Le 17 septembre 2025, l’Autorité de contrôle prudentiel et de résolution (ACPR) a organisé une réunion de place dédiée à la surveillance de l’intelligence artificielle (IA) dans le secteur financier.
Cette rencontre, qui s’inscrit dans le cadre de la mise en œuvre du Règlement européen sur l’IA (connu sous le nom d’IA-Act), vise à accompagner les acteurs du marché dans leur adaptation à cette nouvelle réglementation.
Basée sur l’hypothèse que l’ACPR sera désignée comme autorité de surveillance pour les usages spécifiques au secteur financier – proposition émise par la Direction générale des entreprises (DGE) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), en attente de validation parlementaire –, la présentation a mis l’accent sur les enjeux européens et nationaux. Au cours de cette réunion a été souligné l’urgence pour les institutions financières de se préparer à un cadre plus strict, tout en favorisant un dialogue constructif entre superviseurs et acteurs du secteur. Les points principaux à retenir sont les suivants :
Le Règlement IA, adopté par l’Union européenne, repose sur deux objectifs principaux : protéger la sécurité, la santé et les droits fondamentaux des citoyens, tout en créant un marché unique de l’IA fiable. Inspiré des normes de sécurité des produits, ce texte trans-sectoriel adopte une approche basée sur les risques, classés en quatre niveaux, du minimal à l’inacceptable, avec une catégorie supplémentaire pour les IA à usage général (IAUG), comme les modèles génératifs.
Dans le secteur financier, deux usages spécifiques sont qualifiés de « haut risque » selon l’Annexe III. Les obligations pour ces systèmes à haut risque sont rigoureuses : gestion itérative des risques, utilisation de données de haute qualité, documentation technique détaillée, transparence et interprétabilité, surveillance humaine pour minimiser les risques résiduels, ainsi que robustesse, exactitude et cybersécurité tout au long du cycle de vie.
Ces exigences visent à instaurer une confiance accrue, non seulement pour les consommateurs, mais aussi pour assurer des conditions de concurrence équitables, y compris avec les acteurs extra-européens. Comme l’a rappelé Nathalie Aufauvre, secrétaire générale de l’ACPR, lors de l’introduction, ce cadre réglementaire marque un tournant vers une IA responsable, évitant les dérives tout en promouvant l’innovation.
Une grande partie de la réunion s’est concentrée sur la gouvernance européenne du Règlement. Au niveau de l’UE, le Bureau européen de l’IA (AI Office) joue un rôle central en veillant à l’application cohérente du texte, en supervisant les modèles d’IAUG et en facilitant l’adoption de codes de bonnes pratiques.
Il est assisté par le Comité européen de l’IA (AI Board), qui coordonne les autorités nationales, un Forum consultatif regroupant des parties prenantes (entreprises, société civile, universités), et un Groupe scientifique d’experts indépendants chargé d’alerter sur les risques systémiques.
Dans le secteur financier, un sous-groupe dédié au sein de l’AI Board examine les interactions entre le Règlement IA et la réglementation sectorielle. Les autorités européennes de supervision (ESAs), comme l’Autorité bancaire européenne (EBA), l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) et l’Autorité européenne des marchés financiers (ESMA), assistent les États membres dans cette mise en œuvre.
Des travaux de cartographie sont en cours pour identifier les chevauchements, contradictions ou lacunes entre le Règlement IA et les textes existants, tels que le CRR/CRD pour le prudentiel bancaire ou les guidelines de l’EBA sur l’octroi de prêts et la gouvernance interne.
Les premiers enseignements de ces cartographies, présentés lors de la réunion, sont encourageants : le Règlement IA et la réglementation financière européenne sont globalement complémentaires, sans contradictions majeures identifiées.
Toutefois, des ajustements techniques pourraient s’avérer nécessaires, et une évaluation plus approfondie dépendra de clarifications futures. L’ACPR plaide pour une application minimisant la charge pour les établissements, dans un objectif de simplification de la supervision européenne. L’EIOPA a déjà publié une opinion en août 2025, tandis que l’EBA poursuit ses travaux pour l’automne.
