EU AI Act et Finance : credit scoring, assurance et IA bancaire — obligations pour les etablissements financiers

Le secteur financier est l'un des premiers concernes par l'EU AI Act. Les banques, assureurs et fintechs qui utilisent l'intelligence artificielle pour evaluer la solvabilite de leurs clients, tarifier des contrats ou detecter des fraudes entrent directement dans le perimetre des systemes haut risque de l'Annexe III. Avec la deadline du 2 aout 2026, il reste moins de 90 jours pour se mettre en conformite — et la double supervision ACPR-CNIL rend le sujet particulierement sensible pour les etablissements francais.

Quels systemes IA finance sont classes haut risque ?

L'Annexe III du reglement EU AI Act (UE) 2024/1689 liste explicitement les cas d'usage finances dans la categorie haut risque. Trois types de systemes sont directement nommes.

Le credit scoring et l'evaluation de solvabilite (point 5b)

Tout systeme d'IA qui evalue la solvabilite d'une personne physique pour l'attribution d'un credit, pret ou financement est classe haut risque. Cela couvre les modeles de scoring de credit des banques de detail, les algorithmes d'octroi de pret des fintechs, les systemes d'evaluation du risque pour les credits immobiliers, les outils de scoring pour le BNPL (Buy Now Pay Later), et les modeles d'analyse de comportement bancaire pour l'evaluation du risque.

Le reglement ne se limite pas au credit consommation : tout produit financier dont l'attribution repose sur une decision algorithmique influencant les droits economiques d'une personne physique entre dans le perimetre.

La tarification en assurance sante et vie (point 5c)

Les systemes d'IA utilises pour l'evaluation du risque et la tarification en assurance vie et sante sont classes haut risque. Cela inclut les algorithmes de scoring de risque medial, les modeles de tarification personnalisee en assurance emprunteur, les systemes d'underwriting automatise, et les modeles comportementaux utilises dans les contrats d'assurance usage au kilometre ou de sante connectee.

La detection de fraude et la surveillance des services essentiels

Les systemes d'IA utilises pour detecter des fraudes dans les paiements ou pour surveiller les comportements sur des services financiers essentiels entrent egalement dans le perimetre. La frontiere est nuancee : un systeme de filtrage de transactions en temps reel qui peut bloquer automatiquement un compte sans intervention humaine est haut risque. Un systeme qui alerte un analyste humain l'est generalement moins — mais la configuration exacte compte.

La double supervision ACPR-CNIL : un enjeu specifiquement francais

En France, l'application de l'EU AI Act dans le secteur financier implique deux autorites de regulation distinctes dont les perimetres se chevauchent.

La CNIL est l'autorite nationale de reference pour l'EU AI Act au sens de l'article 70 du reglement. Elle est l'interlocuteur principal pour les questions de conformite IA, les declarations d'incidents, et les controles. La CNIL a deja publie des recommandations specifiques sur l'IA en 2024 et a integre la conformite EU AI Act dans ses axes de controle prioritaires pour 2026.

L'ACPR (Autorite de Controle Prudentiel et de Resolution, sous l'autorite de la Banque de France) est l'autorite sectorielle de supervision bancaire et assurantielle. Elle applique depuis 2020 un cadre de gouvernance des algorithmes IA dans le secteur financier — et ce cadre s'articule desormais avec l'EU AI Act. L'ACPR a publie un guide de gouvernance des algorithmes IA specifique au secteur financier et attend des etablissements qu'ils prouvent la tracabilite et l'explicabilite de leurs modeles.

La consequence pratique : un etablissement financier non conforme peut faire face a des sanctions de la CNIL (jusqu'a 15 millions d'euros ou 3% du CA mondial au titre de l'EU AI Act) ET a des sanctions de l'ACPR (incluant potentiellement une restriction d'activite ou une mise en demeure prudentielle). La double exposition est un risque specifique au secteur qui justifie une preparation anticipee.

Les 6 obligations cles pour les deployers financiers

Les etablissements financiers qui deploient des systemes IA haut risque (et non qui les developpent) ont des obligations distinctes de celles des fournisseurs. En tant que deployer, voici ce que l'EU AI Act vous impose.

1. Gestion des risques continue (Article 9)

Le systeme de gestion des risques doit etre documente, mis a jour et couvrir tout le cycle de vie du modele : de son entraînement initial jusqu'a son decommissionnement. Cette gestion des risques doit identifier les risques pour la sante, la securite et les droits fondamentaux, et les attenuer par des mesures concretes. La simple declaration "notre modele de scoring a ete valide par notre equipe risque" ne suffit plus : il faut un processus formalisé, date, et traçable.

2. Gouvernance des donnees (Article 10)

Les donnees utilisees pour l'entraînement et la validation du modele doivent etre pertinentes, representives et exemptes de biais excessifs. Pour un modele de credit scoring, cela implique de documenter les sources de donnees, de tester pour les biais discriminatoires (proxies de genre, d'origine, d'age), et de justifier les donnees exclues. L'ACPR exige deja ce niveau de documentation dans son cadre de gouvernance algorithmique — l'EU AI Act rend cette exigence reglementairement contraignante.

