AI Act & Conformité 14 juin 2026 · 16 min de lecture · Par Mohamed Meguedmi

AI Act et données financières : croisement DORA et ACPR pour l'IA bancaire

Entre le Règlement (UE) 2024/1689 sur l'intelligence artificielle (l'AI Act), le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA, applicable depuis le 17 janvier 2025) et la doctrine émergente de l'Autorité de contrôle prudentiel et de résolution (ACPR), les directions conformité bancaires et assurantielles font face à une triple pression réglementaire. J'accompagne depuis 2024 des établissements financiers de taille intermédiaire qui ne savent pas par où commencer : par DORA, dont les RTS sont publiés au JOUE depuis 2024-2025, ou par l'AI Act, dont les premières obligations sont entrées en vigueur le 2 février 2025. La réponse est qu'il faut traiter les deux comme un seul programme. Cet article décrit comment.

En bref

Comprendre la convergence réglementaire : DORA encadre la résilience opérationnelle face aux prestataires informatiques tiers, l'AI Act classe certains systèmes d'IA financiers en « haut risque », l'ACPR supervise les deux pour les établissements de son ressort.
Identifier les cas d'usage à haut risque : l'évaluation de la solvabilité des particuliers et la tarification en assurance-vie et santé sont explicitement listées par l'annexe III de l'AI Act et exigeront une conformité complète à partir du 2 décembre 2027.
Encadrer les prestataires LLM externes : utiliser un grand modèle de langage hébergé par un Big Tech ne décharge ni la banque ni l'assureur de sa responsabilité — DORA impose un registre, des clauses contractuelles types et une supervision directe pour les prestataires désignés critiques (CTPP).
Anticiper la supervision augmentée de l'ACPR : avec LUCIA pour la LCB-FT et plusieurs prototypes LLM issus de son SupTech Sprint, l'ACPR construit ses propres outils d'audit algorithmique — la documentation technique deviendra un sujet d'inspection.
Construire une IA souveraine plutôt que subir : sortir de la Shadow AI en mettant en place une gouvernance centralisée et, le cas échéant, une stack on-premise (Mistral, Llama 3, Qwen via Ollama) permet de répondre simultanément aux trois cadres.

Le cadre réglementaire européen : une triple pression pour le secteur financier

Le secteur financier a longtemps été régulé « par silos » : banque, assurance, marchés. La régulation européenne change de logique depuis 2022 : elle suit désormais la technologie et les flux de données, indépendamment du type d'établissement.

Trois textes structurent désormais cette nouvelle approche. L'AI Act (Règlement (UE) 2024/1689), publié au JOUE le 12 juillet 2024, définit la nature du risque algorithmique. DORA, applicable depuis le 17 janvier 2025, encadre la résilience opérationnelle informatique et le risque tiers. Enfin, l'ACPR assure la supervision prudentielle française et sera l'autorité de surveillance du marché pour l'AI Act dans le périmètre financier.

Cette triple pression n'est pas un empilement bureaucratique. Elle dessine une architecture cohérente : DORA gère la chaîne d'approvisionnement technique (infrastructure, prestataires, incidents), l'AI Act gère la qualité intrinsèque du modèle (données, biais, transparence, contrôle humain), l'ACPR vérifie l'intégration des deux dans le dispositif prudentiel existant (gouvernance, capital, protection clientèle).

Pour un cadre français — un groupe bancaire mutualiste de 1 500 salariés, un assureur santé de 400 collaborateurs — la conséquence opérationnelle est claire : un programme unique de conformité « IA + résilience » doit être piloté conjointement par la conformité, le RSSI, la DSI et le Chief Data Officer. Les programmes séparés produisent des contradictions documentaires lors des inspections.

Pour une vue d'ensemble des obligations AI Act applicables aux PME et ETI françaises, le guide Regulia dédié détaille le cadre transversal qui s'applique au-delà du seul secteur financier.