Un focus particulier a été porté sur les IA à usage général. Les guidelines de la Commission européenne, publiées en juillet 2025, précisent les exigences : documentation technique, informations pour les fournisseurs aval, politique de respect du droit d’auteur, et résumé public du contenu d’entraînement. Pour les modèles à risque systémique, des obligations supplémentaires en matière de sûreté et de cybersécurité s’appliquent.
Sur le plan national, l’ACPR se positionne comme l’autorité probable pour superviser les systèmes d’IA dans le secteur financier (cf. notre article « IA-Act / Attribution de compétence sectorialisée des autorités de régulation du marché »), couvrant les IAUG utilisées pour des cas à haut risque, ainsi que les systèmes classiques déployés par les institutions. Son rôle inclut la collecte d’informations, les contrôles de conformité, la gestion des non-conformités et la coordination avec d’autres autorités. Pour cela, l’ACPR dispose de pouvoirs étendus : requêtes d’informations (y compris données et code source si nécessaire), inspections inopinées et sanctions.
La feuille de route de l’ACPR vise trois objectifs à court terme : accompagner le secteur via communication et guidance, développer une méthodologie d’audit adaptée, et organiser en interne. Une réorganisation effective au 1er octobre 2025 crée la Direction de l’Innovation, des Données et des Risques Technologiques (DIDRIT), avec un service dédié à la surveillance des risques technologiques, intégrant le Règlement IA et DORA (résilience numérique).
Enfin, l’ACPR renforce sa communication : réunions régulières (au printemps 2026), page dédiée sur son site avec FAQ et vidéos, et une adresse email pour suggestions (Reglement-ia@acpr.banque-france.fr).
Dans un contexte de contrainte budgétaire, le Gouvernement a annoncé un plan visant à économiser 43,8 milliards d’euros et fait de la lutte contre la fraude sociale et fiscale une priorité. Une première batterie de mesures a ainsi vu le jour avec la Loi n° 2025-594 du 30 juin 2025 contre toutes les fraudes aux aides publiques.
Poursuivant sa feuille de route, le Gouvernement entend cependant s’intéresser, cette fois-ci, plus spécifiquement, à la fraude sociale et fiscale en renforçant les contrôles et en élargissant les sanctions. Dans ce cadre, un nouveau de projet de loi devrait être prochainement déposé.
Ce texte devrait ainsi notamment comprendre des dispositions qui avaient été votées dans le dernier projet de loi de financement de la sécurité sociale (PLFSS) puis censurées par le Conseil Constitutionnel en tant que cavaliers législatifs, et intégrer également de nouvelles prérogatives pour mieux armer l’administration face aux comportements frauduleux.
Ainsi, le texte reprendrait le lot de mesures visant l’amélioration des échanges d’informations fiscales et sociales entre les différents acteurs concernés, la géolocalisation des transports sanitaires, le renforcement des sanctions pour fraude organisée et l’introduction d’une procédure de « flagrance sociale ».
L’article 3 de ce projet, intitulé « Renforcement des échanges d’information entre assurance maladie et complémentaires santé », revêtira en outre une importance particulière pour les OCAM, puisqu’en instaurant un cadre légal, il devrait permettre :
Dans son rapport d’activité publié le 2 septembre 2025, le Médiateur de l’assurance, Arnaud CHNEIWEISS, relève une hausse spectaculaire des saisines de +17 %, avec plus de 40 700 dossiers traités en un an. Il explique cette hausse par le fait que les assurés seraient mieux informés de la possibilité d’un recours gratuit au processus de médiation, notamment depuis l’entrée en vigueur depuis 2023 de la recommandation de l’ACPR sur le traitement des réclamations.
