Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

AI Act banque assurance : scoring haut risque 2026

AI Act banque assurance : scoring de crédit haut risque (annexe III 5b), tarification assurance, supervision ACPR, DORA et risque de discrimination.

L’essentiel. Le règlement (UE) 2024/1689 (AI Act) classe à haut risque les systèmes d’IA destinés à évaluer la solvabilité des personnes physiques ou à établir leur score de crédit (annexe III, point 5(b)), ainsi que ceux utilisés pour l’évaluation des risques et la tarification en assurance vie et santé (annexe III, point 5©). Ces systèmes déclenchent les obligations des articles 8 à 15 (gestion des risques, gouvernance des données, documentation, surveillance humaine), applicables à compter du 2 août 2026. Ces obligations se cumulent avec la supervision de l’ACPR, le règlement (UE) 2022/2554 (DORA) sur la résilience opérationnelle numérique — applicable depuis le 17 janvier 2025 —, l’interdiction de principe des décisions automatisées de l’article 22 du RGPD et la prohibition des discriminations. Les sanctions de l’article 99 peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Le secteur financier est, avec la santé, celui où l’IA rencontre le plus frontalement les droits fondamentaux. Refuser un crédit, tarifer un contrat d’assurance, détecter une fraude : ce sont des décisions qui déterminent l’accès des individus au logement, à l’emprunt, à la protection. Le législateur européen l’a compris et a rangé le scoring de crédit parmi les usages à haut risque de l’AI Act, aux côtés de la tarification en assurance vie et santé. Pour les banques, assureurs, établissements de crédit et fintechs français, cela signifie une convergence de contraintes rarement vue : AI Act, RGPD, supervision prudentielle et résilience numérique s’appliquent d’un même mouvement.

L’enjeu n’est pas seulement de conformité formelle. Un modèle de scoring mal gouverné peut reproduire et amplifier des discriminations — par le code postal, le parcours bancaire, des variables corrélées à l’origine ou au genre. C’est le risque juridique le plus lourd du secteur, et celui que l’AI Act entend précisément prévenir par ses exigences de gouvernance des données.

Le cadre légal : quatre régimes convergents

L’AI Act et l’annexe III

Le règlement (UE) 2024/1689 qualifie de haut risque, via l’article 6, paragraphe 2, les systèmes énumérés à l’annexe III. Deux points concernent directement la finance :

  • Point 5(b) : les systèmes d’IA destinés à être utilisés pour évaluer la solvabilité de personnes physiques ou établir leur score de crédit. Le texte prévoit une exception pour les systèmes utilisés aux fins de détection de la fraude financière — ceux-ci ne relèvent pas de cette qualification à ce titre.
  • Point 5© : les systèmes d’IA destinés à l’évaluation des risques et à la tarification en matière d’assurance vie et d’assurance maladie à l’égard des personnes physiques.

Ces systèmes déclenchent les obligations des articles 8 à 15, applicables à compter du 2 août 2026 pour les systèmes de l’annexe III. Les règles sur les modèles à usage général (chapitre V) s’appliquent, elles, depuis le 2 août 2025. Le calendrier de l’AI Act récapitule l’ensemble.

Une nuance importante : l’article 6, paragraphe 3, prévoit qu’un système listé à l’annexe III peut ne pas être considéré comme à haut risque s’il ne présente pas de risque significatif d’atteinte, par exemple parce qu’il exécute une tâche procédurale étroite. Cette dérogation est d’interprétation stricte et doit être documentée ; les lignes directrices de la Commission sur son application restent en cours de précision. Ne présumez pas en bénéficier sans analyse rigoureuse.

Le RGPD et l’article 22

Un refus de crédit fondé sur un scoring algorithmique est l’exemple canonique de la décision individuelle automatisée encadrée par l’article 22 du RGPD : une décision produisant des effets juridiques ou significatifs, prise sur le seul fondement d’un traitement automatisé, est en principe interdite sauf exceptions (nécessité contractuelle, consentement explicite, autorisation légale), assorties du droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester. La CNIL est particulièrement attentive à ce contentieux. Notre analyse des décisions automatisées et RGPD détaille ce régime.

La supervision ACPR

L’Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, supervise banques et assurances. Elle est appelée à jouer un rôle d’autorité sectorielle dans la surveillance du marché de l’IA financière, en coordination avec la CNIL sur le volet données. Les établissements doivent donc composer avec une double logique de contrôle : prudentielle et « produit IA ».