Classification des systèmes d'IA à « haut risque » dans les services financiers

L'AI Act adopte une approche fondée sur le risque : interdictions (art. 5, en vigueur depuis le 2 février 2025), systèmes à haut risque (annexe III), systèmes à risque limité (transparence — art. 50), systèmes à risque minimal (libres). Le secteur financier est concerné principalement par l'annexe III, point 5.

Deux cas d'usage sont explicitement listés. D'abord, l'évaluation de la solvabilité des personnes physiques ou l'établissement de leur score de crédit — sauf lorsque l'IA est utilisée pour détecter la fraude financière. Ensuite, l'évaluation des risques et la tarification pour les personnes physiques en matière d'assurance-vie et d'assurance maladie. L'analyse publiée par l'EIOPA en février 2024 précise que les autres usages courants (gestion des sinistres, détection de fraude, LCB-FT) restent encadrés par les textes sectoriels existants, sans obligations additionnelles directes au titre de l'AI Act.

Pour ces systèmes à haut risque, les exigences sont substantielles :

Qualité des jeux de données d'entraînement, validation et test (art. 10) — représentativité statistique, absence d'erreurs, pertinence métier
Documentation technique complète (annexe IV) — architecture, hypothèses, métriques de performance, limites
Système de gestion des risques itératif sur tout le cycle de vie (art. 9)
Supervision humaine effective (art. 14) — interfaces homme-machine permettant l'interruption, la surveillance et le ré-entraînement
Robustesse, exactitude et cybersécurité (art. 15)
Évaluation d'impact sur les droits fondamentaux (FRIA) pour les fournisseurs de services bancaires (art. 27)

L'échéance applicable a été reportée par l'omnibus numérique du 7 mai 2026 au 2 décembre 2027 pour les systèmes à haut risque de l'annexe III. Cela laisse environ dix-huit mois de chantier — court pour réécrire la documentation de modèles de scoring en production depuis des années.

Le détail des obligations applicables aux systèmes à haut risque, incluant l'analyse d'impact sur les droits fondamentaux (FRIA), est traité de façon approfondie dans le panorama Regulia dédié aux systèmes haut risque.

DORA et la gestion du risque lié aux prestataires tiers d'IA

DORA constitue l'autre versant de l'équation. La Commission européenne a adopté en 2024-2025 plusieurs règlements délégués techniques qui détaillent les obligations opérationnelles. Le texte structure cinq piliers : gestion des risques TIC, gestion du risque lié aux tiers TIC, tests de résilience, gestion et notification des incidents, partage d'informations sur les cybermenaces.

Le pilier le plus directement impactant pour l'IA est le risque tiers. Lorsqu'une banque française utilise un grand modèle de langage (par exemple GPT-4 d'OpenAI via Azure, Claude d'Anthropic via Amazon Bedrock, ou Mistral Large via la plateforme Mistral), elle externalise une fonction qui peut être qualifiée de critique ou importante. Trois conséquences :

Inscription dans le registre d'information prévu par l'art. 28.9 — le Règlement d'exécution (UE) 2024/2956 a fixé les modèles standards. Les premiers registres ont été collectés par les autorités compétentes au 30 avril 2025.
Clauses contractuelles obligatoires définies par le Règlement délégué (UE) 2024/1773 — droits d'audit, accès aux locaux, plans de sortie, sous-traitance encadrée.
Supervision directe pour les prestataires critiques (CTPP) désignés par les autorités européennes de surveillance (ESAs). Comme l'a indiqué l'ACPR en 2025, la première liste des CTPP a été publiée par les AES.

Point crucial pour l'IA : utiliser un LLM externe ne décharge pas l'établissement financier de sa responsabilité. L'EIOPA le rappelle explicitement — « les institutions financières restent ultimement responsables des outils et services qu'elles externalisent ». Pour un assureur santé qui utiliserait un LLM tiers pour analyser des dossiers médicaux dans le cadre d'une tarification, la combinaison DORA + AI Act crée une double exigence : résilience opérationnelle de l'API utilisée, et conformité haut risque du modèle.

