Régulation & conformité
Trois régulateurs, une chaîne de preuve.
AI Act, ACPR, RGPD : trois corpus, quatre exigences communes, une seule architecture qui les satisfait sans payer trois fois la facture.
Charles Dadi
Co-fondateur & CTO, Nexa Forward
26 mai 2026
10 min de lecture
La conformité IA en 2026, c'est trois régulateurs en parallèle
Pour un Directeur Conformité dans une banque, un assureur ou une mutuelle régulée en 2026, l'intelligence artificielle n'est plus un sujet d'innovation — c'est un sujet de gouvernance. Et la gouvernance, en IA d'entreprise, ne se joue pas devant un régulateur. Elle se joue devant trois, simultanément.
Le premier : l'AI Act européen, entré en vigueur en août 2024, dont les exigences sur les systèmes IA à haut risque deviennent pleinement applicables le 2 août 2026. Sanctions maximales : 35 millions d'euros ou 7% du chiffre d'affaires mondial.
Le deuxième : le corpus sectoriel. Pour la banque française, l'ACPR avec ses doctrines successives sur la gouvernance des modèles (notation interne, scoring crédit, lutte anti-blanchiment). Pour l'assurance, l'EIOPA et ses guidelines sur les modèles internes Solvabilité II. Pour les marchés financiers, l'AMF et ses prises de position sur l'usage des algorithmes en gestion d'actifs.
Le troisième : le RGPD, en vigueur depuis 2018, dont l'article 22 sur les décisions automatisées et le considérant 71 sur les algorithmes ont été réveillés par les contrôles récents des CNIL européennes sur les usages d'IA en milieu professionnel.
Trois corpus. Trois doctrines. Trois logiques d'inspection. La réaction naturelle d'une organisation est de monter trois projets parallèles : une équipe AI Act, une équipe ACPR, une équipe RGPD. C'est l'erreur la plus coûteuse — et la plus évitable — de 2026.
Échelle des sanctions
AI Act : jusqu'à 35 M€ ou 7% du chiffre d'affaires mondial pour les manquements les plus graves. RGPD : jusqu'à 20 M€ ou 4%. ACPR : sanctions disciplinaires assorties de mesures de gouvernance, pouvant aller jusqu'au retrait d'agrément.
Sources : Règlement (UE) 2024/1689, RGPD, Code monétaire et financier.
Ce que les trois ont en commun : quatre exigences identiques
Quand on lit attentivement les trois corpus côte à côte — ce que peu d'organisations font, parce que les trois équipes sont en silos — on découvre que les trois disent fondamentalement la même chose, avec un vocabulaire différent.
Quatre exigences se croisent systématiquement, dans tous les corpus, pour toutes les décisions IA critiques :
- Documentation des données. D'où viennent les données utilisées par le modèle ? Quelle est leur lignée ? Sont-elles à jour ? Représentatives ? Conformes au consentement initial ? L'AI Act l'appelle data governance (article 10), le RGPD l'appelle lignée et finalité, l'ACPR l'appelle qualité des données d'entrée.
- Traçabilité des décisions. Pour chaque décision produite, qui l'a déclenchée, sur quels paramètres, à quel moment, avec quel résultat ? L'AI Act l'appelle record-keeping (article 12), le RGPD l'appelle traçabilité du traitement, l'ACPR l'appelle journal de décision ou audit trail.
- Validation humaine. Une décision IA à fort impact ne peut pas être pleinement automatique. Un humain doit pouvoir comprendre, intervenir, contester. L'AI Act l'appelle human oversight (article 14), le RGPD l'appelle droit à l'intervention humaine (article 22), l'ACPR l'appelle cadre de validation.
- Capacité de rejeu. Une décision passée doit pouvoir être reproduite à l'identique. Si on relance le même modèle, sur les mêmes données, avec les mêmes paramètres, on doit obtenir le même résultat. L'AI Act parle de reproductibilité, l'ACPR parle de réplicabilité du modèle en production, le RGPD parle de capacité d'audit.
Ces quatre exigences se recoupent. Elles ne nécessitent pas trois infrastructures distinctes. Elles nécessitent une chaîne de preuve unique, pensée dès la conception, qui satisfait les trois corpus en un seul effort.
Les trois régulateurs ne demandent pas trois choses différentes. Ils demandent la même chose, dite trois fois, avec un vocabulaire propre à chacun.
Anatomie d'une chaîne de preuve qui satisfait les trois
Une chaîne de preuve native — c'est-à-dire intégrée à la plateforme IA dès l'origine, et non reconstruite après coup à coups de scripts et de tableurs — repose sur trois composants techniques, bien identifiés, qui correspondent chacun à une famille d'exigences réglementaires.