DORA et la résilience opérationnelle

Le règlement (UE) 2022/2554 (DORA), applicable depuis le 17 janvier 2025, impose aux entités financières un cadre de gestion du risque lié aux technologies de l’information : résilience des systèmes, gestion des incidents, tests, et surtout maîtrise des prestataires tiers critiques — au premier rang desquels les fournisseurs de modèles et d’infrastructure d’IA. Un système de scoring reposant sur un modèle externe entre dans le périmètre de la gestion du risque tiers de DORA.

Cartographie des usages : quel régime pour quel système ?

Usage IA Statut AI Act Régimes cumulés
Scoring de crédit / évaluation de solvabilité Haut risque (annexe III 5b) RGPD art. 22, ACPR, DORA
Tarification assurance vie / santé Haut risque (annexe III 5c) RGPD art. 9 possible, ACPR, DORA
Détection de fraude Exclu de 5(b) à ce titre RGPD, DORA, à requalifier au cas par cas
Chatbot relation client Transparence (art. 50) RGPD, DORA
Lutte anti-blanchiment (LCB-FT) À qualifier RGPD, obligations LCB-FT

La détection de fraude mérite une attention particulière : exclue de la qualification au titre du point 5(b), elle n’est pas pour autant hors de tout régime — le RGPD et DORA continuent de s’appliquer, et une requalification reste possible selon les autres points de l’annexe III. Notre grille de classification des risques IA aide à trancher chaque cas.

Le risque de discrimination : le cœur du sujet

L’exigence la plus structurante de l’AI Act pour la finance tient à la gouvernance des données (article 10). Les jeux de données d’entraînement, de validation et de test doivent être pertinents, suffisamment représentatifs, et faire l’objet d’un examen visant à détecter d’éventuels biais susceptibles de porter atteinte aux droits fondamentaux ou de conduire à des discriminations prohibées.

Le danger, en scoring, tient aux variables corrélées (proxies) : le code postal, le type d’employeur, l’historique bancaire peuvent servir de substituts à des caractéristiques protégées (origine, genre) sans que la variable protégée soit jamais utilisée directement. Un modèle formellement « neutre » peut ainsi produire un effet discriminatoire indirect. L’AI Act impose de tester ces biais ; le droit de la non-discrimination sanctionne leurs effets. L’article 10, paragraphe 5, autorise d’ailleurs, sous garanties strictes, le traitement de données sensibles (article 9 RGPD) aux seules fins de détection et de correction de ces biais — une exception à manier avec précaution.

Sur les mécanismes de discrimination algorithmique et les méthodes d’audit, voir notre article dédié à l’IA et la discrimination, ainsi que nos développements sur l’audit algorithmique.

La difficulté est double. Sur le plan technique, détecter un biais indirect suppose des métriques d’équité (taux de sélection comparés entre groupes, écarts de traitement à situation équivalente) et une capacité à tester le modèle sur des populations différenciées — ce qui, paradoxalement, peut nécessiter de traiter des données de catégories protégées à seule fin de contrôle. Sur le plan juridique, l’entreprise doit distinguer la différenciation légitime (fondée sur un risque réel et objectivement mesuré) de la discrimination prohibée (fondée, directement ou indirectement, sur une caractéristique protégée). Un écart de tarification ou de décision n’est pas illicite en soi ; il le devient lorsqu’il n’est pas justifié par un motif objectif et proportionné. C’est cette frontière que la documentation du modèle doit permettre d’établir, en cas de contrôle comme en cas de contentieux.

Obligations concrètes : fournisseur et déployeur

Un établissement qui développe son propre moteur de scoring en interne est fournisseur au sens de l’AI Act et supporte les obligations de l’article 16 : gestion des risques, gouvernance des données, documentation technique, journalisation, transparence, surveillance humaine, robustesse, évaluation de conformité, enregistrement. Un établissement qui achète un moteur à un éditeur est déployeur (article 26) : usage conforme, surveillance humaine, information, conservation des journaux. La frontière — et le risque de bascule en cas de fine-tuning maison — est développée dans notre article fournisseur ou déployeur AI Act.

Dans tous les cas, l’établissement reste responsable de traitement au sens du RGPD et doit conduire une analyse d’impact (AIPD) — quasi systématique pour un scoring à grande échelle — et désigner un DPO.