La supervision « augmentée » de l'ACPR et la stratégie SupTech

L'ACPR a clarifié sa posture dès 2024 : elle se prépare à contrôler l'usage de l'IA tout en utilisant elle-même l'IA pour superviser. Cette dualité, qu'elle nomme « SupTech », est documentée dans son communiqué de septembre 2024.

Côté contrôle, le Pôle Fintech-Innovation a lancé un programme de travail sur l'audit des algorithmes. La méthodologie n'est pas encore stabilisée publiquement, mais les attentes sont déjà claires : capacité de l'établissement à expliquer ses choix de modèle, à documenter les performances par sous-population, à justifier les arbitrages biais/performance.

Côté outillage interne, plusieurs projets concrets sont opérationnels :

LUCIA — outil d'évaluation des modèles LCB-FT (lutte contre le blanchiment de capitaux et le financement du terrorisme) déployés dans les banques, fondé sur l'analyse de grands volumes d'opérations bancaires
Détection avancée d'anomalies dans les reportings prudentiels — surveillance non supervisée appliquée aux états réglementaires
SupTech Sprint organisé avec le Lab de la Banque de France — huit prototypes LLM construits en trois jours par des data scientists externes et des agents de l'ACPR ; quatre projets sont poursuivis dans le plan stratégique

Concrètement, cela signifie que lors d'une inspection, les contrôleurs auront accès à des outils LLM capables de relire la documentation de conformité, de croiser les déclarations avec les états de reporting, et d'identifier les zones d'incohérence. La documentation technique de vos modèles d'IA cessera d'être un livrable « pour la forme » : elle deviendra un objet d'audit lu par d'autres IA, puis validé par un contrôleur humain.

Gouvernance des données : le socle commun entre AI Act, Data Act et FiDA

Aucun système d'IA ne fonctionne sans données de qualité. C'est la raison pour laquelle la stratégie européenne articule l'AI Act avec le Data Act, le Data Governance Act et la proposition de règlement FiDA (Financial Data Access).

Le Data Act et le Data Governance Act facilitent le partage et la réutilisation de données — bases publiques, données issues d'objets connectés (assurance auto via la télématique, assurance santé via les wearables). Pour un assureur, cela ouvre de nouveaux jeux de données d'entraînement potentiels, mais soulève immédiatement la question RGPD : licéité de la base, minimisation, information des personnes, droit à l'opposition.

La CNIL a publié dès mai 2023 son plan d'action sur l'IA. Trois enjeux concrets ressortent pour les acteurs financiers :

Loyauté du scraping — les modèles de fondation utilisés (Mistral, Llama, GPT) ont été entraînés sur des données web dont la base légale est discutée. Pour un usage haut risque, cela peut imposer un fine-tuning sur données propres maîtrisées.
Transparence vis-à-vis des personnes — un demandeur de crédit refusé doit pouvoir contester ; les art. 22 RGPD (décision automatisée) et 86 AI Act (droit à l'explication) se cumulent.
Lutte contre les biais — un modèle de scoring qui sous-performe pour les femmes ou les habitants de certaines régions sera considéré comme non conforme par l'art. 10 AI Act et discriminatoire au titre du Code de la consommation.

FiDA, en cours d'adoption, ajoute une couche supplémentaire : l'ouverture des données financières détenues par les institutions à des tiers autorisés. Pour les directions conformité, cela signifie repenser dès maintenant la cartographie des flux de données entrants et sortants.

Convergence AI Act / DORA : gérer l'interdépendance technologique

Le point de convergence le plus délicat est opérationnel : un système d'IA en production doit être simultanément résilient (DORA) et explicable, non biaisé, supervisé (AI Act). Ces exigences ne sont pas contradictoires, mais leur combinaison crée des défis techniques précis.

