Trustly AI

IA dans les banques : cartographie de la regulation 2026

Par Laurent Duplat - Directeur publication VAULT 369 LTD - 23 April 2026 - Lecture 12 min
IA dans les banques : cartographie de la regulation 2026

Executive Summary

La vague réglementaire qui déferle sur le secteur bancaire européen en 2026 n'est pas un phénomène isolé : elle constitue la convergence de quatre cadres normatifs majeurs — AI Act, DORA, MiCA et NIS2 — auxquels s'ajoutent les recommandations contraignantes de l'ACPR et de l'EBA. Pour les établissements de crédit, l'équation est désormais claire : tout système d'intelligence artificielle déployé dans le cadre du scoring de crédit, de la détection de blanchiment, du KYC ou de la gestion des risques de marché est présumé à haut risque au sens du règlement européen. Les coûts de mise en conformité estimés pour un établissement de taille intermédiaire oscillent entre 12 et 35 millions d'euros sur la période 2024-2027, selon les données consolidées par l'EBA dans son rapport de suivi publié en mars 2025. Les amendes potentielles, elles, peuvent atteindre 7 % du chiffre d'affaires mondial annuel. La fenêtre pour structurer une gouvernance IA solide se referme.

---

Contexte de marché : l'IA bancaire sous pression normative

Le marché de l'IA dans les services financiers européens atteignait 22,6 milliards d'euros en 2025, avec un taux de croissance annuel composé projeté à 21,4 % jusqu'en 2028, selon les données de l'European Banking Federation. Cette expansion s'accompagne d'une exposition réglementaire sans précédent. En 2024, les régulateurs européens ont infligé plus de 4,2 milliards d'euros d'amendes agrégées au secteur financier pour des manquements liés à la gouvernance des données, aux systèmes algorithmiques et aux dispositifs de contrôle interne — un chiffre en hausse de 34 % par rapport à 2023.

Les établissements français ne sont pas épargnés. La Société Générale a fait l'objet d'une procédure de l'ACPR en 2024 portant sur l'opacité de ses modèles de scoring utilisés dans l'octroi de crédit à la consommation, avec une injonction formelle de mise en conformité assortie d'un délai de dix-huit mois. BNP Paribas a quant à elle publié en janvier 2025 son premier rapport public de gouvernance IA, reconnaissant explicitement l'application du cadre haut risque à sept de ses systèmes d'automatisation décisionnelle. Deutsche Bank, sous la supervision de la BaFin, a provisionné 180 millions d'euros en 2024 pour couvrir les coûts de remédiation liés à ses modèles AML automatisés, jugés insuffisamment explicables. HSBC, enfin, a restructuré son AI Governance Board en 2025 pour intégrer un Chief AI Risk Officer rattaché directement au Chief Risk Officer groupe, une évolution que l'EBA cite en exemple dans ses orientations de janvier 2026.

---

Le socle réglementaire : quatre cadres en interaction

AI Act : la classification haut risque comme pivot central

Le règlement (UE) 2024/1689, entré en application progressive depuis août 2024, constitue la colonne vertébrale de la régulation IA bancaire. Son annexe III, point 5, classe explicitement comme systèmes à haut risque les systèmes d'IA utilisés pour l'évaluation de la solvabilité des personnes physiques, la notation de crédit, la souscription d'assurance-vie et la détection de fraude dans les transactions financières.

Pour les banques, les obligations concrètes sont les suivantes :

Le calendrier d'application mérite attention : les obligations relatives aux systèmes à haut risque listés à l'annexe III sont pleinement applicables depuis août 2026 pour les nouveaux systèmes, avec une période transitoire courant jusqu'en août 2027 pour les systèmes existants déjà déployés avant l'entrée en vigueur.

DORA : la résilience opérationnelle des tiers IA

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA), applicable depuis janvier 2025, introduit une dimension critique souvent sous-estimée : la gestion du risque lié aux prestataires tiers de technologies, au premier rang desquels figurent les fournisseurs de solutions IA en mode cloud — Microsoft Azure AI, Google Vertex AI, AWS Bedrock.