3. Transparence et journalisation (Article 13)

Les deployers doivent conserver les logs de fonctionnement de leurs systemes haut risque pendant au minimum six mois (ou plus selon les exigences sectorielles). Chaque decision influencee par l'IA doit etre traçable. Dans le credit scoring, cela signifie que vous devez etre en mesure de retrouver pourquoi un dossier a ete refuse a une date donnee, avec quel modele et quels parametres.

4. Supervision humaine effective (Article 14)

La supervision humaine n'est pas une formalite : elle doit etre reelle et documentee. Un analyste doit etre en capacite de comprendre les outputs du modele, de les remettre en question, et de prendre une decision differente de celle du modele sans que le systeme l'en empeche. Dans le credit scoring, cela signifie qu'un dossier refuse par l'algorithme doit pouvoir etre accepte manuellement avec une justification documentee — et que ce mecanisme doit etre accessible et utilise en pratique, pas juste prevu theoriquement.

5. Information des personnes concernees (Article 13 et 86)

Les personnes dont la situation financiere est evaluee par un systeme IA haut risque doivent etre informees. En pratique pour une banque, cela signifie mentionner l'utilisation de l'IA dans les conditions contractuelles et dans la FICHE DIN ou la notice pre-contractuelle pour les credits. Pour un assureur, l'obligation de transparence s'etend a l'explication des criteres pris en compte dans la tarification algorithmique.

6. Analyse d'Impact sur les Droits Fondamentaux (Article 27 — AIPD)

Avant de deployer (ou de continuer a utiliser) un systeme IA haut risque en finance, l'etablissement doit realiser une Analyse d'Impact relative a la Protection des Droits fondamentaux. Pour un modele de credit scoring, cette AIPD doit evaluer le risque de discrimination systematique, l'impact d'un refus automatise sur l'acces aux services financiers, et les mecanismes de recours disponibles pour les personnes concernees. Voir notre guide complet AIPD pour la methodologie detaillee.

Fintechs : des obligations identiques, des ressources moindres

Le reglement ne distingue pas la taille de l'etablissement. Une startup fintech de 15 personnes qui utilise un modele de scoring IA pour son produit de credit est soumise aux memes obligations qu'une grande banque. La seule difference : une grande banque a une Direction de la Conformite et une equipe risque — la fintech doit souvent trouver les memes reponses avec des ressources inferieures.

Pour les fintechs, trois points sont particulierement critiques. La documentation technique du modele est souvent inexistante ou informelle — elle doit etre formalisee. Les tests de biais sont rarement systematises — ils doivent le devenir. Le processus de supervision humaine est souvent reduit a un tableau de bord sans veritable mecanisme de contestation — il doit etre repense.

Assureurs : la tarification algorithmique sous surveillance renforcee

En assurance, les enjeux de la conformite EU AI Act portent sur deux axes principaux.

Le premier est la tarification algorithmique en assurance sante, vie et emprunteur. L'utilisation de donnees comportementales (tracking sante, conduite au kilometre, historique de remboursement) pour personnaliser les primes doit etre documentee, transparente et sans discrimination prohibee. Un assureur qui utilise un modele ML pour discriminer les risques doit pouvoir justifier chaque variable incluse dans le modele et prouver qu'elle ne constitue pas un proxy discriminatoire.

Le second est la gestion des sinistres automatisee. Les systemes qui evaluent automatiquement la recevabilite d'un sinistre ou estiment son montant d'indemnisation entrent dans le perimetre haut risque si leur output influe directement sur les droits de l'assure.

Les sanctions : pourquoi l'inaction est plus risquee que la conformite

Les sanctions EU AI Act pour les systemes haut risque non conformes atteignent 15 millions d'euros ou 3% du chiffre d'affaires mondial, le montant le plus eleve etant retenu. Pour les etablissements financiers, ce risque s'ajoute aux sanctions prudentielles de l'ACPR — qui peuvent inclure des restrictions d'activite ou l'obligation de suspendre l'usage d'un systeme non conforme.

Le calcul est simple : mettre en conformite un modele de credit scoring existant coute generalement entre 50 000 et 200 000 euros en ressources internes et externes. Une sanction CNIL peut atteindre 15 millions. Le rapport est de 1 a 75 dans le pire des cas. La conformite est un investissement, pas un cout.

Par ailleurs, les etablissements soumis a des appels d'offres publics ou a des due diligences d'investisseurs doivent anticiper que la conformite EU AI Act deviendra une exigence contractuelle — comme l'est devenue la conformite RGPD pour les contrats avec les grands comptes depuis 2018.

Plan d'action 90 jours pour les etablissements financiers

Jours 1-15 : Cartographie des systemes. Inventorier tous les systemes IA en production ou en pilote. Qualifier chaque systeme selon l'Annexe III. Identifier les systemes haut risque prioritaires (credit scoring, tarification assurance, underwriting).

