K-AI
FREN
Demander une démo
SolutionComment ça marcheImpactActualitésPartenaires
FREN
Demander une démo
← Toutes les actualités
Presse · 20 mai 2026 · 10 min de lecture

AI Act côté métier : la checklist du Directeur Conformité en banque-assurance

AI Act côté métier : la checklist du Directeur Conformité en banque-assurance

AI Act et Directeur Conformité en banque-assurance : 6 obligations concrètes à installer avant le 2 août 2026, et les arbitrages qui se jouent maintenant.

Dans mes conversations avec des Directeurs Conformité de grandes maisons banque-assurance ces dernières semaines, le ton a changé. L’AI Act n’est plus un sujet à instruire — c’est un sujet à piloter. Les textes sont lus, les périmètres à peu près clairs, mais l’opérationnel reste flou. Qui fait quoi, sur quel système IA, avec quel niveau de preuve : tant que ces lignes ne sont pas posées, l’équipe conformité travaille au radar.

Cet article pose ces lignes du point de vue du Directeur Conformité métier, pas du juriste corporate. Six obligations concrètes qui se cristallisent sur le terrain, et cinq arbitrages qui reviennent dans presque toutes les revues. La checklist AI Act du Directeur Conformité en banque-assurance, à 75 jours d’une échéance officielle politiquement réinterrogée.

Où en est l’AI Act au 20 mai 2026

Le règlement (UE) 2024/1689 est entré en vigueur le 1ᵉʳ août 2024 et la majorité de ses dispositions s’appliquent à partir du 2 août 2026, dont les obligations pour les systèmes IA à haut risque de l’Annexe III. Pour la banque-assurance, cela couvre l’évaluation de solvabilité des personnes physiques et la tarification en assurance-vie et assurance santé. La détection de fraude reste hors champ.

Le 7 mai 2026, Conseil et Parlement ont trouvé un accord politique provisoire (paquet « Omnibus VII ») proposant de décaler l’application des règles haut risque pour les systèmes stand-alone au 2 décembre 2027 (et au 2 août 2028 pour les systèmes embarqués dans des produits). Tant que cet accord n’est pas publié au Journal officiel, la date du 2 août 2026 reste juridiquement contraignante. Piloter sur l’hypothèse d’un report est un mauvais pari.

Sur le terrain français, deux signaux structurants. L’ACPR, désignée autorité de surveillance du marché pour l’IA dans le secteur financier, a tenu une réunion de Place le 17 septembre 2025 et constitué une task force transversale. Et l’EIOPA, côté assurance, a publié le 6 août 2025 son Opinion on AI governance and risk management (EIOPA-BoS-25-360), qui formalise les attentes prudentielles européennes — gouvernance des données, traçabilité, équité, cybersécurité, explicabilité, supervision humaine.

Indépendamment du report potentiel à 2027, les superviseurs ont déjà publié leurs attentes. La fenêtre opérationnelle n’est pas la date butoir des sanctions — c’est l’été 2026, quand votre superviseur prudentiel commencera à poser ses premières questions ciblées.

Les 6 obligations concrètes du Directeur Conformité

Inventaire et qualification haut risque

Avant toute autre obligation : qui sait, dans votre maison, quels systèmes IA tournent aujourd’hui en production sur les périmètres Annexe III ? La réponse, dans la plupart des organisations, est : « la DSI a une liste, le métier en a une autre, conformité n’a pas tranché ». L’inventaire des IA à haut risque doit être tenu par le Directeur Conformité métier, pas hérité d’un référentiel applicatif. La qualification Annexe III est une décision de qualification métier : elle engage votre responsabilité.

Documentation technique vivante (Article 11 + Annexe IV)

Chaque système IA à haut risque doit disposer d’une documentation technique tenue à jour pendant toute la durée d’usage : usage prévu, données utilisées, performance, mesures de gestion des risques, biais résiduels, gouvernance. Le mot important est vivant : ce sont des artefacts mis à jour à chaque évolution significative, pas un dossier rédigé une fois pour la mise en production. C’est le chantier le plus sous-estimé sur le terrain : il oblige à industrialiser la production de preuves.