L'article 28 de DORA impose aux établissements financiers de maintenir un registre complet de leurs arrangements contractuels avec les prestataires tiers de services TIC. Pour les prestataires critiques — désignés par les autorités de surveillance européennes via le mécanisme de l'article 31 — des audits directs par les régulateurs sont désormais possibles. Les banques qui externalisent des composantes IA critiques sans disposer de clauses contractuelles conformes aux normes techniques réglementaires (RTS) publiées par les AES en janvier 2024 s'exposent à des sanctions pouvant atteindre 1 % du chiffre d'affaires journalier moyen mondial.

La Banque de France, dans sa communication du 15 février 2025, a précisé que les modèles de langage de grande taille (LLM) utilisés dans des processus décisionnels financiers — analyse de contrats, génération de rapports réglementaires, assistance au trading — entrent dans le périmètre DORA dès lors qu'ils sont hébergés chez un tiers et intégrés dans des processus critiques.

MiCA : la couche crypto-actifs

Le règlement (UE) 2023/1114 sur les marchés de crypto-actifs, pleinement applicable depuis décembre 2024, concerne les banques qui opèrent ou envisagent d'opérer dans les activités de conservation, d'échange ou d'émission de crypto-actifs. L'interaction avec l'IA est directe : les algorithmes de détection d'abus de marché sur crypto-actifs, les systèmes de scoring de contreparties crypto et les moteurs de valorisation d'actifs numériques entrent simultanément dans le périmètre MiCA et dans celui de l'AI Act.

L'ESMA a publié en septembre 2025 des orientations précisant que les systèmes d'IA utilisés pour la surveillance des marchés de crypto-actifs doivent satisfaire aux exigences d'explicabilité de l'AI Act, tout en respectant les obligations de reporting de MiCA. Cette double conformité génère des coûts de documentation et de validation supplémentaires estimés à 2,5 millions d'euros par système concerné, selon les travaux du groupe de travail conjoint ESMA-EBA.

NIS2 : la cybersécurité comme prérequis

La directive (UE) 2022/2555, transposée en droit français par la loi du 17 octobre 2024, s'applique aux banques en tant qu'entités essentielles. Elle impose des obligations de sécurité des systèmes d'information qui recoupent directement les exigences de l'AI Act en matière de robustesse et de cybersécurité des systèmes IA. Les incidents affectant des systèmes IA critiques doivent être notifiés à l'ANSSI dans un délai de 24 heures pour la notification initiale, 72 heures pour le rapport intermédiaire et un mois pour le rapport final.

---

Recommandations ACPR et EBA : l'explicabilité comme standard de facto

Position de l'ACPR

L'ACPR a publié en novembre 2024 son document de position sur l'utilisation de l'IA dans le secteur financier, établissant cinq principes directeurs : gouvernance, transparence, exactitude, résilience et protection des droits des personnes. Sur le volet explicabilité, l'ACPR adopte une position plus exigeante que le strict minimum de l'AI Act : elle recommande que tout modèle IA utilisé dans une décision ayant un impact sur un client individuel soit capable de fournir une explication de niveau "facteur contributif" — c'est-à-dire identifier les variables ayant le plus influencé la décision, avec leurs poids relatifs.

Cette exigence est directement liée au droit à l'explication prévu à l'article 22 du RGPD, que l'ACPR considère comme pleinement applicable aux décisions automatisées dans le crédit et l'assurance.

Orientations de l'EBA

L'EBA a publié en janvier 2026 ses orientations finales sur la gestion des risques liés à l'IA (EBA/GL/2026/01), qui s'imposent à toutes les institutions de crédit supervisées dans l'UE. Ces orientations introduisent le concept de "model risk management" aligné sur le standard américain SR 11-7 de la Fed, mais adapté au contexte européen. Trois niveaux de validation sont requis :

  1. Validation initiale : avant tout déploiement en production.
  2. Validation continue : surveillance des indicateurs de performance et de dérive des modèles (model drift).
  3. Validation de sortie : lors du retrait ou du remplacement d'un modèle.

