AI Act et IA dans la finance : scoring crédit, trading algorithmique, détection de fraude
Le secteur financier utilise largement l'IA et trois cas d'usage centraux font face à des obligations AI Act très différentes. Ce guide clarifie la classification, les exigences spécifiques et les étapes de conformité.
Le secteur des services financiers est l'un des adopteurs les plus intensifs de l'IA dans l'économie européenne. Les banques évaluent la solvabilité, les assureurs évaluent les risques, les entreprises d'investissement exécutent des transactions algorithmiques et les processeurs de paiement détectent la fraude — tous utilisant des systèmes d'IA à grande échelle, en continu, avec de réelles conséquences pour des millions d'individus et la stabilité des marchés.
L'AI Act européen traite ces différentes utilisations de manière très différente.
Le point de départ : l'IA financière se qualifie-t-elle comme à haut risque ?
L'IA financière atteint la catégorie à haut risque par l'article 6(2) et l'annexe III, spécifiquement :
Annexe III §5(b) : IA destinée à prendre des décisions, ou à influencer matériellement des décisions, sur l'éligibilité des personnes physiques à des services privés essentiels, y compris l'évaluation de la solvabilité et le scoring de crédit, la tarification et la souscription d'assurance vie et santé, l'assurance médicale et l'assurance liée à l'emploi.
Scoring de crédit et évaluation de la solvabilité
Classification
Le scoring de crédit tombe clairement dans l'annexe III §5(b). Il est à haut risque, que l'IA prenne la décision de crédit directement ou qu'elle fournisse « seulement » un score qu'un conseiller utilise. La formulation « ou à influencer matériellement des décisions » garantit que les systèmes de scoring qui alimentent la prise de décision humaine sont capturés.
Les obligations de conformité spécifiques
Article 9 — Gestion des risques : Pour le scoring de crédit, le focus principal de la gestion des risques doit inclure :
- Le risque de discrimination par caractéristiques protégées (genre, origine ethnique, âge, handicap)
- La performance du modèle sous changement de distribution — le modèle se comporte-t-il différemment en période de tension économique ?
- La désuétude des données — à quelle vitesse les jeux de données d'entraînement deviennent-ils non représentatifs ?
Article 10 — Gouvernance des données d'entraînement : Les données d'entraînement de scoring de crédit doivent être examinées pour les biais historiques. Les données de prêt historiques reflètent systématiquement les discriminations passées — si les femmes se voyaient refuser plus souvent un crédit pour des raisons sans rapport avec leur solvabilité, un modèle entraîné sur ces données reproduira ce biais.
Article 50 — Transparence envers les personnes concernées : Lorsqu'un système d'IA est utilisé dans une décision concernant une personne physique, cette personne doit en être informée.
Interaction avec le RGPD et le droit anti-discrimination
Le scoring de crédit IA traite des données financières et dans de nombreux cas des données d'identité nationale, des revenus et des dossiers d'emploi. L'article 22 du RGPD sur la prise de décision automatisée s'applique aux décisions de crédit entièrement automatisées avec effet juridique sur les individus.
Trading algorithmique
Classification
Le trading algorithmique n'est pas automatiquement classifié comme IA à haut risque en vertu de l'annexe III de l'AI Act. Les catégories de l'annexe III couvrent l'IA affectant les droits fondamentaux des personnes physiques et l'accès aux services.
Cependant, les systèmes de trading algorithmique peuvent être pertinents pour l'AI Act d'autres façons :
Voie de l'article 6(1) : Si un système de trading est intégré dans un produit financier réglementé (MiFID II, EMIR, MAR), et si ce cadre réglementaire requiert une évaluation tierce de la composante IA, l'article 6(1) peut classifier l'IA comme à haut risque.
MiFID II : Le trading algorithmique est déjà soumis à une réglementation étendue en vertu des articles 17 à 18 de MiFID II, exigeant des contrôles des risques, des coupe-circuits et des cadres de gouvernance.
Détection de fraude
Classification
La détection de fraude IA présente une question de classification nuancée.
L'argument contre le haut risque : La fonction principale est de signaler une activité suspecte pour examen humain, pas de prendre des décisions finales sur les individus.
L'argument pour le haut risque : Si la sortie du système conduit au blocage automatique de compte ou au refus de transaction, il prend des décisions à impact individuel significatif.
La position probable : Un système de détection de fraude utilisé en interne pour signaler des transactions à un analyste, sans action adverse automatisée au niveau individuel, n'est probablement pas à haut risque. Un système qui bloque automatiquement et définitivement l'accès d'un individu aux services bancaires sans examen humain est plus susceptible d'être classifié à haut risque.
Étapes pratiques pour la conformité dans le secteur financier
- Inventoriez tous les systèmes d'IA et classifiez chacun selon l'annexe III.
- Traitez le scoring de crédit comme à haut risque avec effet immédiat.
- Pour l'IA de trading algorithmique : réalisez une analyse de l'article 6(1).
- Pour l'IA de détection de fraude : analysez si le système produit des actions adverses individuelles à impact significatif.
- Cartographiez les obligations AI Act par rapport aux cadres existants de gestion des risques de modèles (EBA, BCE) pour identifier les opportunités d'alignement.
Comment Dilaig vous aide
L'audit en 50 questions de Dilaig est conçu pour les fournisseurs et déployeurs de systèmes d'IA à haut risque du secteur financier.
FAQ : AI Act et IA dans les services financiers
Q : Le scoring de crédit IA nécessite-t-il un marquage CE ? Oui. Le scoring de crédit est classifié comme à haut risque en vertu de l'annexe III §5(b). Tous les systèmes d'IA à haut risque doivent porter le marquage CE avant d'être mis sur le marché de l'UE.
Q : Qui est le « fournisseur » du scoring de crédit — la banque ou le bureau de crédit ? Cela dépend de qui met le système spécifique sur le marché sous son propre nom. Si un bureau de crédit développe et licencie un modèle de scoring aux banques, le bureau est le fournisseur. Si une banque développe son propre modèle de scoring interne, la banque est le fournisseur.
Q : L'IA de souscription d'assurance est-elle également à haut risque ? Oui, pour l'assurance vie, santé et liée à l'emploi. L'annexe III §5(b) couvre explicitement les décisions de tarification et de souscription d'assurance.
Points clés à retenir
- Le scoring de crédit et l'évaluation de la solvabilité sont explicitement à haut risque en vertu de l'annexe III §5(b).
- Le trading algorithmique n'est pas automatiquement à haut risque mais peut être capturé par d'autres voies.
- La détection de fraude nécessite une analyse individuelle — les systèmes qui prennent des actions adverses autonomes affectant l'accès aux services financiers sont plus susceptibles d'être à haut risque.
- La souscription d'assurance vie, santé et liée à l'emploi est également explicitement à haut risque.