Qu’est-ce que l’EU AI Act exactement ?

Le Règlement (UE) 2024/1689 est la première législation au monde encadrant l’intelligence artificielle. Il classe les systèmes d’IA en 4 niveaux de risque et impose des obligations proportionnelles. Échéance majeure : 2 août 2026.

Mon entreprise est-elle concernée par l’EU AI Act ?

Si vous développez, déployez, importez ou distribuez des systèmes d’IA dans l’Union européenne, oui. Cela inclut les chatbots, le scoring automatisé, la reconnaissance d’images, les systèmes de recommandation.

Quelle différence entre MaConformité et un audit classique ?

Un audit est ponctuel. MaConformité est un outil continu : il suit l’évolution de la réglementation, met à jour votre plan d’action automatiquement, et vous alerte quand un changement impacte vos systèmes.

Comment fonctionne l’approche sectorielle ?

Chaque secteur (santé, RH, finance, industrie, éducation, transport) a ses propres cas d’usage, normes harmonisées et niveaux de risque. Nos parcours spécialisés adaptent les recommandations à votre contexte métier.

Puis-je essayer avant de m’engager ?

Le plan Découverte est 100% gratuit et permanent. Les plans payants incluent un essai gratuit de 7 jours et une garantie satisfait ou remboursé de 30 jours.

Tous les articles

Secteurs11 min de lecture10 avril 2026

EU AI Act et secteur financier : scoring credit, detection de fraude, obligations 2026

Guide complet des obligations EU AI Act pour les banques, assurances et fintechs francaises. Scoring credit, detection de fraude, articulation avec ACPR et CNIL.

Le secteur financier est un des plus touches par l'EU AI Act. Le scoring credit, la detection de fraude, l'evaluation des risques d'assurance et le trading algorithmique sont classes a haut risque par le reglement europeen. Pour les banques, fintechs et assureurs francais, la deadline du 2 aout 2026 approche et les obligations sont lourdes. Ce guide explique concretement ce qu'il faut faire.

Quels systemes d'IA financiers sont a haut risque ?

L'article 6 de l'EU AI Act, combine a l'annexe III point 5, classe a haut risque les systemes d'IA utilises pour :

Evaluer la solvabilite des personnes physiques (scoring credit immobilier, credit a la consommation, cartes de paiement)
Etablir leur score de credit (hors fraude)
Evaluer les risques et tarifer les assurances vie et sante

Attention : la detection de fraude n'est PAS classee a haut risque par l'annexe III. C'est une distinction importante. Un systeme de scoring credit est a haut risque, un systeme de detection de fraude bancaire ne l'est pas automatiquement (mais peut le devenir selon son impact sur les droits fondamentaux).

Les 7 obligations principales pour les systemes a haut risque

1. Systeme de gestion des risques (article 9)

La banque doit mettre en place un systeme documente de gestion des risques lies a l'IA, tout au long du cycle de vie du systeme. Cela inclut : identification des risques, evaluation, mesures de mitigation, suivi des risques residuels.

2. Gouvernance des donnees (article 10)

Les donnees d'entrainement, de validation et de test doivent etre pertinentes, representatives, exemptes d'erreurs et completes. Pour un scoring credit, cela signifie : audit des biais dans les donnees historiques, detection des correlations discriminantes (genre, origine, code postal), documentation des sources.

3. Documentation technique (article 11 - Annexe IV)

Le document le plus lourd a produire. Il doit contenir : description generale du systeme, finalites, architecture technique, donnees utilisees, metriques de performance, tests realises, mesures de cybersecurite, instructions d'utilisation. Pour une banque, ce document fait souvent 50 a 100 pages.

4. Enregistrement des logs (article 12)

Tous les evenements significatifs doivent etre logges : decisions prises par le systeme, inputs utilises, scores calcules, anomalies detectees. Les logs doivent etre conserves au minimum 6 mois (article 19).

5. Transparence et information des utilisateurs (article 13)

Le systeme doit fournir des instructions d'utilisation claires : capacites, limites, conditions d'utilisation prevues, mesures de surveillance humaine recommandees. Pour un scoring credit, cela inclut le droit d'information du client refuse (article 22 RGPD).