---

Tableau comparatif : obligations par cadre réglementaire

Cadre Périmètre IA bancaire Exigence clé Sanction maximale Autorité compétente
AI Act (UE 2024/1689) Scoring crédit, AML, KYC, fraude Gouvernance, explicabilité, journalisation 7 % CA mondial AMF, ACPR (autorités notifiées)
DORA (UE 2022/2554) Tiers IA, cloud, infrastructures TIC Registre tiers, tests résilience, audit 1 % CA journalier ACPR, BCE (MSU)
MiCA (UE 2023/1114) IA sur crypto-actifs, surveillance marchés Double conformité AI Act + MiCA 5 % CA ou 700 K EUR AMF, ESMA
NIS2 (UE 2022/2555) Sécurité systèmes IA critiques Notification incidents 24h/72h/1 mois 10 M EUR ou 2 % CA ANSSI
Orientations EBA 2026 Tous systèmes IA décisionnels MRM à trois niveaux, gouvernance board Mesures supervisoires BCE, autorités nationales

---

Gouvernance IA : la structure organisationnelle requise

AI Governance Board : composition et mandat

Les orientations EBA 2026 et la position ACPR convergent sur la nécessité d'un AI Governance Board (AGB) distinct des comités de risques existants, ou d'une extension formalisée de ces derniers. La composition minimale recommandée inclut : le Chief Risk Officer, le Chief Data Officer, le Chief Compliance Officer, un représentant de la direction générale, et — innovation notable — un AI Ethics Officer dont le profil combine expertise technique et juridique.

Le mandat de cet AGB couvre l'approbation des nouveaux systèmes IA avant déploiement, la révision annuelle des systèmes existants, la validation des politiques de gestion des biais algorithmiques, et la supervision du registre des systèmes IA imposé par l'article 11 de l'AI Act.

Model Risk Management : le standard SR 11-7 européanisé

# Structure minimale d'un dossier de validation modèle IA (EBA/GL/2026/01)
model_validation_file:
  identification:
    model_id: "string - identifiant unique registre AI Act"
    risk_classification: "high_risk | limited_risk | minimal_risk"
    regulatory_perimeter: ["AI_Act", "DORA", "MiCA"]  # liste des cadres applicables
  
  pre_deployment_validation:
    conceptual_soundness: "documentation architecture et hypothèses"
    data_quality_assessment:
      training_data_bias_test: boolean
      data_lineage_documented: boolean
    performance_metrics:
      accuracy_threshold: float  # seuil défini par l'AGB
      fairness_metrics: ["demographic_parity", "equalized_odds"]
    explainability_method: "SHAP | LIME | attention_maps | règles_si_alors"
    human_oversight_protocol: "description dispositif supervision humaine"
  
  ongoing_monitoring:
    drift_detection:
      frequency: "mensuelle_minimum"
      psi_threshold: 0.2  # Population Stability Index
      alert_escalation: "CRO + AGB si PSI > seuil"
    performance_review_frequency: "trimestrielle"
    incident_reporting_nis2: "24h_initial | 72h_intermediaire | 30j_final"
  
  exit_validation:
    decommission_rationale: "string"
    data_retention_compliance: "RGPD article 5(1)(e)"
    successor_model_reference: "string"

Ce schéma de documentation, aligné sur les orientations EBA et les exigences de l'AI Act, constitue la base minimale attendue lors d'un contrôle sur place de l'ACPR ou de la BCE dans le cadre du MSU.

