IA en banque et finance : conformité DORA, RGPD et souveraineté des données — guide 2026

Le secteur financier est l'un des plus avancés dans l'adoption de l'IA — et l'un des plus réglementés. Entre DORA entré en application en janvier 2025, le RGPD, l'EU AI Act et les exigences prudentielles de la BCE et de l'ACPR, les DSI et RSSI bancaires naviguent dans un cadre normatif extrêmement dense. Ce guide démêle les obligations spécifiques à la finance et explique pourquoi l'IA souveraine n'est pas une option, mais une nécessité réglementaire.

DORA : le règlement qui change tout pour l'IA financière

Le Digital Operational Resilience Act (DORA) s'applique depuis le 17 janvier 2025 à l'ensemble des entités financières réglementées : banques, assurances, sociétés d'investissement, fintechs, bourses et leurs prestataires IT critiques.

Ce que DORA impose pour vos fournisseurs IA

DORA crée un régime spécifique pour les prestataires tiers de services TIC critiques. Si votre IA est fournie par un tiers, ce prestataire est soumis à :

• Audit et inspection par les autorités européennes (BCE, ACPR, ESMA)
• Enregistrement obligatoire auprès de l'ESA (European Supervisory Authority)
• Exigences de résilience documentées et testées (tests de pénétration, scénarios de défaillance)
• Droits d'audit contractuels que vous devez pouvoir exercer

Gestion de la concentration : le risque tiers

DORA exige que vous évaluer et limitiez la concentration des risques liés aux prestataires TIC. Dépendre d'un seul fournisseur cloud IA américain pour vos processus critiques est précisément ce que DORA cherche à prévenir. Une IA souveraine sur infrastructure française diversifiée répond directement à cette exigence.

Les cas d'usage IA à haut risque en finance (EU AI Act)

L'EU AI Act classe plusieurs usages IA financiers comme à haut risque (Annexe III, section 5) :

• Scoring crédit : tout système IA évaluant la solvabilité ou la capacité de remboursement
• Évaluation des risques d'assurance : tarification et souscription automatisées
• Détection de fraude : si elle implique des décisions automatisées avec impact sur les clients
• Trading algorithmique : selon les cas, notamment s'il impacte des personnes physiques

Ces systèmes sont soumis aux obligations complètes de l'EU AI Act depuis août 2026 : documentation technique, logs, supervision humaine, enregistrement EU. Voir notre guide complet sur l'EU AI Act et ses obligations.

Cas d'usage IA prioritaires en finance

1. Analyse documentaire et compliance

Lecture automatisée de contrats, extraction de clauses clés, vérification de conformité réglementaire (KYC, AML). C'est le cas d'usage à ROI le plus rapide en finance : les équipes conformité gagnent 40 à 60% de temps de traitement.

2. Analyse de risque et reporting réglementaire

Consolidation et analyse des rapports prudentiels (COREP, FINREP), préparation des reportings ACPR/BCE. Un modèle fine-tuné sur la réglementation bancaire française surpasse les modèles génériques de 65%+ en précision.

3. Service client et conseil

Assistants IA pour les conseillers clientèle, personnalisation des recommandations produits, réponse aux questions réglementaires des clients. Exige une supervision humaine documentée (EU AI Act).

4. Détection de fraude

Analyse comportementale en temps réel, détection d'anomalies transactionnelles. Cas à haut risque EU AI Act : supervision humaine et journalisation obligatoires.

Pourquoi l'IA souveraine est la seule option crédible en finance

La convergence DORA + RGPD + EU AI Act crée un environnement où un fournisseur IA non européen ne peut structurellement pas satisfaire l'ensemble des exigences :

Pour comprendre comment le fine-tuning sur vos données métier maximise le ROI dans le secteur financier, consultez notre guide technique.