Mis à jour le 1er juillet 2026 · Le Digital Omnibus AI Act, adopté le 29 juin 2026 (PE 16 juin), reporte les obligations Annexe III haut risque au 2 décembre 2027 (l'EP press release énumère biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, frontières ; énumération non-exhaustive · §5 services essentiels banque/crédit attendu sous le report général, texte consolidé pending). L'Eurogroupe a publiquement demandé l'accès au modèle Mythos d'Anthropic en mai 2026 pour que les banques EU ne soient pas exposées versus leurs homologues US. L'intersection DORA × AI Act se durcit.
AI Act pré-conformité · Secteur banque (Annexe III §5(b))
L'IA de scoring crédit sous l'EU AI Act
Annexe III §5(b) + DORA × Article 26, et ce que cela signifie pour votre voie de conformité.
Les établissements de crédit utilisant un scoring IA tiers déclenchent l'Annexe III §5(b) et l'Article 27 FRIA automatiquement par activité. L'omnibus Digital du 7 mai 2026 n'a pas exclu la banque ; l'Annexe III §5 contraint le 2 décembre 2027. L'intersection DORA × AI Act s'est durcie : en mai 2026, l'Eurogroupe a publiquement demandé l'accès EU au modèle Mythos retenu par Anthropic afin que les banques EU ne soient pas exposées vs leurs homologues US. Savoir si votre fournisseur GPAI a signé le Code of Practice est désormais une question déployeur, pas une question fournisseur.
- · Indépendant ; non affilié à un fournisseur, régulateur ou organisme notifié
- · Article par article : Annexe III §5 + Article 26 §1–§12 + Article 27 FRIA + Article 25 reverse-bascule + DORA Article 28
- · 18 mois de runway : 2 décembre 2027 · confirmé post-Omnibus, non-arbitrable
Définition
L'Annexe III §5(b) de l'EU AI Act classe comme haut risque les systèmes IA destinés à évaluer la solvabilité des personnes physiques ou établir des scores de crédit. La classification s'applique automatiquement par activité pour les établissements de crédit sous Règlement (UE) 575/2013, indépendamment de la localisation du fournisseur. Une seule exception étroite existe : la détection de fraude, et uniquement lorsqu'elle est l'usage principal du système (Projet de lignes directrices Commission sur l'Article 6, §307, 19 mai 2026). Un carve-out profilage ferme une voie de contournement courante : la plupart des scorings crédit retail satisfont la définition de profilage RGPD Art. 4(4) par construction, ce qui disqualifie toujours le filtre Article 6(3). L'échéance contraignante post-Digital Omnibus (7 mai 2026) est le 2 décembre 2027.
Classification
Quand le scoring IA vous place en Annexe III §5(b)
L'Annexe III §5(b) couvre les systèmes IA destinés à évaluer la solvabilité ou établir des scores de crédit des personnes physiques. Le texte prévoit une seule exception étroite : la détection de fraude, et uniquement lorsque la détection de fraude est l'usage principal du système IA, précédant toute autre finalité (Projet de lignes directrices Commission sur l'Article 6, §307, 19 mai 2026). Une seconde frontière structurelle ferme une voie de contournement courante : un système qui effectue du profilage au sens de l'Article 4(4) RGPD est toujours haut risque sous l'Annexe III, indépendamment des quatre conditions de filtre de l'Article 6(3) (Projet de lignes directrices §89). La plupart des scorings crédit retail satisfont la définition RGPD du profilage par construction. Si le déployeur est un établissement de crédit sous Règl. (UE) 575/2013 et utilise un scoring IA tiers (ou fine-tune un modèle vendeur sur des données internes), la cascade déployeur s'active : Article 26 §1–§12 + Article 27 FRIA automatique + Article 25(1)(b) reverse-bascule.
Test : prenez-vous (ou influencez-vous substantiellement) une décision crédit via IA ? Si oui : Annexe III §5(b) s'applique, Article 27 FRIA est automatique, et les obligations Article 26 déployeur cascadent.
| Activité | Annexe III §5 | Article 27 FRIA |
|---|---|---|
| Scoring crédit conso (IA tiers) | Oui · §5(b) | Oui · automatique par activité |
| Tarification assurance via IA | Oui · §5(c) | Oui · automatique par activité |
| Détection anti-fraude (scope étroit) | Non · exception §5(b) | Non (scope fournisseur) |
| Modélisation interne risque crédit (sans décision individuelle) | Cas par cas Art. 6(3) | Conditionnelle |
Sources : Règl. 2024/1689 Annexe III §5 · Règl. (UE) 575/2013 (CRR) · CJUE SCHUFA C-634/21 précédent sur les décisions crédit automatisées.
