Le 17 septembre 2025, l’Autorité de contrôle prudentiel et de résolution (ACPR) a organisé une réunion de place dédiée à la surveillance de l’intelligence artificielle (IA) dans le secteur financier.
Cette rencontre, qui s’inscrit dans le cadre de la mise en œuvre du Règlement européen sur l’IA (connu sous le nom d’IA-Act), vise à accompagner les acteurs du marché dans leur adaptation à cette nouvelle réglementation.
Basée sur l’hypothèse que l’ACPR sera désignée comme autorité de surveillance pour les usages spécifiques au secteur financier – proposition émise par la Direction générale des entreprises (DGE) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), en attente de validation parlementaire –, la présentation a mis l’accent sur les enjeux européens et nationaux. Au cours de cette réunion a été souligné l’urgence pour les institutions financières de se préparer à un cadre plus strict, tout en favorisant un dialogue constructif entre superviseurs et acteurs du secteur. Les points principaux à retenir sont les suivants :
Le Règlement IA, adopté par l’Union européenne, repose sur deux objectifs principaux : protéger la sécurité, la santé et les droits fondamentaux des citoyens, tout en créant un marché unique de l’IA fiable. Inspiré des normes de sécurité des produits, ce texte trans-sectoriel adopte une approche basée sur les risques, classés en quatre niveaux, du minimal à l’inacceptable, avec une catégorie supplémentaire pour les IA à usage général (IAUG), comme les modèles génératifs.
Dans le secteur financier, deux usages spécifiques sont qualifiés de « haut risque » selon l’Annexe III. Les obligations pour ces systèmes à haut risque sont rigoureuses : gestion itérative des risques, utilisation de données de haute qualité, documentation technique détaillée, transparence et interprétabilité, surveillance humaine pour minimiser les risques résiduels, ainsi que robustesse, exactitude et cybersécurité tout au long du cycle de vie.
Ces exigences visent à instaurer une confiance accrue, non seulement pour les consommateurs, mais aussi pour assurer des conditions de concurrence équitables, y compris avec les acteurs extra-européens. Comme l’a rappelé Nathalie Aufauvre, secrétaire générale de l’ACPR, lors de l’introduction, ce cadre réglementaire marque un tournant vers une IA responsable, évitant les dérives tout en promouvant l’innovation.
Une grande partie de la réunion s’est concentrée sur la gouvernance européenne du Règlement. Au niveau de l’UE, le Bureau européen de l’IA (AI Office) joue un rôle central en veillant à l’application cohérente du texte, en supervisant les modèles d’IAUG et en facilitant l’adoption de codes de bonnes pratiques.
Il est assisté par le Comité européen de l’IA (AI Board), qui coordonne les autorités nationales, un Forum consultatif regroupant des parties prenantes (entreprises, société civile, universités), et un Groupe scientifique d’experts indépendants chargé d’alerter sur les risques systémiques.
Dans le secteur financier, un sous-groupe dédié au sein de l’AI Board examine les interactions entre le Règlement IA et la réglementation sectorielle. Les autorités européennes de supervision (ESAs), comme l’Autorité bancaire européenne (EBA), l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) et l’Autorité européenne des marchés financiers (ESMA), assistent les États membres dans cette mise en œuvre.
Des travaux de cartographie sont en cours pour identifier les chevauchements, contradictions ou lacunes entre le Règlement IA et les textes existants, tels que le CRR/CRD pour le prudentiel bancaire ou les guidelines de l’EBA sur l’octroi de prêts et la gouvernance interne.
Les premiers enseignements de ces cartographies, présentés lors de la réunion, sont encourageants : le Règlement IA et la réglementation financière européenne sont globalement complémentaires, sans contradictions majeures identifiées.
Toutefois, des ajustements techniques pourraient s’avérer nécessaires, et une évaluation plus approfondie dépendra de clarifications futures. L’ACPR plaide pour une application minimisant la charge pour les établissements, dans un objectif de simplification de la supervision européenne. L’EIOPA a déjà publié une opinion en août 2025, tandis que l’EBA poursuit ses travaux pour l’automne.
Un focus particulier a été porté sur les IA à usage général. Les guidelines de la Commission européenne, publiées en juillet 2025, précisent les exigences : documentation technique, informations pour les fournisseurs aval, politique de respect du droit d’auteur, et résumé public du contenu d’entraînement. Pour les modèles à risque systémique, des obligations supplémentaires en matière de sûreté et de cybersécurité s’appliquent.
Sur le plan national, l’ACPR se positionne comme l’autorité probable pour superviser les systèmes d’IA dans le secteur financier (cf. notre article « IA-Act / Attribution de compétence sectorialisée des autorités de régulation du marché »), couvrant les IAUG utilisées pour des cas à haut risque, ainsi que les systèmes classiques déployés par les institutions. Son rôle inclut la collecte d’informations, les contrôles de conformité, la gestion des non-conformités et la coordination avec d’autres autorités. Pour cela, l’ACPR dispose de pouvoirs étendus : requêtes d’informations (y compris données et code source si nécessaire), inspections inopinées et sanctions.
La feuille de route de l’ACPR vise trois objectifs à court terme : accompagner le secteur via communication et guidance, développer une méthodologie d’audit adaptée, et organiser en interne. Une réorganisation effective au 1er octobre 2025 crée la Direction de l’Innovation, des Données et des Risques Technologiques (DIDRIT), avec un service dédié à la surveillance des risques technologiques, intégrant le Règlement IA et DORA (résilience numérique).
Enfin, l’ACPR renforce sa communication : réunions régulières (au printemps 2026), page dédiée sur son site avec FAQ et vidéos, et une adresse email pour suggestions (Reglement-ia@acpr.banque-france.fr).
Dans une interview qu’il a récemment accordé au Parisien, le nouveau Premier ministre est notamment revenu sur les deux projets de budgets, dont le projet de loi de financement de la Sécurité sociale (PLFSS), qu’il doit présenter d’ici peu au Parlement. Dans ce cadre, il a néanmoins encore entretenu le flou quant aux mesures concrètes qui […]
En septembre 2025, Tracfin, le service de renseignement financier du ministère de l’Économie et des Finances (Bercy), a publié le deuxième tome de son rapport d’activité pour l’année 2024. Ce document exhaustif met en évidence l’évolution significative du rôle de Tracfin dans la détection et la prévention des flux financiers illicites, renforçant ainsi sa position […]
L’ACPR a publié en novembre 2024 une révision majeure de sa recommandation sur le devoir de conseil. Cette évolution, qui entrera en vigueur le 31 décembre 2025, marque un tournant : les distributeurs devront accompagner leurs clients tout au long de la vie du contrat et non plus seulement au moment de la souscription. Pour […]