Évaluation d’impact sur les droits fondamentaux (Article 27)

Pour les déployeurs qui réalisent une évaluation de solvabilité ou une tarification en assurance-vie ou santé, l’AI Act impose une fundamental rights impact assessment (FRIA) et la notification du résultat à l’autorité nationale compétente. Cette obligation est nouvelle, et elle n’est pas un sous-produit du PIA RGPD : elle a son propre périmètre, sa propre méthodologie, son propre destinataire. C’est l’obligation où votre superviseur cherchera la trace de votre travail en premier.

Supervision humaine effective (Article 14)

L’AI Act exige que la supervision humaine soit assurée par des personnes physiques disposant de la compétence, de la formation et de l’autorité nécessaires. Cela veut dire trois choses concrètes. Un nom — pas une fonction, une personne désignée pour chaque système. Une trace que cette personne a réellement examiné les décisions sensibles dans un délai compatible avec l’enjeu, pas a posteriori dans un rapport mensuel. Une autorité réelle d’arrêt : sans pouvoir de suspension, la supervision est cosmétique.

Explicabilité à la personne concernée (Article 86 + RGPD Article 22)

Quand une décision automatisée à incidence individuelle est prise par un système IA à haut risque, la personne concernée a droit à une explication claire des éléments pris en compte, dans des termes accessibles. Pour la banque-assurance, cela transforme la formulation type des refus de crédit, des refus d’assurabilité et des ajustements tarifaires. Une réponse à plainte qui dit « notre modèle a évalué votre dossier » ne suffit plus. L’enjeu n’est pas juridique, il est métier : c’est votre relation client qui passe par là.

Monitoring post-commercialisation et protocole d’arrêt (Article 72)

Le système IA déployé doit être surveillé en continu, et les incidents graves déclarés. Cela suppose un dispositif de mesure des performances dans le temps, un seuil d’alerte, et — c’est ce qui distingue les dispositifs sérieux des dispositifs cosmétiques — un protocole d’arrêt activable rapidement en cas de dérive avérée. Si vous ne pouvez pas démontrer, sur un cas test interne, que vous savez débrancher un modèle en moins de 48 heures sans casser le service client, votre dossier n’est pas crédible.

Cinq arbitrages qui se tranchent en ce moment

Au-delà de la checklist, ce sont les arbitrages qui font la différence entre un dispositif théorique et un dispositif qui résistera à la supervision.

À qui appartient le registre des IA à haut risque ? À la Direction Conformité métier, avec la DSI en alimentation continue. Pas l’inverse. Si la DSI tient le registre, le risque qualifié n’est pas le bon.

La FRIA Article 27 fait-elle doublon avec le PIA RGPD ? Non. L’unifier dans un format « hybride » fait perdre les deux. Mieux vaut deux exercices distincts, signés à des dates distinctes, répondant à des destinataires différents.

Qui assume la supervision humaine sur un système IA partagé entre plusieurs lignes métier ? Pas le RACI projet. Il faut une décision de gouvernance qui désigne une ligne métier responsable, à charge pour elle de coordonner les autres. Les supervisions partagées sont en pratique inexistantes.

Suspendre la mise en production d’un système Annexe III tant que le dispositif n’est pas en place ? Je penche presque toujours pour la suspension partielle : pilote contrôlé, périmètre étroit, supervision renforcée, le temps de stabiliser les preuves. Le coût opérationnel est inférieur à celui d’un dossier non-conforme repéré par le superviseur.

Faut-il attendre la confirmation du report à décembre 2027 pour calibrer l’effort ? Non. Le report n’est pas acquis, EIOPA et ACPR ont déjà publié leurs attentes, et le délai entre « dispositif rédigé » et « dispositif opérant » se compte en mois. Mieux vaut être prêt à l’été 2026 et utiliser 2027 pour affiner.

Foire aux questions

Quels systèmes IA d’une banque ou d’une assurance sont qualifiés haut risque par l’AI Act ?