Jours 16-45 : Documentation et gouvernance. Formaliser la documentation technique de chaque systeme haut risque. Mettre a jour les notices pre-contractuelles et les CGV pour mentionner l'usage de l'IA. Mettre en place ou renforcer les mecanismes de supervision humaine. Lancer les tests de biais sur les jeux de donnees d'entraînement.

Jours 46-75 : AIPD et logs. Realiser les AIPD pour chaque systeme haut risque deploye. Configurer les systemes de journalisation pour conserver les logs pendant six mois minimum. Definir les procedures de declaration d'incident a la CNIL et a l'ACPR.

Jours 76-90 : Validation et declaration. Valider la conformite avec la Direction de la Conformite et le DPO. Preparer la declaration de conformite. Former les equipes utilisatrices (analystes credit, gestionnaires sinistres) aux obligations de supervision humaine.

Questions frequentes — EU AI Act et Finance

Notre modele de scoring a ete developpe en interne il y a 5 ans. Sommes-nous deployer ou fournisseur ?

Si votre etablissement a developpe et utilise le modele en interne, vous endossez les deux roles : fournisseur et deployer. Vous etes donc soumis aux obligations cumulees des deux statuts, incluant la documentation technique complete (obligation fournisseur) ET les obligations de supervision humaine et de transparence (obligation deployer). C'est le cas le plus exigeant mais aussi le plus frequent dans les grandes banques qui ont construit leurs propres modeles de scoring.

Nous achetons notre solution de scoring a un editeur tiers. L'editeur est-il responsable ?

L'editeur (fournisseur) est responsable de la documentation technique, de la conformite du modele et de la fourniture de la documentation necessaire. Mais vous, en tant que deployer, restez responsable de la supervision humaine, de la transparence envers les clients, des logs, et de l'AIPD. La responsabilite est partagee et contractuelle : verifiez que votre contrat avec l'editeur prevoit explicitement la fourniture des documents de conformite EU AI Act, car sans eux vous ne pouvez pas remplir vos obligations.

Notre chatbot de conseil financier est-il classe haut risque ?

Cela depend de ce que fait le chatbot. S'il donne des conseils generaux et oriente vers un conseiller humain, il n'est generalement pas haut risque. S'il realise une qualification automatisee du profil de risque d'un investisseur et recommande des produits financiers specifiques sans intervention humaine dans le processus decisonnel, il peut entrer dans le perimetre haut risque. La cle est de determiner si l'output du systeme IA influe directement sur une decision financiere consequentielle pour la personne.

Nos modeles de detection de fraude en temps reel sur les paiements sont-ils concernes ?

Les systemes de detection de fraude qui bloquent automatiquement des transactions sans intervention humaine entrent probablement dans le perimetre haut risque, notamment si le blocage affecte l'acces a des services financiers essentiels. La distinction operationnelle entre un systeme qui "alerte un analyste" et un systeme qui "bloque automatiquement" est cruciale. Une revue de l'architecture de vos systemes anti-fraude avec votre equipe conformite est recommandee avant de conclure sur le perimetre.

L'accord Digital Omnibus de mai 2026 reporte-t-il les obligations pour le secteur financier ?

Partiellement. L'accord Omnibus du 7 mai 2026 a reporte de 18 mois certaines obligations documentaires pour les PME. Mais les etablissements financiers (banques, assureurs) sont generalement des entites de taille significative qui ne beneficient pas des seuils PME. Et surtout, l'ACPR n'a pas annonce d'ajustement de ses attentes prudentielles — la gouvernance des algorithmes IA reste dans son agenda de supervision 2026. Voir notre analyse complete de l'accord Omnibus.

Conclusion : le secteur financier en premiere ligne de la conformite IA

Le credit scoring, la tarification assurance et les algorithmes de detection de fraude sont les cas d'usage IA les plus impactants pour les droits economiques des personnes. Ce n'est pas un hasard si le legislateur europeen les a places en tete de l'Annexe III. Pour les etablissements financiers francais, la double supervision ACPR-CNIL cree une pression reglementaire sans equivalent dans d'autres secteurs.

Avec 87 jours avant la deadline du 2 aout 2026, les etablissements qui n'ont pas encore commence leur cartographie IA sont en situation de risque. Ceux qui ont commence mais n'ont pas formalise leur documentation se trouvent dans une position intermediaire — correctable, mais qui demande de s'accelerer.

Le diagnostic sectoriel MaConformite Pole Finance identifie en 12 minutes quels systemes IA de votre etablissement sont classes haut risque, quelles obligations s'appliquent a votre profil (banque de detail, fintech, assureur), et le plan d'action prioritaire pour les 90 jours restants. Le diagnostic est gratuit et ne necessite aucune inscription.

Pour aller plus loin : notre guide complet EU AI Act et notre guide methodologique pour realiser votre AIPD.