Le règlement européen sur l'intelligence artificielle (AI Act) s'applique aussi au secteur financier. Deux usages y sont explicitement classés « à haut risque » : le scoring de crédit et la tarification de certaines assurances. Analyse des obligations et du calendrier, à l'heure où l'échéance vient d'être repoussée.
Un cadre fondé sur le risque Le règlement (UE) 2024/1689 du 13 juin 2024, entré en vigueur le 1er août 2024, classe les systèmes d'IA en quatre niveaux : - risque inacceptable (interdit) ; - haut risque (obligations strictes) ; - risque limité (transparence) ; - risque minimal (libre).
L'application est progressive : interdictions depuis février 2025, obligations pour les modèles à usage général (GPAI) depuis août 2025, et obligations pour les systèmes à haut risque de l'annexe III initialement prévues au 2 août 2026.
Quels systèmes sont à haut risque en finance ? Selon l'ACPR, deux familles d'usages relèvent du haut risque au titre de l'annexe III : - l'évaluation de la solvabilité et l'établissement du score de crédit des personnes physiques ; - l'évaluation des risques et la tarification en assurance-vie et en assurance santé.
Ces cas rejoignent la logique de l'annexe III, qui vise l'accès aux services essentiels — dont le crédit et l'assurance.
Des obligations exigeantes Pour ces systèmes, le règlement impose notamment : - un système de gestion des risques et une gouvernance des données d'entraînement ; - une documentation technique et une journalisation (traçabilité) ; - de la transparence et une supervision humaine effective ; - de la robustesse, de l'exactitude et de la cybersécurité ; - un enregistrement dans la base de données européenne ; - une analyse d'impact sur les droits fondamentaux (article 27).
L'articulation avec le RGPD est centrale : les deux textes se cumulent dès qu'un système traite des données personnelles (scoring, tarification).
Le calendrier repoussé par le Digital Omnibus Point d'actualité majeur : les négociateurs du Parlement et du Conseil ont conclu, le 7 mai 2026, un accord politique provisoire (« Digital Omnibus ») reportant les obligations des systèmes à haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027. Motivé par le retard des normes harmonisées, ce report doit encore être formellement adopté et publié au Journal officiel de l'UE pour devenir définitif.
Attention : plusieurs obligations ne sont pas concernées par ce report — l'interdiction des pratiques inacceptables (février 2025), l'obligation de littératie IA (article 4) et les obligations GPAI (août 2025) restent pleinement applicables.
Le rôle de l'ACPR Pour le secteur financier français, l'ACPR se positionne comme superviseur. Elle a tenu une réunion de Place le 17 septembre 2025 et souhaite construire, avec les établissements, la méthodologie d'évaluation des systèmes d'IA qui servira de guide de maîtrise des risques et de base à l'audit des dispositifs.
Que faire dès maintenant ? Le report offre du temps, mais aucun chantier n'est désarmé. Trois priorités : - cartographier les systèmes d'IA déployés et les classer au regard de l'annexe III (exercice long dans les groupes multi-entités) ; - documenter la gouvernance des données et l'analyse d'impact, en cohérence avec le RGPD ; - structurer la supervision humaine et la traçabilité, en anticipant le dialogue avec l'ACPR.
Les sanctions rappellent l'enjeu : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 M€ ou 3 % pour un système à haut risque non conforme.