À partir d'août 2026, les obligations de l'AI Act s'appliquent aux systèmes IA à haut risque listés à l'Annexe III. Pour les fintechs et établissements financiers français, la catégorie 5b de l'Annexe III est particulièrement critique : elle classe comme haut risque les systèmes IA utilisés pour évaluer la solvabilité des personnes physiques et établir leur score de crédit.
Si votre entité utilise un moteur de scoring crédit, un modèle de détection de fraude basé sur l'IA, ou un système automatisé d'octroi de prêts — vous êtes probablement concerné. Les sanctions pour non-conformité atteignent 3% du chiffre d'affaires mondial annuel.
Les obligations pour les systèmes IA à haut risque (Annexe III) entrent en application le 2 août 2026. Les entités qui n'ont pas encore réalisé leur inventaire IA sont en retard.
Quels systèmes sont concernés par la catégorie 5b ?
L'Annexe III, point 5(b) du Règlement (UE) 2024/1689 vise :
"Les systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur score de crédit, à l'exception des systèmes d'IA utilisés pour détecter les fraudes financières."
Concrètement, sont visés :
| Type de système | Classification | Commentaire |
|---|---|---|
| Moteur de scoring crédit automatisé | HAUT RISQUE | Modèle ML/IA qui calcule un score pour décision d'octroi |
| Système d'octroi automatique de prêts | HAUT RISQUE | Décision automatisée sans intervention humaine significative |
| Scoring comportemental (BNPL) | HAUT RISQUE | Évaluation de la capacité de remboursement en temps réel |
| Détection de fraude par IA | RISQUE LIMITÉ | Explicitement exclu du point 5b — mais obligations de transparence |
| Règles métier statiques (scorecard fixe) | RISQUE MINIMAL | Si pas d'IA — hors scope AI Act. Vérifier la définition Art. 3(1) |
| Robo-advisor allocation d'actifs | HAUT RISQUE | Catégorie 5b si décisions affectant la situation financière personnelle |
Les 6 obligations concrètes pour un système haut risque
Un système IA classifié haut risque au titre de l'Annexe III doit satisfaire à 6 obligations cumulatives :
Le cas spécifique des SGP et de l'AMF
Pour les Sociétés de Gestion de Portefeuille (SGP), l'AMF a publié en 2025 ses premières orientations sur l'utilisation de l'IA. Les systèmes de robo-advisory et de gestion algorithmique de portefeuille sont dans le viseur — non seulement au titre de l'AI Act mais aussi des obligations MIF II existantes.
La superposition AI Act + MIF II crée une double obligation de documentation et de supervision humaine. Les SGP qui n'ont pas encore réalisé leur inventaire IA ont jusqu'à août 2026 pour se mettre en conformité.
Par où commencer : les 3 premières actions
1. Inventaire IA — Lister tous les systèmes qui utilisent de l'IA ou du ML dans vos processus métier. La définition d'un système IA au sens de l'Art. 3(1) est large — inclut les modèles de scoring, les règles adaptatives, et les systèmes de recommandation.
2. Classification — Pour chaque système identifié, évaluer s'il entre dans l'une des catégories de l'Annexe III. La catégorie 5b n'est pas la seule pertinente pour les fintechs — les catégories 6 (assurance) et 8 (répression) peuvent aussi s'appliquer.
3. Priorisation — Concentrer les efforts de mise en conformité sur les systèmes haut risque les plus utilisés. Un moteur de scoring qui traite 10 000 dossiers par jour est prioritaire sur un outil d'analyse interne occasionnel.
Références réglementaires
- Règlement (UE) 2024/1689 — AI Act — Annexe III point 5(b)
- Art. 9 à 15 — Obligations systèmes haut risque
- Art. 71 — Base de données EU des systèmes haut risque
- Orientations AMF 2025 — IA dans la gestion de portefeuille