---

Estimation des coûts de conformité

Les données disponibles permettent d'établir une fourchette de coûts par catégorie d'établissement pour la période 2025-2027 :

Catégorie établissement Coût conformité AI Act Coût DORA (volet IA) Coût total estimé Source
Banque systémique (G-SIB) 45-80 M EUR 20-35 M EUR 65-115 M EUR EBA Discussion Paper, 2025
Banque de taille intermédiaire 12-25 M EUR 5-12 M EUR 17-37 M EUR Rapport BCG pour FBF, 2025
Établissement spécialisé 3-8 M EUR 2-5 M EUR 5-13 M EUR ACPR, bilan supervisory 2024

Ces estimations n'incluent pas les coûts d'opportunité liés aux systèmes qui devront être retirés ou profondément refondu pour satisfaire aux exigences d'explicabilité — une catégorie de coûts que le cabinet Oliver Wyman évalue à 15-20 % supplémentaires pour les établissements ayant massivement déployé des architectures de type boîte noire (réseaux de neurones profonds non interprétables).

---

Checklist de conformité prioritaire 2026

Les dirigeants et compliance officers doivent s'assurer que les actions suivantes ont été initiées ou complétées :

---

Risques résiduels et angles morts

Plusieurs zones d'incertitude subsistent que les établissements doivent intégrer dans leur cartographie des risques réglementaires. Premièrement, la question de l'IA générative : ni l'AI Act ni les orientations EBA actuelles ne traitent de manière exhaustive l'utilisation de LLM dans des processus bancaires internes — génération de contrats, synthèse de due diligence, assistance aux conseillers. La Commission européenne a annoncé un document de travail pour le deuxième trimestre 2026, mais l'incertitude juridique demeure. Deuxièmement, l'articulation entre l'AI Act et le RGPD sur la question des données d'entraînement n'est pas définitivement tranchée, surtout pour les modèles entraînés sur des données clients historiques. Le Comité européen de la protection des données (CEPD) a publié en avril 2025 des lignes directrices qui ne lèvent pas toutes les ambiguïtés. Troisièmement, le risque de fragmentation nationale : si le règlement AI Act est directement applicable, les États membres conservent une marge d'appréciation sur les sanctions et les modalités de supervision, ce qui crée un risque d'asymétrie concurrentielle entre établissements français, allemands et néerlandais.

---

Conclusion

La cartographie réglementaire 2026 de l'IA bancaire dessine un environnement normatif d'une densité inédite. La convergence de l'AI Act, de DORA, de MiCA et de NIS2, renforcée par les orientations contraignantes de l'EBA et les positions de l'ACPR, impose aux établissements de crédit une refonte structurelle de leur gouvernance des modèles — non pas comme exercice de conformité formel, mais comme condition d'exploitation durable.

Les établissements qui ont anticipé — BNP Paribas avec son rapport de gouvernance IA, HSBC avec son Chief AI Risk Officer — disposent d'une longueur d'avance mesurable en termes de coûts évités et de continuité opérationnelle. Ceux qui abordent 2026 sans inventaire complet de leurs systèmes IA, sans AI Governance Board opérationnel et sans méthode d'explicabilité déployée s'exposent à un risque cumulé : sanctions réglementaires, injonctions de suspension de systèmes critiques et, in fine, désavantage concurrentiel structurel face aux acteurs qui auront transformé la contrainte normative en avantage opérationnel.

Le coût de la conformité est élevé. Le coût de la non-conformité l'est davantage.

---

Sources de référence : Règlement (UE) 2024/1689 (AI Act), Règlement (UE) 2022/2554 (DORA), Règlement (UE) 2023/1114 (MiCA), Directive (UE) 2022/2555 (NIS2), EBA/GL/2026/01, Document de position ACPR novembre 2024, EBA Discussion Paper on AI in Financial Services EBA/DP/2023/02, Federal Reserve SR 11-7 Guidance on Model Risk Management, Rapport BCG pour la Fédération Bancaire Française 2025, Oliver Wyman AI Governance in European Banking 2025.

Laurent Duplat
Directeur de la publication, VAULT 369 LTD
Article publie sur https://trustly-ai.com/articles/ia-dans-les-banques-cartographie-de-la-regulation-2026 le 23 April 2026.