CUSTOR 28 · Note réglementaire n° 001 · Lecture 5 min
Obligations IA pour les établissements financiers : ce qui s'applique, et à quelle échéance
En moins de dix minutes, cette analyse vous permet de distinguer le droit actuellement applicable, les évolutions annoncées et les échéances qui concernent réellement votre établissement.
Méthodologie
Cette analyse distingue systématiquement :
- le droit actuellement applicable ;
- les textes publiés mais non encore applicables ;
- les propositions ou accords politiques n'ayant pas encore produit d'effet juridique.
Sauf indication contraire, toutes les références sont issues des textes officiels de l'Union européenne.
Le malentendu qu'il faut lever
Un message circule actuellement dans le secteur financier : « les obligations IA sont reportées à 2027, on a le temps. » Cette affirmation est, au 25 juin 2026, juridiquement inexacte.
Un accord politique a effectivement été trouvé pour reporter une partie des obligations. Mais un accord politique n'est pas du droit. Tant que le texte n'est pas publié au JOUE, le calendrier en vigueur reste celui du Règlement (UE) 2024/1689 — c'est-à-dire le 2 août 2026 pour les obligations relatives aux systèmes à haut risque.
Cet écart entre ce qui est annoncé et ce qui est applicable est précisément le point où un établissement régulé peut se tromper. L'objet de ce document est de clarifier, échéance par échéance, ce qui s'applique réellement à vos systèmes d'IA.
Est-ce que cet article vous concerne ?
Si votre établissement utilise de l'IA dans l'une des fonctions suivantes, oui :
- scoring ou évaluation de la solvabilité d'une personne physique (crédit à la consommation, octroi, pré-octroi) ;
- tarification ou évaluation du risque en assurance (santé, vie) ;
- systèmes biométriques (vérification d'identité, onboarding KYC à composante biométrique) ;
- décisions liées à l'emploi (tri de candidatures, évaluation).
Ces cas relèvent de l'Annexe III du Règlement (UE) 2024/1689, qui liste les systèmes d'IA dits « à haut risque » par leur usage.
Un point d'attention immédiat pour les acteurs du crédit et de l'assurance : l'évaluation de la solvabilité et le scoring de crédit des personnes physiques, ainsi que la tarification et l'évaluation du risque en assurance santé et vie, sont visés par l'Annexe III. L'existence ou non d'exceptions pratiques — par exemple pour certains usages de détection de fraude — doit être appréciée à la lumière des textes applicables et, le cas échéant, des lignes directrices de la Commission lorsqu'elles seront stabilisées. Au 25 juin 2026, ces lignes directrices sont au stade de projet et n'ont pas de valeur juridique contraignante.
Ce qui est juridiquement acquis aujourd'hui
Le Règlement (UE) 2024/1689 est entré en vigueur et s'applique de manière échelonnée. Son article 113 fixe le principe : le Règlement s'applique à partir du 2 août 2026, avec des dérogations propres à certains chapitres (les interdictions de l'article 5 et les dispositions générales s'appliquant dès le 2 février 2025, la gouvernance dès le 2 août 2025).
En l'état du droit publié, les obligations relatives aux systèmes à haut risque de l'Annexe III (article 6(2)) s'appliquent donc au 2 août 2026. C'est la date opposable tant qu'aucune modification n'est publiée au JOUE.
Ce qui est voté, mais pas encore en vigueur
Un texte modificatif — désigné « AI Act Omnibus » — vise à reporter ces obligations. Son état d'avancement au 25 juin 2026 :
- accord politique entre le Parlement et le Conseil le 7 mai 2026 ;
- vote d'adoption du Parlement européen le 16 juin 2026 ;
- adoption formelle par le Conseil : attendue le 29 juin 2026, non encore intervenue à la date de cette note ;
- publication au JOUE et entrée en vigueur (trois jours après publication) : ensuite, attendues en juillet 2026, avant le 2 août.