Composant 1 — Le reçu technique de chaque décision
À chaque fois qu'une décision IA est produite par la plateforme, un reçu technique est généré automatiquement. Ce reçu contient : l'identifiant unique de la décision, l'horodatage exact, la version du modèle utilisé, les données d'entrée hashées (pas les données elles-mêmes — leur empreinte), les paramètres effectifs de l'appel, le résultat brut produit, et l'identité du destinataire métier de la décision.
Ce reçu est tamper-resistant : il ne peut être ni modifié ni supprimé sans laisser une trace. C'est ce qui répond à l'article 12 de l'AI Act, à la lignée RGPD et au journal de décision ACPR. Un seul composant, trois conformités.
Composant 2 — L'écran de justification pour le validateur humain
Avant qu'une décision IA à fort impact ne devienne définitive, un humain doit pouvoir la comprendre et la contester. Pas symboliquement : réellement. Cela suppose une interface de justification qui montre au validateur : quelle décision a été produite, sur quelles bases, avec quel niveau de confiance, et — crucialement — quels arguments iraient contre cette décision.
Cette interface est ce qui permet à un opérateur de scoring crédit de dire « je ne valide pas cette décision parce que… », et à cette dissidence d'être archivée comme un événement de plein droit, pas comme une « exception » évanouie. C'est ce que l'article 14 de l'AI Act exige explicitement, ce que l'article 22 du RGPD préfigure depuis 2018, et ce que l'ACPR vérifie systématiquement dans ses inspections sur les modèles de scoring.
Composant 3 — Le dossier d'audit reproductible
À la demande d'un commissaire aux comptes, d'un inspecteur ACPR ou d'une CNIL, l'organisation doit pouvoir produire — en heures, pas en semaines — un dossier d'audit couvrant un périmètre temporel et fonctionnel donné. Ce dossier contient l'ensemble des reçus techniques, les écrans de justification archivés, la version exacte des modèles et politiques actives sur la période, et les capacités de rejeu pour confirmer que les décisions sont reproductibles.
Ce dossier est exporté dans un format standardisé : PDF lisible pour le régulateur, JSON structuré pour les outils internes d'audit. C'est ce qui transforme un « audit ACPR » qui prenait six semaines en un dossier produit en deux jours, et un « audit AI Act » qui semblait insurmontable en une routine opérationnelle.
Mapping entre les trois composants et les trois régulateurs
Pour rendre cette correspondance concrète, voici le mapping entre les trois composants techniques et les exigences spécifiques des trois corpus réglementaires :
| Exigence | AI Act (UE 2024/1689) | ACPR / sectoriel | RGPD |
|---|---|---|---|
| Documentation des données | Article 10 — Data governance | Doctrine sur la qualité des données d'entrée | Articles 5, 30 — Lignée et registre |
| Traçabilité des décisions | Article 12 — Record-keeping | Audit trail des décisions de scoring | Articles 5, 30 — Traçabilité |
| Validation humaine | Article 14 — Human oversight | Cadre de validation à quatre yeux | Article 22 — Droit à l'intervention |
| Capacité de rejeu | Article 17 — Quality management | Réplicabilité du modèle en production | Article 32 — Capacité de restauration |
Ce mapping n'est pas un exercice intellectuel. Il a une conséquence opérationnelle directe : une organisation qui dispose des trois composants techniques décrits ci-dessus a, par construction, satisfait les trois corpus réglementaires. Et ce, pour le coût d'une seule infrastructure, pas de trois.
Ce que ça change pour une Direction Conformité
Concrètement, dans la vie d'une Direction Conformité d'une institution financière régulée en 2026, trois choses changent.
L'audit ACPR se prépare en heures, pas en semaines
Un contrôle ACPR sur les modèles de scoring impliquait jusqu'à présent des semaines de mobilisation interne : reconstitution des décisions passées, recherche des emails de validation, recoupements entre fichiers Excel et exports SQL. Avec une chaîne de preuve native, l'inspecteur reçoit un dossier d'audit complet sur le périmètre demandé en moins de 48 heures, exporté à partir du système, sans intervention humaine reconstructrice.
L'incident AI Act se documente en un fichier exportable
L'AI Act prévoit, à partir de 2026, un régime d'incident reporting pour les systèmes IA à haut risque. En cas d'incident sérieux, l'organisation doit produire en quelques jours une documentation détaillée : contexte, décisions produites, paramètres en cours, justifications archivées. Sans chaîne de preuve native, c'est une mission de plusieurs personnes pendant deux semaines. Avec, c'est un export structuré.
