Le 17 septembre 2025, l’Autorité de contrôle prudentiel et de résolution (ACPR) a organisé une réunion de place dédiée à la surveillance de l’intelligence artificielle (IA) dans le secteur financier.
Cette rencontre, qui s’inscrit dans le cadre de la mise en œuvre du Règlement européen sur l’IA (connu sous le nom d’IA-Act), vise à accompagner les acteurs du marché dans leur adaptation à cette nouvelle réglementation.
Basée sur l’hypothèse que l’ACPR sera désignée comme autorité de surveillance pour les usages spécifiques au secteur financier – proposition émise par la Direction générale des entreprises (DGE) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), en attente de validation parlementaire –, la présentation a mis l’accent sur les enjeux européens et nationaux. Au cours de cette réunion a été souligné l’urgence pour les institutions financières de se préparer à un cadre plus strict, tout en favorisant un dialogue constructif entre superviseurs et acteurs du secteur. Les points principaux à retenir sont les suivants :
Le Règlement IA, adopté par l’Union européenne, repose sur deux objectifs principaux : protéger la sécurité, la santé et les droits fondamentaux des citoyens, tout en créant un marché unique de l’IA fiable. Inspiré des normes de sécurité des produits, ce texte trans-sectoriel adopte une approche basée sur les risques, classés en quatre niveaux, du minimal à l’inacceptable, avec une catégorie supplémentaire pour les IA à usage général (IAUG), comme les modèles génératifs.
Dans le secteur financier, deux usages spécifiques sont qualifiés de « haut risque » selon l’Annexe III. Les obligations pour ces systèmes à haut risque sont rigoureuses : gestion itérative des risques, utilisation de données de haute qualité, documentation technique détaillée, transparence et interprétabilité, surveillance humaine pour minimiser les risques résiduels, ainsi que robustesse, exactitude et cybersécurité tout au long du cycle de vie.
Ces exigences visent à instaurer une confiance accrue, non seulement pour les consommateurs, mais aussi pour assurer des conditions de concurrence équitables, y compris avec les acteurs extra-européens. Comme l’a rappelé Nathalie Aufauvre, secrétaire générale de l’ACPR, lors de l’introduction, ce cadre réglementaire marque un tournant vers une IA responsable, évitant les dérives tout en promouvant l’innovation.
Une grande partie de la réunion s’est concentrée sur la gouvernance européenne du Règlement. Au niveau de l’UE, le Bureau européen de l’IA (AI Office) joue un rôle central en veillant à l’application cohérente du texte, en supervisant les modèles d’IAUG et en facilitant l’adoption de codes de bonnes pratiques.
Il est assisté par le Comité européen de l’IA (AI Board), qui coordonne les autorités nationales, un Forum consultatif regroupant des parties prenantes (entreprises, société civile, universités), et un Groupe scientifique d’experts indépendants chargé d’alerter sur les risques systémiques.
Dans le secteur financier, un sous-groupe dédié au sein de l’AI Board examine les interactions entre le Règlement IA et la réglementation sectorielle. Les autorités européennes de supervision (ESAs), comme l’Autorité bancaire européenne (EBA), l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) et l’Autorité européenne des marchés financiers (ESMA), assistent les États membres dans cette mise en œuvre.
Des travaux de cartographie sont en cours pour identifier les chevauchements, contradictions ou lacunes entre le Règlement IA et les textes existants, tels que le CRR/CRD pour le prudentiel bancaire ou les guidelines de l’EBA sur l’octroi de prêts et la gouvernance interne.
Les premiers enseignements de ces cartographies, présentés lors de la réunion, sont encourageants : le Règlement IA et la réglementation financière européenne sont globalement complémentaires, sans contradictions majeures identifiées.
Toutefois, des ajustements techniques pourraient s’avérer nécessaires, et une évaluation plus approfondie dépendra de clarifications futures. L’ACPR plaide pour une application minimisant la charge pour les établissements, dans un objectif de simplification de la supervision européenne. L’EIOPA a déjà publié une opinion en août 2025, tandis que l’EBA poursuit ses travaux pour l’automne.
Un focus particulier a été porté sur les IA à usage général. Les guidelines de la Commission européenne, publiées en juillet 2025, précisent les exigences : documentation technique, informations pour les fournisseurs aval, politique de respect du droit d’auteur, et résumé public du contenu d’entraînement. Pour les modèles à risque systémique, des obligations supplémentaires en matière de sûreté et de cybersécurité s’appliquent.
Sur le plan national, l’ACPR se positionne comme l’autorité probable pour superviser les systèmes d’IA dans le secteur financier (cf. notre article « IA-Act / Attribution de compétence sectorialisée des autorités de régulation du marché »), couvrant les IAUG utilisées pour des cas à haut risque, ainsi que les systèmes classiques déployés par les institutions. Son rôle inclut la collecte d’informations, les contrôles de conformité, la gestion des non-conformités et la coordination avec d’autres autorités. Pour cela, l’ACPR dispose de pouvoirs étendus : requêtes d’informations (y compris données et code source si nécessaire), inspections inopinées et sanctions.