Si — et seulement si — ce texte est publié au JOUE, les échéances deviendraient :
| Catégorie | Échéance initiale | Échéance reportée |
|---|---|---|
| Annexe III — systèmes à haut risque par usage (art. 6(2)) | 2 août 2026 | 2 décembre 2027 |
| Annexe I — IA intégrée à un produit réglementé (art. 6(1)) | 2 août 2027 | 2 août 2028 |
Tant que cette publication n'est pas intervenue, ces dates n'ont aucune valeur juridique. Un établissement qui interromprait sa préparation en pariant sur décembre 2027 ferait reposer sa conformité sur un texte qui n'est pas encore du droit.
Ce qui n'est PAS reporté — et qui s'applique bien en 2026
C'est le point le plus souvent négligé. Même dans l'hypothèse où l'Omnibus est publié, les obligations de transparence de l'article 50 ne sont pas reportées : elles s'appliquent au 2 août 2026 comme prévu initialement.
Ces obligations concernent notamment l'information de la personne lorsqu'elle interagit avec un système d'IA, et le marquage des contenus générés ou manipulés par IA. Un aménagement limité est prévu : pour les systèmes génératifs déjà mis sur le marché avant le 2 août 2026, l'obligation de marquage en format lisible par machine (art. 50(2)) serait reportée au 2 décembre 2026.
Pour un établissement financier, cela signifie qu'une échéance 2026 demeure, indépendamment du sort de l'Omnibus : celle de la transparence.
La vérité qui survit à toutes les dates
Le report, s'il se confirme, déplace les obligations. Il ne déplace pas le diagnostic.
Pour savoir quel régime s'applique à un système — haut risque ou non, Annexe III ou non, transparence ou non — il faut d'abord l'avoir qualifié. Cette qualification est un préalable indépendant du calendrier. Elle ne devient pas moins nécessaire parce qu'une échéance recule ; elle devient simplement moins urgente dans le temps, tout en restant le point de départ obligatoire.
Un élément renforce ce constat. Le mécanisme de filtre de l'article 6(3), qui permet à un fournisseur de considérer qu'un système listé en Annexe III ne présente pas de risque significatif, ne dispense pas d'obligations : le système doit faire l'objet d'une auto-évaluation documentée et d'un enregistrement. Conclure « hors haut risque » n'efface donc pas le travail — cela en déplace la nature vers la documentation et la justification.
Les questions à vous poser
Cette analyse n'a pas vocation à qualifier vos systèmes à votre place. Elle vise à vous permettre de mesurer si cette qualification est maîtrisée. Si, à l'issue de cette lecture, vous ne pouvez pas répondre avec certitude aux questions suivantes, il est probable qu'une revue de classification soit nécessaire :
- Disposez-vous d'un inventaire à jour des systèmes d'IA utilisés ou déployés par votre établissement, avec leur finalité documentée ?
- Pour chacun, savez-vous s'il relève ou non de l'Annexe III, et sur quel fondement précis ?
- Lorsque vous estimez qu'un système listé en Annexe III n'est pas à haut risque, cette position est-elle documentée au titre de l'article 6(3) et l'enregistrement est-il prévu ?
- Avez-vous identifié les systèmes soumis aux obligations de transparence de l'article 50, applicables au 2 août 2026 ?
- Êtes-vous en mesure de retracer, pour le régulateur, le raisonnement ayant conduit à chaque qualification ?
Sources réglementaires
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (« AI Act »), JO L du 12 juillet 2024 — articles 6, 50, 113 et Annexe III.
- AI Act Omnibus : accord politique du 7 mai 2026 ; vote du Parlement européen du 16 juin 2026 ; texte de compromis du Conseil (document 9247/26). Adoption formelle par le Conseil et publication au JOUE non intervenues au 25 juin 2026.
- Lignes directrices de la Commission européenne sur la classification des systèmes d'IA à haut risque (art. 6(5)) — projet publié le 19 mai 2026, en consultation, non encore adopté. Document non contraignant.
Les échéances et statuts mentionnés dans ce document reflètent l'état du droit à la date de dernière vérification indiquée en tête. Ils sont susceptibles d'évoluer dès publication de textes officiels au JOUE.
Fondateur de CUSTOR 28. 15 ans d'expérience en paiements, réglementation bancaire et transformation des systèmes financiers (ISO 20022, moteurs de paiement, conformité DORA & AI Act).
Version 1.0 · Dernière vérification : 25 juin 2026
Sources officielles : EUR-Lex / Commission européenne.