Jamais par ailleurs le taux de satisfaction n’avait été aussi élevé : 55 % des saisines aboutissent à un accord favorable, en tout ou partie, au profit du réclamant. Dans un tiers des dossiers recevables, les assureurs eux-mêmes prennent l’initiative d’une proposition amiable dès la saisine, marquant une coopération inédite avec la médiation ; attitude qui contribue à apaiser les tensions et à renforcer la confiance des assurés dans la procédure.
Sur le contexte des saisines, un peu plus d’un tiers visait des assurances de personnes, les contrats de complémentaire santé (23 %) et d’assurance emprunteur (20 %) ainsi que les contrats de prévoyance individuels ou collectifs (pertes de revenus, incapacité, invalidité, décès), demeurant les principales sources de litiges.
Les Etats membres avaient jusqu’au 2 aout 2025 pour désigner leur autorité nationale compétente en charge de surveiller et de contrôler la conformité des systèmes d’IA en application du règlement (cf. édition bulletin juil. 2025).
Aussi, si très peu de doutes subsistaient quant à la désignation naturelle de l’ACPR en tant que régulateur pour la mise en œuvre du règlement vis-à-vis des acteurs du secteur financier (banques, assurances, mutuelles…), la Frances semble cependant avoir opter pour un schéma de gouvernance plus global, coordonné autour de plusieurs autorités, adoptant une approche décentralisée des compétences.
Par une communication du 15 septembre, l’ACPR s’adresse aux professionnels de la chaine de distribution des contrats d’assurance en effectuant un rappel de la règlementation en vigueur en matière de démarchage téléphonique et alerte sur les manquements observés au cours de ses différents contrôles (notamment menés en 2023).
Une deuxième communication, du même jour, s’adresse en outre aux consommateurs afin de les sensibiliser quant aux obligations qui s’imposent aux professionnels du secteur, lorsqu’ils sont démarchés par téléphone.
Dans ce cadre, l’Autorité cible particulièrement les plateformes établies hors de l’Espace Economique Européen (EEE) et notamment celles implantées en Afrique du Nord souvent responsables de manquements tels que : l’absence de recueil du consentement, ou consentement non matérialisé ou encore recueilli de manière douteuse, les pratiques commerciales agressives (multi-souscriptions de garanties à finalités identiques notamment auprès de personnes vulnérables, des lacunes dans l’information au consommateur.
¤ Champ d’application :
L’Autorité insiste sur le fait que toute la chaine de distribution des contrats d’assurance est concernée par les obligations règlementaires y compris les succursales des intermédiaires implantées dans un pays tiers ne peuvent distribuer des contrats d’assurance pour des risques et engagements situés en France.
¤ Rôle des acteurs de la chaine :
Concernant les animateurs de réseaux (« courtiers grossistes »), l’ACPR rappelle les obligations qui pèsent sur eux dans le cadre de la distribution de produits d’assurance et en particulier leur rôle clé dans le contrôle des pratiques de distribution de leurs partenaires (s’assurer que leurs partenaires s’exercent pas d’activités illégales, ne recourent pas à des plateformes implantées dans un pays hors EEE, mettre en place des mécanismes de contrôle et d’audits afin de s’assurer de la conformité des pratiques…).
Concernant les concepteurs de produits d’assurance, l’Autorité vise naturellement les assureurs. Etant les acteurs centraux, ceux-ci doivent ainsi s’assurer de la maitrise des risques de conformité, vérifier l’action de leurs partenaires, l’identifier des risques liés à la distribution de leurs produits…
Consultez ici l’intégralité des documents : Publication à destination des professionnels de l’assurance (ACPR, 15 sept. 2025) ; Publication à destination des consommateurs (ACPR, 15 sept. 2025)
Le 23 septembre 2025, la CNIL a sanctionné le célèbre magasin La Samaritaine d’une amende de 100 000 euros pour avoir installé des caméras de surveillance dissimulées dans les réserves et de ne pas en avoir informé ses salariés.