La demande RGPD se trace en un clic
Une personne concernée demande à une banque « sur quelle base avez-vous refusé mon dossier de crédit le 14 mars ? ». Sans architecture adaptée, la réponse mobilise une équipe pendant plusieurs jours. Avec une chaîne de preuve native, le reçu technique de la décision du 14 mars est récupéré en un clic, les sources et les paramètres affichés, le justificatif archivé exposé. Réponse en moins d'une heure, conforme au délai d'un mois imposé par le RGPD avec une marge de sécurité considérable.
La conformité comme avantage concurrentiel
L'erreur stratégique la plus fréquente, en 2026, est de considérer la conformité IA comme un coût défensif. C'est un raisonnement de court terme. Pour les organisations qui auront industrialisé leur chaîne de preuve avant le 2 août 2026, la conformité va devenir un avantage concurrentiel mesurable.
Trois mécaniques concrètes :
Coût marginal d'audit divisé par cinq. Là où un concurrent dépensera 300 à 500 jours-homme par an en préparation d'audits réglementaires, une organisation bien outillée en dépense 60 à 100. Ce différentiel se traduit en EBIT.
Vitesse de mise en marché de nouveaux produits IA multipliée par deux ou trois. Un nouveau modèle de scoring crédit ou de tarification assurance peut être déployé en respectant les exigences réglementaires en 2 à 3 mois, contre 8 à 12 sans infrastructure conforme. Sur un marché où la vitesse compte, c'est une avance structurelle.
Notation extra-financière supérieure. Les agences de notation ESG et les frameworks émergents de notation IA (la directive CSRD intègre désormais des éléments de gouvernance algorithmique) distinguent les organisations auditables et tracées des autres. Le différentiel sur le coût du capital n'est plus négligeable : 10 à 30 points de base sur des dettes hybrides ou subordonnées, selon les premiers retours du marché obligataire européen.
Le bilan stratégique
Les organisations qui auront industrialisé leur chaîne de preuve en 2026 verront leurs concurrentes payer 3 à 5 fois plus cher leurs audits, leurs litigations, leurs ré-évaluations réglementaires. Sur un cycle de cinq ans, c'est une avance compétitive structurelle.
Conclusion : la chaîne de preuve n'est pas un projet, c'est une architecture
Le piège des trois corpus réglementaires, c'est de les traiter comme trois projets. Trois équipes, trois outils, trois budgets, trois calendriers. C'est ce que la majorité des grandes entreprises feront en 2026, et c'est ce qui leur coûtera le plus cher — financièrement et stratégiquement.
L'alternative est plus simple et plus défendable : traiter la conformité IA comme une architecture, pas comme un projet. Une architecture qui produit, par construction, les preuves dont les trois régulateurs ont besoin. Une architecture qui ne dépend pas d'un effort humain rétrospectif. Une architecture qui devient, avec le temps, un actif stratégique défendable.
Pour les organisations critiques qui prennent l'AI Act au sérieux, le calendrier est court : l'application pleine arrive le 2 août 2026. Construire une chaîne de preuve native demande six à douze mois. L'arithmétique est sans appel.
Sources
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (« AI Act »). Articles 10 (data governance), 12 (record-keeping), 14 (human oversight), 17 (quality management). Application des exigences haut risque : 2 août 2026. Sanctions jusqu'à 35 M€ ou 7% du CA mondial. digital-strategy.ec.europa.eu
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »). Articles 5 (lignée), 22 (décisions automatisées), 30 (registre des activités), 32 (sécurité du traitement).
- Autorité de contrôle prudentiel et de résolution (ACPR), Gouvernance des modèles d'intelligence artificielle dans le secteur financier, documents de doctrine successifs 2020-2025.
- Commission européenne, AI Act Service Desk : obligations applicables aux systèmes IA agentiques à compter du 2 août 2026 si classifiés haut risque, FAQ officielle. ai-act-service-desk.ec.europa.eu
- Pearl Cohen, New Guidance under the EU AI Act Ahead of its Next Enforcement Date, 31 décembre 2025. Première guidance espagnole (AESIA) en 16 documents techniques sur les obligations haut risque.
Pour aller plus loin
Vision & stratégie · 8 min
La 3ème vague de l’IA d’entreprise.
Pourquoi cette nouvelle vague est précisément celle qui rend possible la chaîne de preuve native que les trois régulateurs exigent.
Gouvernance IA · 9 min
Le capital algorithmique.
La traçabilité réglementaire est aussi ce qui rend l'IA défendable comme actif au bilan. La conformité est patrimoniale.
Votre chaîne de preuve est-elle prête pour le 2 août 2026 ?
30 minutes de discussion. Nous regardons ensemble la cartographie de vos systèmes IA à haut risque et leur état de préparation aux trois corpus réglementaires.
Demander un échange