7,5 M€ ou 1 % pour les informations fausses transmises aux autorités. Les PME bénéficient d'un plafonnement. À cela s'ajoutent les sanctions ACPR sectorielles et les sanctions CNIL au titre du RGPD.

Comment les banques peuvent-elles anticiper les révisions futures du règlement ?

L'anticipation passe par une veille structurée sur les travaux du AI Office et du Comité européen de l'IA, par le suivi des actes délégués pris au titre de l'article 7 (révision de l'annexe III), et par la participation aux bacs à sable réglementaires nationaux ouverts à partir du 2 août 2026. La gouvernance interne doit prévoir une revue annuelle du périmètre des systèmes à haut risque pour intégrer toute extension réglementaire.

Pour aller plus loin avec IAPRO

Je propose aux banques, établissements de crédit et sociétés de financement un parcours dédié AI Act annexe III §5 : cartographie des modèles concernés, audit de conformité, mise à niveau de la gouvernance, installation IA souveraine on-premise pour les composants critiques, et formation des équipes risques, conformité et data science. Pour un cadrage initial, prenez contact via la page /contact ou consultez la formule Audit AI Act IAPRO adaptée aux acteurs financiers.