6. Supervision humaine (article 14)

Un humain doit pouvoir intervenir a tout moment : arreter le systeme, remettre en question une decision, interpreter les resultats. Pour un scoring credit, cela signifie qu'un refus automatique doit pouvoir etre revu par un conseiller clientele, qui peut decider d'octroyer le credit malgre le score.

7. Exactitude, robustesse, cybersecurite (article 15)

Le systeme doit atteindre un niveau approprie d'exactitude, de robustesse face aux erreurs et de securite face aux attaques (empoisonnement des donnees, attaques adversariales, vol de modele).

Analyse d'impact sur les droits fondamentaux (FRIA - article 27)

Avant toute mise en service, la banque doit realiser une FRIA. C'est un document specifique qui evalue :

Les categories de personnes physiques impactees
Les risques specifiques pour leurs droits fondamentaux (non-discrimination, vie privee, recours effectif)
Les mesures de gouvernance mises en place
Les procedures en cas de materialisation des risques

La FRIA doit etre notifiee a l'autorite de surveillance (en France, probablement la DGCCRF ou une nouvelle autorite dediee a l'IA).

Articulation EU AI Act, RGPD, ACPR et CNIL

Les banques francaises ont deja des obligations lourdes. L'EU AI Act s'ajoute sans remplacer :

RGPD : le scoring credit est deja soumis au RGPD (article 22 sur les decisions automatisees, etude d'impact DPIA obligatoire)
ACPR : recommandations sur la gouvernance des modeles (avril 2020, mise a jour 2025)
CNIL : recommandation sur les systemes d'IA (fevrier 2024)
EU AI Act : obligations supplementaires specifiques IA haut risque

En pratique, une banque qui a deja fait sa DPIA et respecte les recommandations ACPR a deja 60 a 70 pourcent du travail fait. Il reste a produire l'Annexe IV, la FRIA et a mettre en place le systeme de logs specifique.

Sanctions en cas de non-conformite

Les sanctions maximales de l'EU AI Act sont severes :

35 millions EUR ou 7 pourcent du CA mondial (le plus eleve) pour les violations d'IA a risque inacceptable
15 millions EUR ou 3 pourcent du CA mondial pour les violations sur IA haut risque
7,5 millions EUR ou 1 pourcent du CA mondial pour les violations administratives

Pour une banque avec 1 milliard de CA, le risque maximal est de 30 millions EUR. Meme pour une petite banque regionale, le risque est incompatible avec une approche wait-and-see.

Plan d'action pour les banques et fintechs francaises

Etape 1 : Inventaire des systemes IA (semaine 1)

Lister tous les systemes d'IA utilises : scoring credit, KYC, detection fraude, chatbot client, pricing assurance. Pour chacun, identifier le niveau de risque EU AI Act.

Etape 2 : Gap analysis (semaines 2 a 4)

Pour chaque systeme a haut risque, evaluer l'ecart avec les 7 obligations. Ou est-on deja conforme grace au RGPD et aux recommandations ACPR ? Quels documents manquent ?

Etape 3 : Production des documents (mai a juin 2026)

Rediger l'Annexe IV et la FRIA pour chaque systeme haut risque. Mettre en place les logs specifiques. Documenter la supervision humaine.

Etape 4 : Audit interne (juillet 2026)

Revue juridique par le DPO et la direction conformite. Validation par la direction generale. Pre-notification a l'autorite de surveillance si demandee.

Etape 5 : Mise en conformite (2 aout 2026)

Date butoir. A partir de cette date, tout systeme d'IA a haut risque non conforme expose la banque a des sanctions.

Comment MaConformite aide les acteurs financiers

MaConformite propose un Pole Finance dedie qui adapte les questionnaires, templates et checklists aux specificites du secteur :

Questionnaires scoring credit, detection fraude, pricing assurance
Templates Annexe IV avec terminologie bancaire
FRIA guidee sur les droits fondamentaux des clients bancaires
Articulation RGPD, ACPR, CNIL, EU AI Act
Export PDF pour transmission au regulateur

Le diagnostic gratuit permet en 3 minutes d'identifier quels systemes de votre banque sont a haut risque et quelles obligations s'appliquent.

EU AI Act financescoring creditdetection fraudebanquesACPRCNILfintech

Evaluez votre niveau de conformite

Diagnostic gratuit en 3 minutes avec rapport PDF telechargeable.

Lancer le diagnostic