Tests de résilience avancés (TLPT) : le Règlement délégué (UE) 2025/1190 spécifie les normes techniques pour les tests d'intrusion fondés sur les menaces (threat-led penetration testing). Appliqués à un système d'IA, ils impliquent de tester non seulement l'infrastructure (API, conteneurs, bases) mais aussi le modèle lui-même (attaques par évasion, empoisonnement de données, extraction de modèle, prompt injection pour les LLM).

Surveillance des modèles en production : un modèle de scoring crédit peut dériver silencieusement — la distribution des demandeurs évolue, l'environnement macro-économique change, les performances se dégradent. L'AI Act impose un système de gestion des risques post-mise sur le marché (art. 17), DORA impose une surveillance continue de la performance ICT. Le même dispositif technique répond aux deux exigences.

Notification des incidents : DORA fixe des délais courts pour la notification d'incidents TIC majeurs (Règlement délégué (UE) 2025/301 sur le contenu et les délais). Un incident d'IA majeur — par exemple un biais systématique détecté après plusieurs mois — peut relever simultanément de la notification DORA et de la notification AI Act (art. 73, incidents graves).

Mon retour de terrain : les établissements qui réussissent ce croisement sont ceux qui ont nommé un responsable conjoint IA + résilience, rattaché à la direction des risques, avec un accès direct au COMEX. Les organisations en silo accumulent les documentations redondantes et incohérentes.

Méthodologie d'audit : répondre aux attentes de l'ACPR sur les algorithmes

Pour préparer une inspection ACPR sur un système d'IA à haut risque, le travail à mener couvre l'intégralité du cycle de vie. Voici la trame que je déploie chez nos clients financiers, en huit étapes documentaires :

Cartographie des actifs IA — inventaire exhaustif distinguant systèmes propriétaires, modèles open-weights fine-tunés, API externes, expérimentations métier (la « Shadow AI » non déclarée représente souvent 30 à 50 % du total)
Classification AI Act — pour chaque actif : interdit, haut risque, risque limité (transparence), risque minimal — avec justification écrite
Conformité des données d'entraînement — base légale RGPD, traçabilité des sources, mesures de minimisation, traitements de pseudonymisation
Évaluation des biais et de la performance par sous-population (genre, tranche d'âge, géographie, segment socio-économique)
Documentation technique annexe IV — architecture, hyperparamètres, métriques, limites connues, conditions d'usage attendues
Dispositif de supervision humaine — interfaces, formation des opérateurs, procédure de contestation client
Cadre DORA associé — inscription au registre TIC, clauses contractuelles à jour, plan de continuité, tests de résilience documentés
Surveillance post-déploiement — métriques de dérive, seuils d'alerte, procédure de ré-entraînement, journaux d'incidents

Chaque pièce documentaire doit pouvoir être restituée en moins de 48 heures sur demande de l'ACPR. Pour estimer la charge de mise en conformité, notre calculateur ROI IA intègre désormais un module de chiffrage du programme conformité par taille d'établissement.

De « l'IA fantôme » à l'IA souveraine : une stratégie de conformité par le design

Dans toutes les missions que j'ai menées dans le secteur financier en 2025-2026, le même constat revient : entre 30 et 50 % des usages d'IA dans l'établissement échappent à la cartographie officielle. Conseillers utilisant ChatGPT sur leur navigateur, équipes marketing branchées sur Claude, data scientists testant des APIs sans validation conformité. Cette Shadow AI est incompatible avec l'AI Act, avec DORA, et avec le RGPD.

La réponse technique que nous déployons chez IAPRO repose sur trois piliers :

1. Infrastructure souveraine on-premise — déploiement d'un cluster de modèles open-weights (Mistral 7B ou Mistral Small, Llama 3.1, Qwen 2.5) via Ollama, orchestré par OpenWebUI, hébergé soit en datacenter français, soit dans une zone privée chez un hébergeur certifié. La quantization (Q4_K_M typiquement) permet de faire tourner ces modèles sur du matériel raisonnable. Les données ne quittent jamais le périmètre maîtrisé.

