5 min de lecture

Compliance FINMA à l'ère de l'IA

La Guidance FINMA 08/2024 exige une gouvernance de l'IA des établissements assujettis. Ce que cela signifie concrètement et comment les institutions financières suisses devraient réagir.

FINMAComplianceIARéglementation
Compliance FINMA à l'ère de l'IA

La FINMA a publié en décembre 2024 la Guidance 08/2024 sur la gouvernance et la gestion des risques lorsque des établissements assujettis utilisent l’intelligence artificielle. La gouvernance de l’IA n’est plus optionnelle ; c’est une attente prudentielle. Pour les départements de conformité des banques, assurances et gestionnaires de fortune, cela signifie de nouvelles obligations, une nouvelle documentation, de nouveaux processus.

Cet article explique ce que la FINMA exige concrètement, où se situent la plupart des établissements aujourd’hui et quelles mesures doivent être prioritaires.

Ce que la Guidance FINMA 08/2024 exige

La guidance ne crée pas de nouvelles lois. Elle concrétise les obligations prudentielles existantes dans le contexte des systèmes d’IA. Les exigences fondamentales :

1. Établir un inventaire des systèmes d’IA

Chaque établissement assujetti doit savoir quels systèmes d’IA il utilise. Pas seulement les plus évidents (chatbots, détection de fraude), mais tous les systèmes qui prennent ou préparent des décisions automatisées. Un CRM avec un lead scoring intégré est un système d’IA. Un classificateur automatique de documents aussi.

La FINMA attend un inventaire complet comprenant : nom du système, finalité, données d’entrée, résultats décisionnels, fournisseur, domaine d’utilisation et évaluation des risques.

2. Procéder à la classification des risques

Chaque système d’IA inventorié doit être évalué selon son risque. La FINMA ne prescrit pas de matrice de classification rigide, mais elle attend une méthodologie traçable. Dimensions de risque pertinentes : impact sur les décisions clients, sensibilité des données, explicabilité, potentiel de biais.

Un chatbot interne assistant les collaborateurs pour les questions RH présente un risque moindre. Un modèle de scoring de crédit qui participe aux décisions hypothécaires présente un risque élevé. La classification détermine la profondeur des exigences de gouvernance.

3. Documenter le cadre de gouvernance

Pour les risques moyens et élevés, la FINMA exige un cadre de gouvernance documenté. Celui-ci comprend : des responsabilités claires (qui décide du déploiement de l’IA ?), des processus d’approbation (comment un nouveau système d’IA est-il autorisé ?), une surveillance continue (comment la qualité du modèle est-elle vérifiée ?) et une gestion des incidents (que se passe-t-il lorsqu’un système d’IA fournit des résultats erronés ?).

4. Rendre compte au conseil d’administration

La guidance précise que le conseil d’administration porte la responsabilité globale des risques liés à l’IA. Cela signifie : le CA doit être informé des systèmes d’IA utilisés par l’établissement, des risques existants et de la manière dont ils sont atténués. Un rapport annuel sur les risques liés à l’IA au CA est l’attente minimale.

Où en sont la plupart des établissements aujourd’hui

La réalité dans la plupart des établissements financiers suisses de taille moyenne se présente ainsi :

  • Aucun inventaire complet des systèmes d’IA n’existe. Des départements individuels utilisent des outils d’IA (souvent ChatGPT Enterprise) sans que le département de conformité en soit informé.
  • La classification des risques fait défaut, car personne n’a défini ce que «l’IA» englobe précisément dans le contexte institutionnel.
  • Des cadres de gouvernance existent pour les risques IT en général, mais pas spécifiquement pour l’IA.
  • Le CA a le sujet sur son radar, mais n’a pas reçu de reporting structuré.

Ce n’est pas un reproche. C’est le point de départ. La guidance est récente, les exigences sont nouvelles et la plupart des établissements agissent de bonne foi. Mais la FINMA posera la question lors de la prochaine inspection. Et la documentation devra être en place.

Cinq étapes prioritaires

Étape 1 : établir l’inventaire des systèmes d’IA (effort : 2-4 semaines)

Interrogez chaque département : «Quels outils logiciels utilisez-vous qui génèrent des recommandations, évaluations ou décisions automatisées ?» Consignez tout dans une liste structurée. Y compris les outils de prestataires tiers. Y compris l’utilisation de ChatGPT sur les appareils professionnels.

Étape 2 : réaliser l’évaluation des risques (effort : 1-2 semaines)

Définissez une matrice de risque à au moins trois niveaux (faible, moyen, élevé). Évaluez chaque système. Documentez la justification. La méthodologie doit être traçable, pas parfaite.

Étape 3 : rédiger les politiques de gouvernance (effort : 2-4 semaines)

Pour les systèmes à risque élevé : qui approuve le déploiement ? Qui surveille la qualité du modèle ? Quelles voies d’escalade existent ? Pour tous les systèmes : qui est le responsable IA interne ?

Étape 4 : préparer un rapport pour le CA (effort : 1 semaine)

Un rapport structuré : nombre de systèmes d’IA, répartition des risques, état de la gouvernance, lacunes identifiées, plan de mesures. Le CA a besoin d’une vue d’ensemble, pas de détails.

Étape 5 : mettre en place une veille continue (effort : continu)

Les changements réglementaires dans le domaine de l’IA surviennent en permanence. La FINMA développera la guidance. Ceux qui ne suivent pas systématiquement les évolutions prendront du retard.

Le lien avec le EU AI Act

Les institutions financières suisses servant des clients dans l’UE doivent également observer le EU AI Act en plus de la Guidance FINMA. La pleine application débute le 2 août 2026. Les exigences se chevauchent partiellement (évaluation des risques, documentation, surveillance humaine), mais vont plus loin dans certains domaines (marquage CE, enregistrement dans la base de données UE, évaluation de conformité).

Une stratégie de conformité intégrée couvrant les deux cadres réglementaires permet de gagner du temps et d’éviter les doublons.

Ce que fait Mont Virtua

Nous construisons une plateforme qui surveille les circulaires FINMA, les lignes directrices et les changements réglementaires en temps réel. 27 tables FINMA sont déjà structurées et interrogeables. Chaque réponse fait référence à la source officielle. Hébergé en Suisse. Pas de US Cloud Act.

Nous proposons également une évaluation structurée de conformité au EU AI Act : classification des risques, analyse des lacunes documentaires et plan de mesures. Pas d’honoraires de conseil ouverts, mais un prix fixe clairement défini.

Informations complémentaires : montvirtua.com

Cet article est publié à titre informatif et ne constitue pas un conseil juridique.

Retour au blog

Articles similaires

7 April 2026

Ce que le EU AI Act signifie pour les fiduciaires suisses

Le EU AI Act ne concerne pas que les entreprises technologiques. Les fiduciaires qui utilisent des outils d'IA ou accompagnent des mandants ayant des liens avec l'UE doivent agir. Un guide pratique.
3 April 2026

Guidance FINMA 08/2024 : gouvernance de l'IA pour les institutions financières suisses

La FINMA exige des banques et assurances une gouvernance systématique de l'IA. Ce que la circulaire 08/2024 demande concrètement, quels délais s'appliquent et comment se préparer.
1 April 2026

Pourquoi l'IA fonctionne différemment dans les secteurs réglementés

Les modèles d'IA de pointe refusent les conseils juridiques, médicaux et financiers. Pourquoi les secteurs réglementés ont besoin de systèmes spécialisés et vérifiés aux sources.