Calendrier
L'échéance bancaire est le 2 décembre 2027, pas le 2 août 2026
La plupart des entreprises de l'écosystème IA se concentrent sur le 2 août 2026 (Article 50 transparence). Pour les établissements de crédit et assureurs sous Annexe III §5, l'échéance contraignante post-Digital Omnibus (adopté le 29 juin 2026) est le 2 décembre 2027. Les obligations haut risque sur les cas d'usage Annexe III haut risque sont reportées de 16 mois depuis le 2 août 2026 originel.
La banque est attendue dans le périmètre du report Annexe III général au 2 décembre 2027 (l'EP press release du 7 mai 2026 énumère biométrie, infrastructures critiques, éducation, emploi, maintien de l'ordre, frontières/migration ; énumération non-exhaustive ; §5 services essentiels couvert par le report général via triangulation Council/IAPP/Modulos, texte consolidé pending). Contrairement aux machineries (qui ont obtenu une suppression du double régime), la banque n'a pas reçu d'exemption sectorielle. ~18 mois de runway réglementaire pour produire un positionnement défendable avant que les obligations contraignantes s'appliquent.
Note sur la certitude : 10 États membres EU (AT, DK, NL, SK, SI, ES, GR, PT, RO, LV) ont formé une minorité de blocage qualifiée contre toute dérégulation supplémentaire. L'échéance du 2 décembre 2027 est durable. Vente sur certitude, pas sur arbitrage.
Sources : Règl. 2024/1689 Annexe III · Communiqué Conseil/Parlement (7 mai 2026) · Bloomberg, 4 mai 2026 (bloomberg.com/news/articles/2026-05-04/euro-finance-chiefs-want-mythos-ai-access-to-prepare-defenses) · MLex divergence des positions États membres.
Quatre deltas
Quatre obligations spécifiques aux déployeurs bancaires
DORA, RGPD Art. 22, lignes directrices EBA et CRR fournissent un socle solide pour la conformité décision-crédit. Mais aucun ne produit un mapping article par article AI Act. Ces deltas doivent être ajoutés au framework de risque existant.
Delta 1 · Article 27 FRIA automatique par activité
Contrairement au HRTech (FRIA conditionnelle à l'activation comité d'entreprise) ou healthcare (FRIA non applicable), les déployeurs bancaires Annexe III §5 font face à un FRIA automatique dès que les obligations Annexe III contraignent. L'évaluation d'impact sur les droits fondamentaux n'est pas optionnelle.
Delta 2 · DORA Article 28 × Article 26 (tiers ICT)
Votre fournisseur GPAI est un tiers ICT critique sous DORA. Savoir s'il a signé le Code of Practice EU GPAI, et s'il participe à des coalitions comme Project Glasswing, est désormais une question de due diligence déployeur, pas une question d'achat fournisseur.
Delta 3 · Article 25(1)(b) reverse-bascule
Les banques qui fine-tunent un modèle de scoring vendeur sur leurs propres données historiques peuvent être reclassées comme fournisseurs sous Article 25(1)(b), héritant du régime plus lourd des Articles 16–22. Le check de frontière est contractuel, pas technique : effectué au moment où une option fine-tuning est acceptée contractuellement.
Delta 4 · Intégration précédent SCHUFA
L'arrêt CJUE SCHUFA (C-634/21) a établi que le scoring crédit constitue une décision automatisée sous RGPD Article 22 même quand un humain signe formellement. L'Article 26 §11 information post-décision s'imbrique désormais avec les droits d'explication RGPD Article 22. Faute d'intégration, exposition double régime.
Sources : Règl. 2024/1689 Articles 25–27 · Règl. (UE) 2022/2554 DORA · Règl. (UE) 2016/679 RGPD Art. 22 · CJUE C-634/21 SCHUFA · Lignes directrices EBA gouvernance interne.
Notre périmètre
Ce que notre évaluation couvre pour l'IA bancaire
Le rapport Sprinkling Act pour un système IA bancaire couvre les six gates de la méthodologie standardisée, avec la spécificité bancaire en couche.
- •G1 · Art. 5 · L'une des 8 pratiques interdites est-elle déclenchée ?
- •G2 · Art. 6(1) · Le système IA est-il un composant de sécurité d'un produit régulé EU ? (rare en banque, mais vérifié)
- •G3 · Art. 6(2) + Annexe III §5 · Classification scoring crédit/assurance · gate central pour la banque
- •G4 · Art. 50 · Un utilisateur final interagit-il avec l'IA sans le savoir ? (divulgation chatbot)
- •G5 · Art. 51/53 · Le système utilise-t-il ou distribue-t-il un modèle GPAI ? (check signature Code of Practice)
- •G6 · Art. 6(3) · L'exception « pas de risque significatif » peut-elle s'appliquer ?
