Pour les institutions financières opérant face à l'Union Européenne (UE), toutefois, « plus d'IA » signifie aussi « plus de surface réglementaire ». Deux régimes dominent le paysage du risque juridique :
-
Le Règlement général sur la protection des données (RGPD), qui encadre le traitement licite, loyal et transparent des données à caractère personnel (y compris le profilage et certaines décisions automatisées) ;
L'AI Act de l'UE, qui impose des obligations sur l'ensemble du cycle de vie, proportionnelles au niveau de risque du système, en particulier pour l'IA à haut risque utilisée dans des domaines comme le scoring de crédit et certaines décisions en assurance.
L'opportunité est réelle, mais la condition de réussite n'est pas seulement de déployer des modèles. Il s'agit de construire une capacité de conformité activée par l'IA, auditable, qui satisfasse à la fois les exigences de protection des données et de gouvernance de l'IA.
Où l'IA apparaît-elle aujourd'hui dans la conformité ?

Le premier est la détection de signaux : repérer des anomalies d'activité (transactions, communications, journaux d'accès, schémas de trading) et mettre en évidence des réseaux ou des comportements qui méritent un examen approfondi. Le deuxième est le triage et la priorisation : classer les alertes et les dossiers afin que les équipes commencent par le risque le plus élevé, plutôt que par la file d'attente la plus bruyante. Le troisième est l'augmentation : résumer les dossiers, rédiger des narratifs, identifier les informations manquantes ou cartographier les obligations vers les politiques et contrôles, aidant les équipes à aller plus vite sans confier les décisions à une boîte noire.
La criminalité financière est souvent le point d'entrée, car les données sont riches et la douleur opérationnelle est bien réelle. Mais les mêmes principes de conception s'appliquent à la conformité au sens large : si un résultat d'IA influence ce qui arrive à un client, un employé ou un tiers, il faut une gouvernance proportionnée, explicable et auditable.
Pourquoi le RGPD est-il important même si votre objectif est la « réduction du risque » ?
Le RGPD s'applique dès que vous traitez des données à caractère personnel, que l'objectif soit la LBC, la prévention de la fraude, la surveillance des abus de marché, la conformité RH ou les enquêtes internes. Le règlement établit des principes clés : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité/confidentialité, et exige l'accountability, c'est-à -dire la capacité à démontrer la conformité, et pas seulement à l'affirmer.En pratique, le RGPD impose de la clarté sur des questions que les projets IA repoussent parfois : quelle est la base juridique ? Quelles données sont réellement nécessaires ? Combien de temps les conserverez-vous ? Qui peut y accéder ? Comment les personnes exercent-elles leurs droits ? Ces questions sont plus faciles à traiter avant qu'un modèle ne soit en production et intégré aux workflows.
à quel moment la prise de décision automatisée devient-elle un sujet « hautement sensible » au regard du RGPD ?

Pour les équipes conformité, l'enjeu pratique n'est pas de savoir si vous comptez rendre le modèle « consultatif », mais comment il se comporte dans le processus réel. Si un score d'IA détermine de fait des résultats, comme par exemple bloquer l'onboarding, la restriction des comptes, le déclenchement d'une escalade disciplinaire pour un employé, ou l'activation dune surveillance disproportionnée, il faut alors concevoir des garde-fous comme si l'IA affectait réellement les personnes : une supervision humaine réelle, une voie de contestation claire et une documentation expliquant la logique à un niveau adapté à la décision.
Qu'ajoute l'AI Act au-delà du RGPD ?
Si le RGPD concerne les données à caractère personnel, l'AI Act concerne le système d'IA : sa conception, ses tests, sa documentation, son déploiement et sa surveillance. Il s'appuie sur une approche fondée sur le risque et peut s'appliquer même si l'organisation est située hors de l'UE dès lors que le système est utilisé dans l'UE ou que ses résultats affectent des personnes dans l'UE.L'AI Act clarifie aussi les rôles opérationnels, tels que fournisseurs et déployeurs, et y attache des obligations en conséquence. Pour de nombreuses fonctions conformité, la question la plus importante devient : le système est-il classé à haut risque et, si oui, l'exploitez-vous conformément aux attentes de gouvernance de l'Act ?
à quoi ressemble la gouvernance « haut risque » au quotidien ?

Du point de vue du déployeur, l'AI Act met l'accent sur des contrôles pratiques : utiliser le système conformément aux instructions, garantir une supervision humaine compétente, gérer les données d'entrée, surveiller le fonctionnement et conserver des journaux (y compris des attentes minimales de conservation dans le résumé des obligations des déployeurs).
Et pour certains déploiements de systèmes à haut risque, l'Acte introduit une exigence d'évaluation d'impact sur les droits fondamentaux (FRIA) lors de la première utilisation, visant à identifier comment le système peut affecter les droits des personnes, ainsi que les mesures d'atténuation et la supervision appliquées.
Quelles sont les conséquences réelles d'une mauvaise gouvernance de l'IA ?
Au-delà des atteintes à la réputation et de la pression des superviseurs, l'AI Act prévoit des plafonds de sanctions significatifs. Pour les infractions les plus graves, le chiffre phare souvent cité est jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel (le montant le plus élevé s'appliquant), avec des niveaux inférieurs pour d'autres violations.Comment mettre en oeuvre l'IA en conformité sans ralentir l'activité ?
Une approche pragmatique consiste à traiter l'IA comme une capacité contrôlée plutôt que comme un outil autonome.1 Cas d'usage clair
Commencez par un cas d'usage clair et une cartographie de décision ; quel système d'IA, qui le consomme et quelles actions peuvent s'ensuivre ? C'est là que vous identifiez si le système traite des données à caractère personnel (RGPD) et s'il est susceptible d'entrer dans des catégories à risque plus élevé (AI Act).2 Conception
Ensuite, concevez le modèle opérationnel avant de passer à l'échelle, en définissant qui est propriétaire du modèle, qui approuve les changements, qui surveille la performance et qui peut outrepasser les résultats. La supervision humaine ne fonctionne que si les personnes disposent de la compétence, de l'autorité et du temps pour contester le résultat, une attente que l'AI Act rend explicite pour les déploiements à haut risque.3 Discipline des données
Puis, prenez les données au sérieux. Le RGPD vous pousse vers la minimisation et la limitation des finalités, tandis que la gouvernance de l'IA à haut risque vous pousse vers la qualité et la représentativité. La solution passe par une sélection rigoureuse des variables, des règles de conservation claires, des contrôles d'accès et des tests qui recherchent la dégradation et des performances inégales entre les groupes pertinents.
4 Surveiller et documenter
Enfin, opérationnalisez la surveillance et la documentation. Les systèmes d'IA dérivent à mesure que les comportements changent, que les typologies de fraude évoluent et que les processus métiers se transforment. La surveillance post-mise sur le marché est un concept central de l'AI Act pour les systèmes à haut risque et, plus généralement, une bonne pratique partout ailleurs. Construisez des métriques utiles (stabilité, faux positifs, résultats d'enquêtes, schémas d'erreurs), reliez-les au contrôle des changements et conservez une piste d'audit des versions de modèle, des seuils et des décisions de gouvernance.
Checklist pratique
Que faut-il retenir si vous planifiez un programme de conformité activé par l'IA ?




