Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Finance & Compliance7 février 202511 min de lecture

IA et données financières non publiées : le risque méconnu du délit d'initié

Un analyste financier qui résume un rapport de due diligence dans ChatGPT. Un directeur financier qui demande à Copilot d'analyser les résultats trimestriels non publiés. Un banquier M&A qui utilise un LLM pour rédiger un teaser confidentiel. Ces comportements, courants dans les entreprises financières modernes, créent un risque légal souvent ignoré : la divulgation d'information privilégiée, constitutive du délit d'initié au sens du règlement MAR et du Code monétaire et financier.

Ce qu'il faut retenir

  • Le règlement MAR (Market Abuse Regulation) interdit la divulgation d'informations privilégiées à des tiers non autorisés
  • Envoyer des données financières non publiées dans un LLM américain constitue potentiellement une divulgation illicite
  • Les sanctions : jusqu'à 15 M€ d'amende ou 3 ans de prison pour les personnes physiques
  • Les secteurs exposés : banques, asset management, M&A, cabinets de conseil financier, audit

Le droit boursier et l'information privilégiée

Définition de l'information privilégiée

Selon le règlement MAR (Market Abuse Regulation, UE 596/2014), une information est "privilégiée" si elle réunit quatre critères cumulatifs :

  1. Elle est précise : elle porte sur un événement ou une circonstance qui s'est produit(e) ou peut raisonnablement se produire
  2. Elle n'a pas été rendue publique
  3. Elle concerne un ou plusieurs émetteurs ou instruments financiers
  4. Elle est susceptible d'influencer le cours de manière sensible si elle était rendue publique

Exemples classiques : résultats financiers non publiés, opérations de fusion-acquisition en cours, changement de dirigeants, obtention ou perte d'un contrat significatif, procédures judiciaires importantes.

L'interdiction de divulgation

L'article 14 du MAR interdit explicitement la divulgation d'informations privilégiées — même si l'auteur n'a pas l'intention d'en tirer profit. La divulgation à un tiers non autorisé, même sans transaction sur instruments financiers, constitue un manquement à l'obligation de confidentialité (art. 10 MAR). Elle est sanctionnable même si la personne ne tire aucun profit de la divulgation.

15 M€Amende max pour divulgation d'info privilégiée (MAR)
3 ansEmprisonnement max (Code monétaire et financier)
2023AMF ouvre enquêtes sur fuite données via outils numériques
85%Des institutions financières n'ont pas de politique IA spécifique MAR

Pourquoi l'IA générative crée un nouveau risque MAR

Le LLM comme "tiers non autorisé"

Quand vous envoyez des données financières non publiées dans ChatGPT ou Copilot, vous les transmettez à un tiers — OpenAI ou Microsoft — qui n'a aucune autorisation légale de recevoir ces informations privilégiées. Ce tiers peut :

  • Conserver ces données dans ses logs pour une durée indéterminée
  • Les utiliser pour entraîner ses modèles (selon les CGU de certaines offres)
  • Les rendre accessibles à ses équipes de sécurité
  • Les communiquer aux autorités américaines via le Cloud Act

Chacun de ces scénarios peut constituer une "divulgation" au sens du MAR, même involontaire.

Les cas d'usage à risque dans la finance

Scénarios à risque MAR dans l'utilisation quotidienne de l'IA

  • Analyste sell-side : utilise ChatGPT pour rédiger un flash report sur des résultats non encore publiés
  • Banquier M&A : demande à Copilot d'analyser le teaser d'une transaction confidentielle pour préparer un comité
  • CFO : utilise un LLM pour préparer son discours sur les résultats annuels avant l'annonce au marché
  • Commissaire aux comptes : résume dans un outil IA les conclusions d'audit d'une entreprise cotée avant la publication
  • Avocat M&A : utilise un LLM pour rédiger un contrat de cession avec valorisation non publiée

Le risque spécifique des données d'entraînement

Certains LLM publics peuvent mémoriser des fragments d'informations reçues et les restituer à d'autres utilisateurs via des phénomènes de "mémorisation". Si des informations privilegiées sur une société cotée ont été envoyées dans un LLM et restituées à un utilisateur qui en a tiré profit sur les marchés, la chaîne de responsabilité peut remonter jusqu'à l'entreprise ayant divulgué l'information.

DORA et les exigences de résilience des institutions financières

Le règlement DORA (Digital Operational Resilience Act, UE 2022/2554), entré en application en janvier 2025, impose aux institutions financières des exigences strictes sur la gestion des risques liés aux tiers prestataires technologiques. L'utilisation d'un LLM américain comme outil de travail constitue une relation de "sous-traitance ICT" soumise à :

  • Enregistrement dans le registre des tiers prestataires ICT
  • Évaluation des risques de concentration (dépendance à un seul fournisseur)
  • Plans de sortie (exit strategy) documentés
  • Clauses contractuelles obligatoires sur la résilience, l'auditabilité, et la localisation des données

Un établissement financier qui utilise ChatGPT Enterprise sans avoir réalisé son évaluation DORA est non-conforme dès janvier 2025.

Les positions réglementaires

L'AMF (Autorité des Marchés Financiers) a commencé à inclure la question de l'IA dans ses contrôles depuis 2023. Si des informations privilegiées ont transité par des canaux numériques non sécurisés, l'AMF peut y voir un manquement aux obligations de contrôle interne (article L.533-10 du Code monétaire et financier).

L'ESMA (European Securities and Markets Authority) a publié des orientations préliminaires en 2024 sur l'utilisation de l'IA dans les services financiers, insistant sur la nécessité d'identifier et contrôler les flux d'informations privilégiées vers des systèmes d'IA.

Construire une politique IA conforme MAR

Classification des informations financières

Définir clairement quelles informations sont susceptibles d'être "privilegiées" au sens MAR et les tracer dans votre politique d'utilisation des outils IA :

  • Résultats financiers non publiés : interdit de saisir dans LLM externe
  • Dossiers M&A en cours : interdit de saisir dans LLM externe
  • Stratégie d'acquisition ou cession de participations : interdit
  • Analyses sectorielles sur données publiques : autorisé avec précaution
  • Rédaction de documents génériques sans données identifiantes : autorisé

IA souveraine pour la finance

Déployer un LLM dans votre périmètre interne — serveurs de la banque ou du cabinet, réseau fermé — supprime structurellement le risque de divulgation à un tiers. Les données ne quittent jamais votre système d'information. C'est aussi la solution recommandée pour la conformité DORA.

Formation et sensibilisation

Les collaborateurs qui utilisent des outils IA dans des contextes financiers doivent être formés sur les obligations MAR et les risques spécifiques. Cette formation doit être documentée — les régulateurs attendront une preuve de diligence en cas d'incident.

IA conforme MAR et DORA pour la finance

Intelligence Privée déploie des LLM dans le périmètre interne de votre institution financière — aucune information privilégiée ne sort de votre réseau. Conformité MAR et DORA documentée.

Sécuriser votre compliance →

Articles liés

Finance

IA en banque et finance : DORA et RGPD

Toutes les obligations réglementaires pour l'IA dans les services financiers.
Conformité

IA et secret professionnel

Les risques pour les experts-comptables et commissaires aux comptes.
Sécurité

Cloud Act et données financières

Comment le droit américain peut accéder à vos données.