Spécificité bancaire :
- ·Détermination Annexe III §5(b)/(c) avec précédent CJUE SCHUFA appliqué
- ·Mémo scope Article 27 FRIA (obligatoire pour §5 par activité)
- ·Mapping sous-ensemble paragraphes Article 26 §1–§12 (subset actif bancaire)
- ·Check Article 25(1)(b) reverse-bascule sur contrats de fine-tuning
- ·Cross-référence DORA Article 28 tiers ICT pour fournisseurs GPAI
- ·Mapping double régime RGPD Article 22 × AI Act Article 26 §11
- ·Orientation calendrier (2 décembre 2027 post-Digital Omnibus + déclenchement par changement significatif)
Hors périmètre (explicite) :
- ×Validation modèle interne risque crédit (géré par fournisseurs alignés EBA/CRR)
- ×Framework complet DORA ICT risk management (engagement séparé)
- ×Stress-tests ou évaluation adéquation des fonds propres
Intégration
Comment cela s'articule avec DORA, RGPD Article 22 et lignes directrices EBA
DORA couvre la résilience opérationnelle ICT, y compris les fournisseurs tiers. L'AI Act couvre les obligations spécifiques IA en couche : mapping sous-ensemble paragraphes, FRIA, reverse-bascule, et la question due diligence fournisseur GPAI que DORA cadre mais ne résout pas. RGPD Article 22 couvre les droits liés à la décision automatisée ; AI Act Article 26 §11 spécifie l'obligation d'information post-décision. Les lignes directrices EBA cadrent la fonction risque plus large. Notre rapport siège à l'intersection, mappé article par article, pas substitut de régime.
Concrètement : le déployeur bancaire termine avec quatre documents (registre risque ICT DORA, registre RGPD Art. 22, mapping paragraphes Article 26 AI Act, traçabilité gouvernance EBA). Le rapport Sprinkling Act produit le troisième document. Les trois autres sont produits par votre framework de risque existant.
Une articulation spécifique mérite attention. Le projet de lignes directrices de la Commission (§§322–328, 19 mai 2026) précise qu'un système IA utilisé à la fois pour le scoring crédit de personnes physiques et pour des fins prudentielles sous l'Article 144 CRR (approche notations internes IRB) ou l'Article 120 Solvabilité II reste haut risque sous l'Annexe III §5(b), indépendamment du fait que le même système soit également utilisé pour les notations internes ou le calcul des fonds propres (§324, verbatim). La seule voie de sortie est architecturale : si une banque utilise deux systèmes IA distincts (l'un pour le scoring crédit comme entrée IRB, l'autre pour l'IRB lui-même dérivé du premier), le système IRB hérite du scoring mais n'est pas classé haut risque sous §5(b). Pour la plupart des infrastructures IRB existantes qui intègrent scoring et rating dans un modèle unique, la classification haut risque s'applique. Le grandfathering sous l'Article 111(2) protège les modèles placés sur le marché avant la date contraignante, mais uniquement jusqu'au premier « changement significatif de conception » (§328). La définition de changement significatif est posée par la législation prudentielle elle-même. Conséquence pratique pour les banques françaises : l'ACPR contrôle les modèles IRB sous les Articles L. 511-41 et suivants du Code monétaire et financier ; tout changement matériel à un modèle IRB approuvé sous CRR re-déclenche en plus les obligations AI Act haut risque (double régime contrôle prudentiel × surveillance marché).
Sources : DORA Règl. (UE) 2022/2554 · RGPD Règl. (UE) 2016/679 · Lignes directrices EBA EBA/GL/2021/05 (gouvernance interne) · AI Act Règl. 2024/1689 Articles 25–27 · Règl. (UE) 575/2013 (CRR) Art. 144 · Directive 2009/138/CE (Solvabilité II) Art. 120 · Projet de lignes directrices Commission sur l'Article 6 (§§322–328, 19 mai 2026) · Code monétaire et financier L. 511-41 et s.
Chaîne fournisseur GPAI
Où vous vous situez dans la chaîne cyber GPAI
Les obligations Article 55 GPAI risque systémique entrent en vigueur le 2 août 2026. Savoir si votre fournisseur GPAI a signé le Code of Practice et participe aux coalitions cyber est désormais une question de due diligence déployeur. L'Eurogroupe a publiquement demandé l'accès EU au modèle Mythos retenu par Anthropic en mai 2026 (Bloomberg) pour que les banques EU ne soient pas exposées versus leurs homologues US ; DORA × AI Act × Article 55 est désormais politiquement actif au plus haut niveau.