2. RAG métier (Retrieval Augmented Generation) — indexation des bases documentaires internes (procédures, doctrine prudentielle, jurisprudence) pour fournir un assistant aux opérateurs sans envoyer de données vers un Big Tech.

3. Gouvernance centralisée — portail unique d'accès aux modèles, journalisation systématique des prompts, contrôle d'accès par fonction métier, mesure de l'usage par direction.

L'argument compétitif est triple : conformité native (les données ne quittent jamais le SI), maîtrise des coûts (pas de facturation par token), autonomie technologique (pas de dépendance à une roadmap externe).

Ce type d'architecture s'inscrit dans une démarche plus large d'IA souveraine que nous décrivons sur la page IAPRO métiers avec des exemples par secteur.

Feuille de route pour les directions conformité et IT : priorités 2026-2027

Voici la séquence d'actions prioritaires pour un établissement financier français à 18 mois.

T3-T4 2026 — Cadrage

Nomination d'un responsable IA + résilience (peut être le CDO ou un référent conformité IA dédié)
Cartographie complète des actifs IA (incluant Shadow AI)
Première classification AI Act par actif
Mise à jour du registre d'information DORA — recensement des prestataires TIC liés à l'IA

T1-T2 2027 — Mise en conformité haut risque

Documentation technique annexe IV pour les modèles de scoring crédit et tarification vie/santé
Évaluation d'impact sur les droits fondamentaux (FRIA)
Mise à jour des clauses contractuelles pour les LLM externes
Tests de résilience avancés (TLPT) sur les systèmes critiques
Formation art. 4 AI Act (« AI literacy ») — applicable depuis le 2 février 2025

T3-T4 2027 — Industrialisation

Déploiement du dispositif de surveillance continue (dérive, biais, performance)
Plan de sortie documenté pour chaque prestataire TIC critique
Préparation des dossiers d'inspection ACPR
Échéance applicable : 2 décembre 2027 pour les obligations haut risque annexe III

Le dialogue continu avec l'ACPR — via les consultations publiques, le Pôle Fintech-Innovation, les conférences sectorielles — est un complément indispensable au programme interne.

Pour identifier les dispositifs d'aide mobilisables (Bpifrance, France Num, OPCO), les fiches synthèses sont consolidées sur la page aides IAPRO.

FAQ — AI Act, DORA et ACPR pour le secteur financier

Comment DORA influence-t-il l'utilisation des modèles LLM fournis par les Big Techs ?

DORA impose à l'établissement financier de rester pleinement responsable des prestations qu'il externalise. Concrètement, recourir à GPT, Claude, Gemini ou Mistral via API exige une inscription au registre TIC, des clauses contractuelles conformes au Règlement délégué (UE) 2024/1773, un plan de sortie documenté et, si le prestataire est désigné critique par les ESAs, une supervision directe européenne s'ajoute. La responsabilité ne se délègue pas.

Quels sont les cas d'usage financiers spécifiquement classés « haut risque » par l'AI Act ?

L'annexe III de l'AI Act vise principalement deux cas d'usage financiers : l'évaluation de la solvabilité des personnes physiques et l'établissement de scores de crédit (hors détection de fraude), et la tarification ou l'évaluation des risques en assurance-vie et assurance maladie pour les personnes physiques. Les autres usages — gestion des sinistres, LCB-FT, fraude — relèvent des textes sectoriels existants.

Quel est le rôle exact de l'ACPR dans la mise en œuvre du règlement sur l'IA ?

L'ACPR sera l'autorité de surveillance du marché AI Act pour le périmètre financier français, y compris pour les banques significatives. La BCE a indiqué que cette mission ne pouvait entrer dans son mandat. L'ACPR développe une méthodologie d'audit algorithmique via son Pôle Fintech-Innovation et publiera ses attentes via doctrines, communications et consultations publiques.

Comment concilier l'exigence de transparence de l'AI Act avec les secrets commerciaux des banques ?