La feuille de route de l’ACPR vise trois objectifs à court terme : accompagner le secteur via communication et guidance, développer une méthodologie d’audit adaptée, et organiser en interne. Une réorganisation effective au 1er octobre 2025 crée la Direction de l’Innovation, des Données et des Risques Technologiques (DIDRIT), avec un service dédié à la surveillance des risques technologiques, intégrant le Règlement IA et DORA (résilience numérique).
Enfin, l’ACPR renforce sa communication : réunions régulières (au printemps 2026), page dédiée sur son site avec FAQ et vidéos, et une adresse email pour suggestions (Reglement-ia@acpr.banque-france.fr).
Les Etats membres avaient jusqu’au 2 aout 2025 pour désigner leur autorité nationale compétente en charge de surveiller et de contrôler la conformité des systèmes d’IA en application du règlement (cf. édition bulletin juil. 2025).
Aussi, si très peu de doutes subsistaient quant à la désignation naturelle de l’ACPR en tant que régulateur pour la mise en œuvre du règlement vis-à-vis des acteurs du secteur financier (banques, assurances, mutuelles…), la Frances semble cependant avoir opter pour un schéma de gouvernance plus global, coordonné autour de plusieurs autorités, adoptant une approche décentralisée des compétences.
Le 23 septembre 2025, le CEPD publie un « TechDispatch » portant sur la supervision humaine de la prise de décision automatisée.
Un « TechDispatch » est un moyen pour le CEPD de développer une explication portant sur une nouvelle technologie impactant directement les données personnelles et les droits fondamentaux des personnes concernées. Le contrôleur européen s’attarde alors à présenter les enjeux, les risques mais aussi les bonnes pratiques à adopter au sein de son organisme. Ces explications ont pour vocation d’avertir les entités afin de limiter les risques liés à la technologie présentée.
Ainsi, dans ce « TechDispatch », le CEPD présente une forme d’intelligence artificielle vouée à se développer de façon accrue et ce dans de nombreux secteurs, dont notamment le secteur assurantiel et bancaire : l’IA de prise de décision automatisée.
Le CEPD rappelle alors l’importance de l’intervention humaine dans ce type d’intelligences artificielles. En effet, il est important de noter qu’une intelligence artificielle est obligatoirement biaisée, celle-ci étant réalisée à l’origine par un humain et récoltant des données et des informations qui peuvent elles-mêmes être erronées. Ainsi, l’utilisation d’une IA prenant des décisions de façon automatisée pourrait conduire à un traitement injuste ou à différentes erreurs.
Fin mars 2025, Cybermalveillance.gouv a publié son rapport d’activité de l’année 2024, présentant ainsi l’état des lieux et les évolutions en matière de menaces cyber.
De façon générale, les attaques et les arnaques sont en constante augmentation d’une année à l’autre, le rapport fondant son analyse sur le nombre de demandes d’assistance reçues, leur origine (entreprises et associations, collectivités ou particuliers) et leur type.
Ainsi, les entreprises ont effectué +24 % de demandes d’assistance auprès de la plateforme par rapport à l’année 2023.
Cybermalveillance.gouv souligne en outre,
Le 11 mars dernier, le Sénat a examiné le projet de loi, initialement déposé courant octobre 2024, portant sur la résilience des infrastructures critiques et au renforcement de la cybersécurité. Dès le lendemain, il a été adopté puis déposé le 13 mars à l’Assemblée Nationale (en attente de calendrier).
Ce projet de loi résulte directement du besoin urgent de ces dernières années d’assurer la continuité des entreprises face aux cyberattaques de plus en plus agressives et efficaces. Dans ce contexte, il prévoit donc concrètement la transposition de trois Directives européennes adoptées en matière de cybersécurité des entreprises :
L’ACPR frappe de nouveau sur la sécurité des systèmes d’information ! En effet, elle vient de publier ce jeudi 12 février une nouvelle synthèse de son enquête sur la gestion de la sécurité des systèmes d’information des organismes d’assurance.
Elle y constate que, suite aux enquêtes précédentes auprès du secteur, celui-ci a pris une certaine conscience des enjeux et des risques impliquant une gestion spécifique par la fonction SSI ; fonction qui reste néanmoins encore peu incluse dans les décisions stratégiques.
L’année 2024 a été une année riche en documentation pour permettre aux organismes de se mettre en conformité par rapport à la réglementation DORA et anticiper la mise en place opérationnelle en 2025.
Entre textes européens et textes nationaux, entre impératifs et conseils des autorités, il est facile de se sentir rapidement perdu. Nous pouvons dès lors nous demander quelles sont les prochaines échéances, étapes, mais surtout quoi transmettre, comment, où et à qui.
Nous vous proposons donc de faire un petit point d’étape pour vous aider à y voir un peu plus clair sur l’année 2025 :
A l’occasion de l’entrée en application de DORA le 17 janvier 2025, l’ACPR a publié deux documents permettant aux entités assujetties de mieux s’y retrouver dans leurs obligations à court et moyen terme. L’autorité a en effet publié le formulaire de déclaration d’externalisation de notification des incidents TIC majeurs, mais surtout son premier paquet de questions/réponses à la FAQ DORA qui apporte de précieux renseignements sur ce qu’il faut renseigner, comment le renseigner et quand le renseigner.
Les éléments les plus marquants sont les suivants :