Les systèmes d’évaluation de la solvabilité des personnes physiques (scoring crédit) et les systèmes d’évaluation des risques et de tarification en assurance-vie et assurance santé sont listés à l’Annexe III. La détection de fraude bénéficie d’une exception explicite. Les systèmes d’aide à la décision en souscription dommages ou en gestion de sinistres ne sont pas systématiquement Annexe III, mais peuvent y basculer selon le degré d’automatisation et l’impact sur la personne concernée — un des sujets de qualification les plus délicats.

Qui tient le registre des IA à haut risque dans une banque-assurance ?

La Direction Conformité métier doit en être la garante. La DSI alimente en continu l’inventaire applicatif sous-jacent, mais c’est la décision de qualification — Annexe III ou non, périmètre, classification du risque — qui détermine l’inscription au registre. Cette décision engage la responsabilité du Directeur Conformité. Une organisation qui laisse la DSI tenir le registre prend le risque d’une qualification sous-évaluée.

La FRIA AI Act remplace-t-elle l’analyse d’impact RGPD (PIA) ?

Non. La fundamental rights impact assessment de l’Article 27 a un périmètre propre (impact sur les droits fondamentaux par un système IA à haut risque), sa propre méthodologie, et un destinataire distinct (l’autorité nationale compétente, en France l’ACPR pour la banque-assurance). Le PIA RGPD reste obligatoire en parallèle dès lors qu’il y a traitement de données personnelles. Les deux exercices partagent les mêmes données sources mais ne se substituent pas.

Comment démontrer concrètement la supervision humaine effective exigée par l’Article 14 ?

Trois preuves convergent : la désignation nominative d’une personne disposant de la formation et de l’autorité requises, des traces datées d’examens réels de décisions sensibles dans des délais compatibles avec l’enjeu, et un protocole documenté d’arrêt activable rapidement. Un journal qui enregistre seulement les passages utilisateurs n’est pas une preuve de supervision. Le superviseur cherchera la trace d’un examen humain qui aurait pu, dans les faits, modifier ou annuler une décision automatisée.

Faut-il décaler les chantiers AI Act en attendant la confirmation du report à décembre 2027 ?

Non. À la date du 20 mai 2026, le report fait l’objet d’un accord politique provisoire mais n’est pas adopté ; la date du 2 août 2026 reste juridiquement contraignante. Surtout, l’EIOPA et l’ACPR ont déjà rendu publiques leurs attentes prudentielles, qui s’appliquent indépendamment du calendrier de sanctions AI Act. Viser une conformité à l’été 2026 est le bon calibrage, quitte à utiliser 2027 — si le report se confirme — pour affiner les preuves.

Conclusion — Préparer le 2 août, c’est gagner 2027 plutôt que la subir

L’AI Act n’est pas un objet juridique abstrait pour le Directeur Conformité d’une banque-assurance. C’est un dispositif opérationnel à installer : six chantiers concrets — inventaire, documentation vivante, FRIA, supervision humaine, explicabilité, monitoring — et des arbitrages structurants qui se jouent maintenant. Le report politique du 7 mai 2026 déplace l’échéance des sanctions, pas celle des attentes prudentielles.

Le bon réflexe, c’est de viser une conformité au 2 août 2026 et d’utiliser, le cas échéant, l’année supplémentaire pour stabiliser les preuves et industrialiser les processus. C’est l’angle d’attaque qu’on installe chez K-AI avec nos clients banque-assurance : un dispositif opérationnel, pas un dossier corporate. Si vous voulez en discuter sur votre périmètre, contactez l’équipe K-AI — sans pitch, juste un regard extérieur sur vos six chantiers et vos cinq arbitrages.

Olivier Jourdran, COO K-AI

Sources citées

Sur le même sujet

K-AI accompagne déjà CMA CGM, Veolia, PwC, BNP Paribas, TotalEnergies et CEVA Logistics. Partenaires : AWS, Snowflake, Microsoft, Wavestone, Devoteam.

Et chez vous, quel est votre patrimoine documentaire ?

30 minutes avec un fondateur. On audite gratuitement un échantillon de vos documents et on vous montre exactement ce que K-AI détecte.

Demander une démo → Lire d’autres articles