L’explicabilité, exigence commune

Trois régimes convergent vers une même exigence : la capacité d’expliquer une décision. L’article 22 du RGPD ouvre un droit à l’intervention humaine et à la contestation ; l’AI Act impose transparence et surveillance humaine ; l’ACPR attend une maîtrise des modèles. Un système de scoring « boîte noire » impossible à expliquer à un client débouté est intenable juridiquement. La documentation et l’explicabilité ne sont pas des options.

Piloter cette conformité multi-régimes — AI Act, RGPD, DORA, exigences ACPR — suppose un référentiel unique qui rattache à chaque modèle sa qualification, ses obligations et sa documentation. Des plateformes de gouvernance comme Legiscope permettent de centraliser cette cartographie et d’articuler le registre des systèmes d’IA avec le registre des traitements RGPD.

Recommandations opérationnelles

  1. Inventoriez et qualifiez chaque modèle : scoring, tarification, fraude, LCB-FT — dans un registre des systèmes d’IA.
  2. Testez les biais systématiquement, y compris les proxies, et documentez les résultats (article 10).
  3. Garantissez l’intervention humaine sur toute décision produisant un effet significatif (article 22 RGPD).
  4. Intégrez DORA : traitez les fournisseurs de modèles comme des prestataires tiers TIC.
  5. Préparez l’explicabilité : construisez, en amont, la capacité de motiver chaque décision défavorable.
  6. Anticipez le 2 août 2026 pour les systèmes de l’annexe III.

FAQ

Tout scoring de crédit est-il à haut risque ?

Les systèmes d’IA destinés à évaluer la solvabilité ou à établir un score de crédit des personnes physiques relèvent de l’annexe III, point 5(b), et sont donc à haut risque — sauf ceux utilisés aux fins de détection de la fraude financière, expressément exclus à ce titre. Une dérogation étroite de l’article 6, paragraphe 3, existe pour les tâches purement procédurales, mais elle est d’interprétation stricte et doit être documentée.

La détection de fraude échappe-t-elle à toute obligation ?

Non. Elle est exclue de la qualification haut risque au titre du point 5(b), mais reste soumise au RGPD, à DORA et aux obligations sectorielles. Selon son architecture et sa finalité, elle peut par ailleurs relever d’autres points de l’annexe III. Chaque système doit être qualifié individuellement.

Comment articuler AI Act et supervision ACPR ?

Les deux régimes coexistent. L’AI Act impose des obligations « produit IA » (gouvernance, documentation, surveillance humaine) ; l’ACPR conserve sa supervision prudentielle et sectorielle et est appelée à intervenir dans la surveillance du marché de l’IA financière. Les établissements doivent satisfaire les deux logiques, en coordination avec la CNIL sur le volet données personnelles.

Un client peut-il exiger l’explication d’un refus de crédit automatisé ?

Oui. L’article 22 du RGPD ouvre, pour les décisions entièrement automatisées produisant des effets significatifs, le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision — ce qui suppose une capacité d’explication. L’AI Act renforce cette exigence par ses obligations de transparence et de surveillance humaine.

Quel lien entre DORA et l’IA ?

DORA encadre le risque lié aux technologies de l’information des entités financières, y compris la dépendance aux prestataires tiers critiques. Un fournisseur de modèle d’IA ou d’infrastructure de calcul entre dans ce périmètre : il doit être intégré à la cartographie du risque tiers, aux tests de résilience et aux clauses contractuelles imposées par DORA depuis le 17 janvier 2025.

Comment prévenir la discrimination algorithmique en scoring ?

En appliquant l’article 10 de l’AI Act : examiner la représentativité des données, tester activement les biais — y compris ceux véhiculés par des variables corrélées à des caractéristiques protégées —, documenter ces tests et corriger les écarts. L’article 10, paragraphe 5, autorise, sous garanties strictes, le traitement de données sensibles aux seules fins de détection et de correction des biais.


Cet article présente le cadre applicable au 2 juillet 2026. L’application de la dérogation de l’article 6, paragraphe 3, et l’articulation avec la supervision ACPR font l’objet de lignes directrices encore en cours de publication. Vérifiez l’état du droit avant toute décision et faites-vous accompagner pour les modèles à fort enjeu.