Ce qu’il faut savoir sur les nouvelles règles encadrant l’IA dans le secteur financier

L'intelligence artificielle (IA) n'est pas un concept nouveau dans le secteur financier ; alors, pourquoi les questions réglementaires liées à cette technologie suscitent-elles aujourd’hui un regain d'intérêt ? La réponse est simple : la rapidité de développement de l'IA exige des réponses à la fois proactives et adaptatives de la part des autorités nationales et des organismes intergouvernementaux. Actuellement, on observe d’importantes disparités entre pays concernant la portée et l’approche des réglementations existantes, de même que sur les nouveaux aspects à réglementer et les modalités de mise en œuvre. 

De nombreuses institutions suivent de près l'évolution de la réglementation de l'IA. Des organismes de normalisation et des organisations internationales ont publié des outils de suivi réglementaires (OCDE et Commission européenne), des indicateurs de préparation (FMI et UNESCO), des panoramas réglementaires complets (CSF, 2024 ; BRI, 2021, 2024 ; AICA, 2023 ; FMI, 2024 ; OCDE, 2021a, 2021b, 2023 et 2024, et Banque mondiale, 2025), et des consultations auprès d’institutions financières sur les cas d'utilisation et les contraintes réglementaires (Commission européenne, 2024 ; AICA, 2024 ; OICV, 2025).

Le CGAP a identifié cinq grandes tendances mondiales dans la réglementation de l'IA à partir d’une analyse documentaire couvrant plus de cent juridictions. 

1) L'IA est devenue une priorité stratégique à l’échelle mondiale

En février 2025, au moins 116 juridictions (voir la carte ci-dessous) avaient pris des mesures décisives pour promouvoir l'IA par le biais de stratégies nationales telles que #AIforall en Inde, l'Agenda AI 2030 au Mexique, NAIS2.0 à Singapour et la stratégie sur l'IA pour la création d'emplois en Zambie. Qu’elles soient juridiquement contraignantes ou non, ces stratégies traduisent un engagement à long terme à mettre l'IA au service de la croissance, de l'innovation et de la productivité. L’adoption d’un agenda limité dans le temps incite à développer, déployer, adopter et encadrer l’IA dans des secteurs stratégiques tels que l'agriculture, l'éducation, l'énergie, la finance, la santé, l'industrie et les technologies. 

2) Il n'existe pas de définition universelle de l'IA

Les organismes de normalisation et les autorités réglementaires conçoivent l'IA différemment (voir figure 2). Deux éléments communs se dégagent toutefois : 

• La capacité à accomplir des tâches humaines impliquant raisonnement, apprentissage et prise de décision ;
• La capacité à collecter et interpréter de grandes quantités d'informations.

3) Réglementations contraignantes et réglementations souples coexistent

Une réglementation contraignante, c’est-à-dire des règles légalement obligatoires applicables à un large éventail de secteurs, a été adoptée dans 31 juridictions, dont la Chine, l'UE, le Pérou et la Corée du Sud. Quelque 17 autres juridictions introduisent un projet de loi ou évaluent la nécessité de rédiger une réglementation transversale non sectorielle (par exemple, le Brésil, le Ghana, l'Indonésie, la Suisse, la Thaïlande et l'Uruguay – voir figure 3). Les réglementations adoptées sont, selon les cas, génériques ou spécifiques. Ainsi, l’UE, pionnière en matière réglementaire, a adopté une approche fondée sur les risques afin de garantir la confiance et le contrôle humain à chaque étape du cycle de vie de l’IA. La Chine, pour sa part, encadre des applications concrètes : registre centralisé des algorithmes, obligation de divulguer les sources d’entraînement des modèles, ou encore recommandations spécifiques pour l’IA générative. 

En parallèle, 85 juridictions (voir la carte ci-dessous), y compris certaines ayant une réglementation contraignante, ont adopté une réglementation souple (lignes directrices non contraignantes telles que des codes de conduite ou des principes de haut niveau). Cette démarche peut passer par l’autorégulation (par exemple, la norme de sécurité de l'IA australienne), des codes de pratique (par exemple, la LIAD canadienne) ou des cadres éthiques (par exemple, le cadre éthique de l'IA de Hong Kong). En pratique, l’adhésion à des principes de référence, y compris ceux adoptés dans des instances intergouvernementales (ANASE, déclaration de Bletchley, G7, G20, OCDE, ONU et UNESCO), aide les régulateurs à fixer un cadre éthique sans recourir immédiatement à l'action législative. Une autre solution consiste à intégrer ces principes dans la loi.

4) Le modèle de gouvernance idéal pour la supervision de l'IA reste à définir 

Compte tenu de la nature transversale de l'IA, les approches en matière de gouvernance varient : autorégulation (par exemple, la norme de sécurité volontaire australienne pour la marquage de l’IA), agences et registres dédiés à l'IA (par exemple, l'Autorité pour l'IA spécialisée au Pérou, l'Administration du cyberespace en Chine), ou encore rattachement des fonctions de supervision aux autorités existantes en fonction des cas d'utilisation, dont les superviseurs financiers et les agences de protection des données (par exemple, en Indonésie, à l'île Maurice, dans l'UE). Mais à ce jour, aucun modèle de gouvernance optimal ne fait consensus, tant cette question dépend des contextes nationaux. 

