Flash BankNews | IA Act : Analyse de son impact sur le secteur bancaire et des paiements

L’IA Act : un cadre réglementaire inédit pour l’IA en Europe

Introduction à l’IA Act

En août 2024, le règlement UE 2024/1689, dit « IA Act » est entré en vigueur. Ses principaux objectifs sont de créer un ensemble de règles régissant le fonctionnement des systèmes d’IA dans l’UE et de promouvoir une IA sûre, fiable et protégeant les droits fondamentaux, en s’appuyant sur des principes clefs tels que la sécurité, la transparence et le respect des droits.

Définition d’un système d’IA par l’IA Act

L’IA Act définit les systèmes d’IA comme des systèmes qui se reposent sur des algorithmes pouvant fonctionner de manière autonome et ayant une capacité d’apprentissage et d’adaptation, y compris après avoir été utilisés. Ces systèmes reçoivent des données (en entrée) et les utilisent pour produire des résultats (en sortie : prédictions, contenus, recommandations, décisions). Cette définition englobe également les algorithmes utilisés dans le secteur bancaire, qu’ils soient développés en interne ou fournis par des éditeurs tiers.

Cas particulier des systèmes d’IA à haut risque[1]

Certains systèmes d’IA sont classés en « high-risk », principalement en fonction de l’importance des risques que ces systèmes présentent pour les droits fondamentaux. Le règlement européen sur l’IA introduit des exigences supplémentaires pour ces systèmes au regard des risques présentés pour les droits fondamentaux des personnes (traitement des données personnelles, prise de décision sur base de l’utilisation de ces données, etc.). Dans le cas précis du secteur bancaire et des paiements, l’utilisation des systèmes d’IA pour évaluer la solvabilité ou établir le scoring de crédit des personnes physiques est classée comme « high-risk ». 

Impacts sur le secteur bancaire et des paiements

Cas d’usages concernés

L’EBA a cartographié les exigences de l’IA Act applicables aux systèmes d’IA classés « high-risk ». L’objectif de cet exercice de cartographie est de favoriser une compréhension commune de toutes les implications réglementaires et prudentielles de l’IA Act pour le secteur bancaire et des paiements.

L’institution met l’accent sur l’utilisation de l’IA pour étudier la solvabilité et définir la notation de crédit d’une personne physique. Ces applications, bien qu’elles contribuent à améliorer l’efficacité des processus, sont soumises aux obligations de l’IA Act en raison de leur influence sur les décisions financières et de leurs effets potentiels pour les clients concernés.

Adaptations nécessaires

L’EBA met en évidence les principales exigences de l’IA Act pour les systèmes d’IA à haut risque, qui nécessitent des adaptations en matière de gouvernance, de processus et de contrôle :

• Mettre en place des registres des systèmes d’IA pour assurer la traçabilité ;
• Renforcer la documentation et la transparence des modèles, notamment leur explicabilité ;
• Intégrer des tests de robustesse dans les cycles de développement ;
• Assurer une supervision humaine des décisions automatisées.

Ces adaptations peuvent impliquer des investissements technologiques et organisationnels, dont l’ampleur dépendra de la maturité des dispositifs existants.

Interactions avec les réglementations existantes

Aucune contradiction significative n’a été constatée entre l’IA Act et la législation bancaire de l’UE. Le règlement ne vient pas non plus remplacer les réglementations sectorielles existantes. Globalement, l’IA Act vient compléter le cadre réglementaire en matière de gestion des risques. Le règlement vient s’articuler avec des réglementations tels que la directive CRD, le règlement CRR ou encore le règlement DORA, qui imposent des obligations en matière de gestion des risques et de résilience opérationnelle.

Cependant, l’EBA insiste sur le potentiel besoin pour les institutions financières d’intégrer efficacement les exigences de l’IA Act avec les réglementations sectorielles déjà applicables. 

 Défis et perspectives pour les acteurs financiers

Analyser les enjeux pratiques : transparence et auditabilité des modèles

Les objectifs de sécurité des systèmes et de respect des droits fondamentaux sont déjà en partie couverts par la règlementation du secteur de la banque et des paiements. Les défis majeurs posés par l’IA Act concernent la capacité des établissements à garantir l’explicabilité des modèles les plus complexes et à documenter les processus (objectif de transparence). Dans l’optique des contrôles des systèmes d’IA, l’auditabilité des systèmes devient une exigence incontournable pour répondre aux attentes des régulateurs.

Eviter les risques de complexité réglementaire et renforcer la coordination

L’empilement des normes (AI Act, CRD/CRR, DORA) accroît la complexité réglementaire. L’EBA alerte et oriente vers une approche coordonnée entre les autorités de supervision et les acteurs marchés. Le but est de promouvoir un mode de mise en œuvre cohérent et efficace à l’échelle européenne, en évitant le chevauchement réglementaire. De son côté, l’EBA prévoit également de promouvoir une approche commune en contribuant aux travaux du bureau de l’IA.[2]

Anticiper les prochaines étapes : lignes directrices de la Commission et calendrier de mise en conformité

La Commission européenne doit publier d’ici février 2026 des lignes directrices précisant la classification des cas d’usage « high-risk ». Ces orientations seront cruciales pour clarifier les obligations et fournir des exemples pratiques.

Enfin, l’EBA annonce également des actions sur 2026 et 2027 afin d’accompagner au mieux la mise en œuvre, notamment via la coopération entre autorités nationales et surtout par la définition d’approches sectorielles illustrées et harmonisées.

Nos équipes sont disponibles pour vous aider à appréhender les impacts opérationnels de ces évolutions réglementaires.

[1] La Commission européenne est chargée de publier d’ici le 2 février 2026 des lignes directrices sur la classification des cas “high-risk”.

[2] Le Bureau de l’IA a été créé au sein de la Commission européenne en tant que centre d’expertise en matière d’IA et constitue la base de la gouvernance unique de l’IA prônée par l’Union Européenne.

RESTEZ INFORMÉ(E) DE L'ACTUALITÉ BANCAIRE, ABONNEZ-VOUS AUX FLASH BANKNEWS.