Project Glasswing · 12 partenaires de lancement + 40 organisations d'infrastructure critique
La coalition Anthropic pour le patching de vulnérabilités inclut des partenaires nommés dans toute la stack cyber :
- ·Cloud / hyperscale : AWS, Google, Microsoft
- ·Hardware / silicon : NVIDIA, Broadcom, Apple
- ·Networking / sécurité : Cisco, Palo Alto Networks, CrowdStrike
- ·Open source : Linux Foundation
- ·Services financiers : JPMorganChase
- ·Foundation : Anthropic
Si votre fournisseur GPAI est sur le Code of Practice (Anthropic + OpenAI signataires juillet 2025) et Glasswing-aware, votre due diligence Article 26 downstream a une couverture institutionnelle. S'il ne l'est pas, ou s'il sort des modèles comparables avec moins de restrictions (OpenAI a annoncé GPT-5.4-Cyber le 14 avril 2026 avec un programme à paliers « Trusted Access for Cyber » · openai.com/index/scaling-trusted-access-for-cyber-defense), votre documentation cyber-résilience déployeur a un trou que DORA Article 28 peut vous forcer à combler.
Sources : AI Act Article 55 + Recital 110 · Règl. (UE) 2022/2554 DORA Article 28 · Anthropic Project Glasswing (anthropic.com/glasswing, partenaires de lancement avril 2026) · Bloomberg, 4 mai 2026 (bloomberg.com/news/articles/2026-05-04/euro-finance-chiefs-want-mythos-ai-access-to-prepare-defenses) · Évaluation UK AISI Mythos (simulation 32-étapes attaque réseau d'entreprise complétée autonomement).
FAQ
À propos de l'IA bancaire sous l'EU AI Act
Quand l'Annexe III §5(b) s'applique-t-elle à un établissement de crédit ?
L'Annexe III §5(b) s'applique lorsque le système IA est destiné à évaluer la solvabilité de personnes physiques ou établir des scores de crédit, indépendamment de la localisation du fournisseur. Pour les établissements de crédit sous Règlement (UE) 575/2013 utilisant un scoring IA tiers (ou fine-tunant un modèle vendeur sur données internes), la cascade déployeur s'active : Article 26 §1–§12 + Article 27 FRIA automatique + check Article 25(1)(b) reverse-bascule.
Quelle est l'exception détection de fraude sous l'Article 5(b) ?
Le texte prévoit une seule exception étroite : la détection de fraude, mais uniquement lorsque la détection de fraude est l'usage principal du système IA, précédant toute autre finalité (Projet de lignes directrices Commission sur l'Article 6, §307, 19 mai 2026). Les systèmes qui combinent évaluation de solvabilité et détection de fraude ne bénéficient pas de l'exception.
Pourquoi le FRIA Article 27 est-il automatique pour les déployeurs bancaires ?
Contrairement au HRTech (où le FRIA est conditionnel à l'activation comité d'entreprise) ou au healthcare (où le FRIA ne s'applique pas du tout), les déployeurs bancaires Annexe III §5 font face à un FRIA automatique dès que les obligations Annexe III contraignent. L'évaluation d'impact sur les droits fondamentaux n'est pas optionnelle pour les établissements de crédit.
Comment l'Article 144 CRR (IRB) interagit-il avec l'AI Act ?
Un système IA utilisé à la fois pour le scoring crédit de personnes physiques et pour des fins prudentielles sous l'Article 144 CRR (approche notations internes IRB) reste haut risque sous l'Annexe III §5(b), indépendamment du fait que le même système soit également utilisé pour les notations internes ou le calcul des fonds propres (Projet de lignes directrices §§322–324). La seule voie de sortie est architecturale : séparer scoring crédit et IRB en deux systèmes IA distincts.
Appliquez-le à votre position
Le diagnostic 9 questions identifie si vous déclenchez l'Annexe III §5, l'Article 27 FRIA ou l'Article 25 reverse-bascule en tant que déployeur bancaire. 60 secondes. Zéro donnée collectée.
Cette page est informationnelle. Elle ne constitue pas un avis juridique, une détermination réglementaire, ni une évaluation de conformité au sens de l'Article 43 AIA. Les classifications spécifiques pour tout déployeur bancaire spécifique requièrent un screening personnalisé. Les établissements de crédit se reconnaissant dans la description Annexe III §5 doivent consulter un conseil juridique qualifié et, le cas échéant, le superviseur pertinent (BCE-MSU, EBA, ACPR pour les établissements de crédit français, AMF pour les services d'investissement, ainsi que la doctrine FBF/AFG/France Assureurs pour les positions sectorielles) avant toute décision de conformité.
VOIR AUSSI
Annexe A · Le Multiplicateur Déployeur
Trois segments aval où la cascade AI Act devient visible. Banque couverte en §6.
Diagnostic gratuit
Évaluation 9 questions : gates spécifiques banque flagués.
Méthodologie Sprinkling Act
Le framework 6 gates derrière l'évaluation.
Tarifs
Évaluation gratuite. Rapport complet 690€. Pas d'abonnement.