5) Les lignes directrices spécifiques à l’IA dans la finance restent limitées 

Au moins 50 juridictions (voir carte ci-dessous) ont publié des lignes directrices spécifiques à l’usage de l’IA par les institutions financières. Quatre types d’outils ont été identifiés, en général non contraignants, sauf lorsqu’ils visent des activités strictement réglementées ou l’application de règles existantes.

(i) Principes éthiques

Les autorités financières soutiennent de plus en plus des principes tels que la responsabilité, l'équité, la robustesse et la transparence. Les principes SAFEST de la DNB (Pays-Bas), les principes de haut niveau sur l'IA de la HKMA (Hong Kong), le code de conduite de l’OJK (Indonésie), la directive de la FSC (Corée) et les principes FEAT de la MAS (Singapour) illustrent les cadres éthiques de l'IA dans la finance, alignés sur les engagements nationaux et supranationaux mentionnés ci-dessus.

(ii) Consultations ciblées

Ces consultations visent à recueillir les retours des institutions financières sur le taux d’adoption de l’IA, l’exposition aux risques liés aux tiers, le degré d’autonomie dans la prise de décision par IA, ou encore les obstacles et lacunes réglementaires potentiels (exemples : Banque du Japon, Autorité des marchés financiers de Nouvelle-Zélande, Inspection des finances de Suède, Autorité de la conduite financière du Royaume-Uni, Trésor des États-Unis). Il est intéressant de noter que ces enquêtes ont mis en évidence la nécessité d'harmoniser les exigences réglementaires existantes aux échelons nationaux et supranationaux. Les acteurs interrogés aux États-Unis ont souligné les conflits entre législations étatiques, tandis que les institutions britanniques ont évoqué des divergences avec les règles de l’UE susceptibles de générer de l’arbitrage réglementaire.

(iii) Points de vue et orientations des autorités de supervision

Certaines autorités partagent leurs vues sur les opportunités et les risques liés à l'adoption de l'IA dans la finance (Luxembourg, Nigeria, par exemple) et donnent la priorité aux activités de supervision en raison des risques émergents de contagion et de concentration (comme la FMA en Autriche). Les efforts en cours visent notamment à : (i) garantir la conformité aux exigences existantes (p. ex. position de l'ESMA sur l'IA et la directive MiFID II) ; (ii) adapter les règles existantes aux caractéristiques spécifiques de l'IA, notamment au risque de biais et d’hallucinations (comme le Canada, l'Autorité bancaire européenne, l'Allemagne, la Malaisie et le Royaume-Uni) ; et (iii) informer les consommateurs de services financiers des risques inhérents aux outils pilotés par l'IA (par exemple, l'avertissement de l'ESMA sur l'utilisation de l'IA pour l'investissement, et l'avertissement de la FINRA sur les fraudes par IA générative visant les investisseurs).

(iv) Règles spécifiques à l'IA

L'île Maurice a introduit une licence spécifique (« Robotic and AI Enabled Advisory License ») pour superviser les prestataires offrant des conseils financiers automatisés par IA. En Colombie, les clients recevant des conseils financiers automatisés peuvent demander des conseils financiers complémentaires à des conseillers humains certifiés. Le Qatar a également adopté des règles spécifiques exigeant que les institutions financières qui utilisent, développent ou déploient l'IA renforcent leurs cadres de gouvernance des risques, sollicitent une autorisation avant de lancer un outil d'IA et informent les clients sur les risques liés à une prise de décision impliquant l'IA.

Dans l'ensemble, nos recherches montrent que l’encadrement de l’IA appliquée à la finance reste à un stade précoce 

Trois facteurs peuvent l’expliquer : 

• Le consensus qui prévaut autour du principe de neutralité technologique dans la réglementation financière ;
• Le fait que les cadres existants traitent déjà des risques financiers et non financiers potentiellement amplifiés par l'IA ;
• La nature transversale de l'IA, qui touche à de multiples domaines réglementaires. 

Si la réglementation ne constitue pas à elle seule une solution miracle pour atténuer les risques et libérer le plein potentiel de l’IA, le secteur financier réclame davantage de repères et d’orientations pour en faire un usage responsable. Dans le prochain article de cette série, nous approfondirons ce panorama afin de nourrir la réflexion sur les leviers à la disposition des autorités de régulation pour encadrer efficacement l’usage de l’IA dans la finance.

N/A : comprend les pays pour lesquels nous n'avons pas pu trouver d'informations en ligne dans un format consultable, ou les cas où les informations sur les initiatives publiées par les autorités réglementaires ne sont pas disponibles. Dans certains cas, il s'agit également de juridictions dans lesquelles les autorités ont mentionné leur intention de publier une stratégie ou une règlementation, mais où il n'existe aucune trace formelle de ces initiatives. Les frontières, les couleurs et toute autre information figurant sur les cartes n'impliquent, de la part du CGAP et du GBM, aucun jugement sur le statut juridique d'un territoire, ni aucune approbation ou acceptation de ces frontières.