L’intelligence artificielle (IA) a le potentiel de transformer le secteur bancaire, par exemple en révolutionnant les scores de crédit. Mais cette vague d’innovation pourrait-elle être fortement ralentie ? En effet, avec l’AI Act, l’Union européenne est la première région du monde à réglementer le domaine naissant de l’IA. Certes, cette réglementation poursuit le noble objectif de protéger les citoyens européens contre les risques de l’IA, comme le manque de transparence, les biais algorithmiques, etc. Mais cette réglementation, en arrivant aussi tôt dans le cycle de développement de l’IA, va-t-elle ralentir l’adoption en Europe de cette technologie, en particulier dans le secteur bancaire ?
L’AI Act, un texte généraliste à valeur ajoutée limitée ?
L’AI Act pose un cadre pour l’utilisation de l’intelligence artificielle. Ce cadre est le fruit de longs débats. Initiés en 2017, les premiers travaux ont abouti à un projet de texte en avril 2021, pour finalement entrer en vigueur le 1ᵉʳ août 2024, 7 ans plus tard. Une éternité à l’échelle de l’IA, où les technologies évoluent à une vitesse fulgurante. La montée en puissance de l’IA générative, en pleine finalisation du texte fin 2022, illustre à quel point il est complexe de légiférer sur un domaine en perpétuelle mutation.
À peine adopté, l’AI Act divise déjà : certains le trouvent trop généraliste, d’autres trop strict par rapport à des approches plus flexibles, comme celles désormais privilégiées aux États-Unis. Il est ainsi frappant que la première échéance d’application du texte européen, fixée au 2 février 2025, coïncide presque jour pour jour avec la révocation de l’AI White House Executive Order. Ainsi, les Etats-Unis donnent priorité à l’innovation avant tout.
Si on s’extrait de ces débats politiques, on constate qu’en pratique, l’AI Act semble requérir un niveau d’exigence assez facile à atteindre pour les banques. C’est ainsi que, selon le premier sous-gouverneur de la Banque de France, Denis Beau, les exigences pour les systèmes dits « à haut risque » dans la réglementation reposent sur des pratiques bien connues, telles que la gestion des risques, la gouvernance des données et la cybersécurité. En somme, ce texte n’introduit rien de totalement inédit pour le secteur financier.
Secteur bancaire : 4 impacts essentiels de l’AI Act à anticiper
Faut-il dès lors minimiser l'impact de l’AI Act et le considérer comme un simple complément aux réglementations existantes ? Ce serait une conclusion hâtive. Même s'il n'est pas révolutionnaire, ce texte demande une surveillance rigoureuse et opérationnelle des solutions d'IA :
1. Interdiction « des usages dangereux »
Dès février 2025, l’AI Act interdit les usages jugés dangereux par le législateur. Par exemple, tout traitement pouvant entraîner une discrimination ou un désavantage pour une personne en raison de sa “classification” par l’IA sera proscrit. De même, le texte prohibe l’usage de l’IA pour “prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base du profilage ou de l’évaluation de ses traits de personnalité ou caractéristiques”.
En pratique, les banques ne sont pas impliquées dans ces usages dangereux.
2. Encadrement des « usages à risque »
Par contre, d’ici août 2026, les banques devront se conformer aux exigences de l’AI Act pour les cas d’usage classés « à haut risque ».
Pour le secteur financier, ces cas d’usages concernent spécifiquement l’évaluation de la solvabilité pour l’octroi de crédits aux particuliers et la tarification en assurance santé et vie. Que ce soit les fournisseurs, qui développent le modèle d’IA, ou les “déployeurs”, qui utilisent ces systèmes, ils devront en assurer la sécurité et la transparence : processus de gestion des risques, documentation technique, suivi de la qualité des données mais également surveillance continue du fonctionnement. Les systèmes d’IA devront respecter des contrôles rigoureux pour prévenir toute discrimination ou biais et être traçables ainsi que supervisés par des humains.
Ce cadre ne constitue toutefois pas une rupture et s’inscrit dans la continuité de réglementations existantes, comme les recommandations de 2022 sur l’octroi et le suivi des crédits, qui prévoyaient déjà le droit à une nouvelle analyse pour les décisions prises par la technologie. L’AI Act va toutefois plus loin en harmonisant et en renforçant ces obligations à l’échelle européenne.
3. Règles de surveillance de la supervision
La supervision des banques dans ce contexte évolutif constitue également un enjeu majeur. En France, l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) semble se préparer à jouer un rôle central. Denis Beau précisait ainsi récemment que « le superviseur financier lui-même monte en compétences et adapte ses outils et des méthodes. Nous devrons nous doter, sans doute progressivement, d’une doctrine sur les sujets nouveaux. ». À ce titre, le cadre offert par l’AI Act pourrait aider l’interaction entre les banques et les superviseurs.
4. Des sanctions qui augmentent
Le volet des sanctions vient confirmer l’importance de la prise en compte proactive des exigences du texte. Les pénalités prévues par l’AI Act sont particulièrement dissuasives, pouvant atteindre 7 % du chiffre d’affaires mondial annuel ou 35 millions d’euros.
L’AI Act : un cadre incontournable pour les banques de demain
L’AI Act, bien qu’il ne constitue pas une révolution majeure, établit un socle réglementaire que le secteur bancaire ne peut ignorer. Pour les banques, il ne s’agit pas simplement de se conformer, mais d’anticiper. Il s’agira de suivre activement les recommandations de l’entité de surveillance tout en prenant des mesures concrètes pour garantir un alignement avec ce nouveau cadre. Cela inclut la sensibilisation de l’ensemble des acteurs aux nouvelles obligations, une définition des rôles selon les notions de “fournisseurs” et de “déployeurs” mais aussi un travail méthodique de recensement et de classification des usages de l’IA.
Pour les banques, il s’agit maintenant de passer d’une logique de pilotes à des déploiements industrialisés pour faire de l’intelligence artificielle un moteur de performance et de différenciation.
Sopra Steria s’engage aux côtés des banques pour transformer les défis de l’AI Act en opportunités. Au-delà de notre expertise en gouvernance, audit technique et conformité réglementaire, nous plaçons l’humain au cœur de cette transition. Nous proposons des programmes de formation sur mesure pour sensibiliser et accompagner les équipes dans la maîtrise des nouvelles obligations. En alliant innovation, sécurité et éthique, nous aidons les banques à développer une intelligence artificielle responsable tout en renforçant la confiance de leurs collaborateurs et clients.