Loi IA européenne pour les institutions financières 2025 — Swiss Quantic Finance
Gouvernance IAMars 2025

Ce que la loi européenne sur l'IA signifie pour les institutions financières en 2025 : un guide pratique

La loi européenne sur l'IA est entrée en vigueur en août 2024, avec des obligations pour les systèmes d'IA à haut risque dans les services financiers qui commencent à s'appliquer en 2025. Nous détaillons ce que votre équipe conformité doit savoir et prioriser dès maintenant.

Le paysage réglementaire a changé

La loi européenne sur l'IA représente le premier cadre juridique complet au monde dédié à l'intelligence artificielle. Contrairement aux règles sectorielles, elle s'applique horizontalement à tous les secteurs — et les services financiers, compte tenu de leur utilisation intensive de l'IA dans les décisions de crédit, la détection des fraudes, la notation des clients et les activités de marché, se trouvent au cœur de ses catégories à plus haut risque.

Pour les responsables conformité et les directeurs des risques, le défi n'est pas de comprendre la réglementation dans l'abstrait. Il s'agit de savoir quels systèmes sont concernés, quelle documentation est requise maintenant, et où l'organisation est la plus exposée. Cette analyse aborde chacune de ces questions.

Calendrier des obligations clés : Les pratiques d'IA interdites sont bannies depuis février 2025. Les exigences applicables aux systèmes d'IA à haut risque — dont ceux utilisés dans le crédit, la souscription d'assurance et l'emploi — commencent à s'appliquer à partir d'août 2026, mais les obligations préparatoires sont actives dès maintenant.

Ce qui est considéré comme à haut risque dans les services financiers

L'annexe III de la loi identifie huit catégories de systèmes d'IA à haut risque. Deux sont particulièrement pertinentes pour les institutions financières :

  • Les systèmes d'IA utilisés dans la notation de crédit et l'évaluation de la solvabilité — incluant les modèles utilisés dans le crédit à la consommation, le crédit aux PME et l'origination hypothécaire.
  • Les systèmes d'IA utilisés dans la gestion de l'emploi et des travailleurs — pertinent pour les entreprises utilisant des outils algorithmiques dans le recrutement, l'évaluation des performances ou la planification des effectifs.

Au-delà de l'annexe III, les obligations de transparence s'appliquent largement à tout système d'IA interagissant avec des personnes physiques — couvrant les chatbots, assistants virtuels et certains outils de conseil dans les services financiers.

Les obligations de conformité principales

Pour les systèmes d'IA à haut risque, les déployeurs — pas seulement les développeurs — portent des obligations significatives. Les institutions financières déployant des modèles d'IA tiers ne sont pas exemptées. Les exigences principales incluent :

  • Documentation technique et évaluation de conformité — les fournisseurs doivent produire une documentation détaillée sur la conception, la finalité et la gestion des risques du système. Les déployeurs doivent vérifier que cette documentation existe et est adéquate.
  • Système de gestion des risques — un processus d'évaluation des risques continu et itératif couvrant les usages prévus et prévisibles, avec des mesures d'atténuation documentées.
  • Gouvernance des données — les données d'entraînement doivent satisfaire à des normes de qualité. Les institutions doivent démontrer la représentativité des données et documenter leur provenance.
  • Supervision humaine — des mécanismes effectifs de surveillance et d'intervention humaine doivent être maintenus. Les décisions automatisées à forts enjeux sans procédures de contrôle significatives ne sont pas conformes.
  • Transparence et explicabilité — les personnes concernées ont des droits à l'explication. Les systèmes doivent générer des sorties interprétables pour les décisions qu'ils influencent.

Où les institutions sont les plus exposées

1. Modèles de notation anciens aux architectures opaques

De nombreuses institutions continuent d'opérer des modèles de notation de crédit construits avant que l'explicabilité ne devienne une préoccupation réglementaire. Ces systèmes ne peuvent souvent pas générer d'explications au niveau individuel et peuvent échouer aux exigences de gouvernance des données. La remédiation nécessite généralement soit le remplacement du modèle, soit le développement d'une couche d'explication surrogate — deux options qui prennent un temps de mise en œuvre significatif.

2. Achats de solutions d'IA tierces sans diligence raisonnée sur la loi IA

Les équipes achats ne vérifient pas encore systématiquement la conformité à la loi IA dans le cadre de l'intégration des fournisseurs. Cela crée des lacunes de conformité dont l'institution — en tant que déployeur — est légalement responsable. Les contrats signés aujourd'hui doivent inclure des représentations et garanties relatives à la loi IA.

3. Procédures de supervision humaine non documentées

La plupart des institutions disposent de processus de revue informels autour des recommandations générées par l'IA. La loi IA exige que ces processus soient documentés, testés et maintenus. Les analyses d'écarts révèlent systématiquement que les affirmations de supervision humaine ne sont pas étayées par des procédures formelles.

4. Inventaires incomplets des systèmes d'IA

On ne peut pas gouverner ce qu'on ne voit pas. Un nombre significatif d'institutions ne maintiennent pas d'inventaire complet des systèmes d'IA en production. Sans cette base, le classement par niveau de risque au titre de la loi est impossible.

Actions immédiates pour les équipes conformité

  • Réaliser un inventaire des systèmes d'IA dans toutes les lignes métier, en capturant la finalité du système, les données d'entrée, l'influence sur les décisions et l'état de documentation actuel.
  • Appliquer les critères de classification par risque de l'annexe III à chaque système. Solliciter un avis externe en cas d'ambiguïté dans la classification.
  • Examiner les contrats fournisseurs existants au regard des obligations de la loi IA et initier des renégociations là où des lacunes existent.
  • Établir ou formaliser une fonction de gestion des risques IA avec une représentation transversale de la conformité, de la technologie, du juridique et des métiers.
  • Informer le conseil d'administration et le comité d'audit sur l'exposition actuelle de l'institution et le programme de remédiation.

Note pour les institutions suisses : La loi européenne sur l'IA ne s'applique pas directement en Suisse. Cependant, la FINMA développe activement des directives alignées sur les approches européennes, et les institutions dont le siège est en Suisse mais qui ont des opérations dans l'UE sont soumises à la réglementation. Nous recommandons de traiter la conformité à la loi IA comme une base prudente indépendamment de l'applicabilité formelle.

Le dividende de la conformité

Les institutions qui traitent la loi européenne sur l'IA comme une opportunité de construire une véritable capacité de gouvernance de l'IA — plutôt qu'une liste de contrôle de conformité à minimiser — émergent avec des avantages concurrentiels durables : de meilleures relations réglementaires, un risque de modèle réduit et la confiance institutionnelle nécessaire pour déployer l'IA de manière plus ambitieuse au fil du temps.

Le fardeau de gouvernance est réel. Mais le coût d'une conformité réactive — suite à une action d'application réglementaire ou à une défaillance de modèle — est matériellement plus élevé. L'investissement réalisé maintenant génère des intérêts composés.

← Toutes les analyses
1 sur 3
Suivante : Tokenisation RWA →