Ces caméras prenaient l’aspect de détecteurs de fumée et permettaient d’enregistrer des images et du son.
3 manquements observés par la CNIL :
Le 9 septembre 2025, les Autorités Européennes de Surveillance (AES) – composées de l’Autorité Bancaire Européenne (ABE), de l’Autorité Européenne des Assurances et des Pensions Professionnelles (EIOPA) et de l’Autorité Européenne des Marchés Financiers (ESMA) – ont publié leur quatrième rapport annuel titré « Principal Adverse Impact Disclosures under the Sustainable Finance Disclosure Regulation », qui analyse les impacts des principales incidences négatives (PAI, pour Principal Adverse Impacts) en vertu de l’article 18 du Règlement sur la Divulgation en Matière de Finance Durable (SFDR, Regulation (EU) 2019/2088).
Ce document évalue notamment l’étendue des divulgations volontaires au niveau des entités et des produits financiers, tout en tenant compte des implications des pratiques de diligence raisonnable. Il s’appuie sur les rapports précédents (2022, 2023 et 2024) pour identifier les progrès, les tendances persistantes et les recommandations visant à renforcer la transparence dans le secteur financier européen.
Rappelons que le Règlement SFDR, adopté en 2019, impose des obligations de divulgation pour promouvoir une finance plus durable.
Les divulgations PAI au niveau des entités sont obligatoires pour les entités employant plus de 500 salariés, tandis que les plus petites entités peuvent opter pour le principe comply-or-explain en matière de PAI, mais doivent respecter les règles détaillées du Règlement Délégué SFDR (Annexe I) si elles choisissent de divulguer. Au niveau des produits, les divulgations sont requises depuis le 30 décembre 2022 pour les produits appliquant l’article 4(1)(a) du SFDR.
Le 23 septembre 2025, le CEPD publie un « TechDispatch » portant sur la supervision humaine de la prise de décision automatisée.
Un « TechDispatch » est un moyen pour le CEPD de développer une explication portant sur une nouvelle technologie impactant directement les données personnelles et les droits fondamentaux des personnes concernées. Le contrôleur européen s’attarde alors à présenter les enjeux, les risques mais aussi les bonnes pratiques à adopter au sein de son organisme. Ces explications ont pour vocation d’avertir les entités afin de limiter les risques liés à la technologie présentée.
Ainsi, dans ce « TechDispatch », le CEPD présente une forme d’intelligence artificielle vouée à se développer de façon accrue et ce dans de nombreux secteurs, dont notamment le secteur assurantiel et bancaire : l’IA de prise de décision automatisée.
Le CEPD rappelle alors l’importance de l’intervention humaine dans ce type d’intelligences artificielles. En effet, il est important de noter qu’une intelligence artificielle est obligatoirement biaisée, celle-ci étant réalisée à l’origine par un humain et récoltant des données et des informations qui peuvent elles-mêmes être erronées. Ainsi, l’utilisation d’une IA prenant des décisions de façon automatisée pourrait conduire à un traitement injuste ou à différentes erreurs.
Le 9 septembre 2025, l’AMF a prononcé une sanction d’un montant de 400 000 € à l’encontre de la société de gestion ETERNAM pour des manquements graves en matière de LCB-FT.
Les principaux manquements relevés sont les suivants :
Le 24 septembre 2025, l’Assurance Maladie, l’UNOCAM et les principales fédérations du transport sanitaire ont signé un nouveau protocole d’accord de maîtrise des dépenses, autour de plusieurs axes prioritaires : mesures de pertinence, ajustements tarifaires, accompagnement des professionnels…
Cet accord a été approuvé par arrêté du 29 septembre 2025.
Aux termes de ce protocole, l’objectif pour l’AMO est de réaliser 150 millions d’euros d’économies à l’horizon 2027 dans le champ des transports sanitaires remboursés, en s’appuyant sur des axes d’évolution des pratiques et d’organisation du secteur tels que ceux visant à :