L'AI Act distingue la transparence vis-à-vis du superviseur (documentation complète annexe IV) et la transparence vis-à-vis des personnes concernées (information sur l'usage d'IA, droit à l'explication). Les secrets commerciaux sont protégés vis-à-vis du public mais ne s'opposent pas à l'accès des autorités de surveillance habilitées au secret professionnel. La doctrine ACPR précisera les modalités pratiques.

Quelles sont les principales différences entre les obligations de DORA et celles de l'AI Act pour un prestataire TIC ?

DORA cible la résilience opérationnelle : gestion des risques TIC, tests, incidents, contrats — applicable à tout prestataire de services TIC à un établissement financier. L'AI Act cible la conformité intrinsèque du modèle : qualité des données, biais, transparence, supervision — applicable aux fournisseurs et déployeurs de systèmes d'IA. Un fournisseur de LLM utilisé dans le scoring crédit relève des deux.

Comment la CNIL intervient-elle dans le cycle d'entraînement des IA financières ?

La CNIL veille au respect du RGPD sur toute la chaîne : base légale du traitement des données d'entraînement, minimisation, information des personnes, droits d'accès et d'opposition, sécurité. Son plan d'action de mai 2023 et ses recommandations ultérieures sur les IA génératives encadrent notamment le scraping, la pseudonymisation et les décisions automatisées au titre de l'art. 22 RGPD.

Qu'est-ce que la supervision « augmentée » par l'ACPR signifie concrètement pour les banques ?

L'ACPR déploie des outils internes d'IA pour analyser les reportings, détecter les anomalies et auditer les algorithmes des établissements supervisés. L'outil LUCIA évalue les modèles LCB-FT, des prototypes LLM issus du SupTech Sprint sont en cours d'industrialisation. Concrètement, votre documentation technique sera lue, croisée et challengée par les outils du superviseur avant analyse humaine finale.

Est-ce que le règlement FiDA facilite la conformité avec l'AI Act ?

FiDA n'a pas pour objet la conformité IA mais l'ouverture des données financières détenues par les institutions à des tiers autorisés. Indirectement, il peut faciliter l'accès à des jeux de données de meilleure qualité pour l'entraînement, à condition que la gouvernance RGPD soit irréprochable. Il ajoute en revanche une nouvelle couche de gestion des flux de données entrants et sortants à documenter.

Comment gérer les risques de biais algorithmiques dans le scoring de crédit sous l'AI Act ?

L'art. 10 AI Act exige des jeux de données représentatifs et l'identification des biais possibles. Pratiquement : évaluation des performances par sous-population (genre, âge, géographie, segment), tests de fairness avant mise en production, surveillance continue post-déploiement, procédure documentée de remédiation. Les arbitrages doivent être tracés et justifiés au superviseur, avec un dispositif de contestation client effectif.

Quelles sont les échéances clés pour la mise en conformité DORA et AI Act en 2026-2027 ?

DORA est applicable depuis le 17 janvier 2025 ; les RTS continuent à être publiés en 2025. Pour l'AI Act, les obligations d'IA literacy (art. 4) et les interdictions (art. 5) s'appliquent depuis le 2 février 2025 ; les GPAI depuis le 2 août 2025 ; les sanctions et la transparence depuis le 2 août 2026 ; les systèmes à haut risque de l'annexe III à partir du 2 décembre 2027 (date reportée par l'omnibus numérique de mai 2026).

Pour aller plus loin avec IAPRO

Vous êtes responsable conformité, RSSI, DSI ou directeur des risques dans une banque, un assureur, une fintech ou un cabinet de gestion d'actifs ? IAPRO accompagne les établissements financiers français dans la mise en place d'une architecture IA souveraine conforme à l'AI Act, DORA et aux attentes de l'ACPR. Notre offre couvre l'audit initial, le déploiement on-premise (Mistral, Llama 3, Qwen, RAG métier) et la rédaction de la documentation technique annexe IV. Premier échange de cadrage gratuit : prenez rendez-vous via notre page contact ou découvrez nos formules d'accompagnement métier.