8 min de lecture

Guidance FINMA 08/2024 : gouvernance de l'IA pour les institutions financières suisses

La FINMA exige des banques et assurances une gouvernance systématique de l'IA. Ce que la circulaire 08/2024 demande concrètement, quels délais s'appliquent et comment se préparer.

FINMAGouvernance IAComplianceBanqueAssuranceAI Governance

Guidance FINMA 08/2024 : gouvernance de l’IA pour les institutions financières suisses

Avec la circulaire 08/2024, la FINMA a créé pour la première fois un cadre concret pour l’utilisation de l’intelligence artificielle dans les établissements assujettis. Ce qui était considéré comme une bonne pratique devient contraignant. Pour les responsables de la conformité des banques et assurances, cela signifie : structurer, documenter, démontrer.

Cet article décompose la circulaire en ses composantes pratiques. Pas de résumé du document de synthèse. Des exigences concrètes, des étapes concrètes.

Ce que la FINMA exige : cinq piliers

1. Inventaire des systèmes d’IA

Chaque établissement assujetti doit tenir un inventaire complet de tous les systèmes d’IA. C’est plus simple à dire qu’à faire.

Un inventaire IA conforme aux standards FINMA comprend :

  • Nom et description du système : que fait le système ? Dans quel processus métier est-il intégré ?
  • Classification : aide à la décision ou décision autonome ? Destiné aux clients ou interne ?
  • Évaluation du risque : basée sur l’impact d’un dysfonctionnement. L’évaluation automatisée de crédit a un profil de risque différent d’un chatbot RH interne.
  • Sources de données : quelles données alimentent le système ? Données personnelles ? Données financières ? Données clients ?
  • Responsabilités : qui est responsable au plan opérationnel ? Au plan technique ? Qui a donné l’approbation ?
  • Dernier examen : quand le système a-t-il été validé pour la dernière fois ?

La FINMA attend que cet inventaire soit tenu à jour. Pas une fois par an. En permanence.

Défi pratique : dans la plupart des établissements, personne ne sait précisément combien de systèmes d’IA sont en service. Les listes Excel du département IT recensent les outils officiels. Mais l’analyste qui utilise ChatGPT pour des résumés ou l’équipe qui a intégré un service de scoring externe n’y figurent pas. La FINMA vise tout. Y compris l’IA intégrée dans les logiciels achetés.

2. Évaluation des risques et classification

La FINMA travaille avec un modèle de risque à trois niveaux pour les systèmes d’IA :

Risque élevé :

  • Systèmes ayant un impact direct sur les clients (décisions de crédit, tarification, évaluation des risques)
  • Systèmes de lutte contre le blanchiment d’argent (LBA art. 3-7 obligations de diligence)
  • Systèmes générant des rapports réglementaires (annonces FINMA, calculs de fonds propres)

Risque moyen :

  • Systèmes d’aide à la décision (outils d’analyse alimentant une décision humaine)
  • Automatisation interne touchant les collaborateurs (screening RH, évaluation des performances)

Risque faible :

  • Outils auxiliaires purement internes sans influence directe sur les décisions (résumé de texte, traduction)

La classification détermine l’effort de documentation. Les systèmes à risque élevé nécessitent une validation complète avant le déploiement et des revalidations régulières. Les systèmes à risque faible se contentent d’une documentation initiale.

3. Model Governance

Pour chaque système d’IA à risque moyen ou élevé, la FINMA exige un cadre de gouvernance documenté :

Avant le déploiement (pré-déploiement) :

  • Résultats de tests documentés
  • Examen des biais réalisé (notamment pour les décisions concernant les clients)
  • Analyse d’impact relative à la protection des données selon LPD art. 22 (si des données personnelles sont concernées)
  • Approbation par la direction responsable

En cours d’exploitation (post-déploiement) :

  • Indicateurs de suivi définis et surveillés
  • Détection de la dérive : la qualité du modèle se dégrade-t-elle avec le temps ?
  • Processus d’incident : que se passe-t-il lorsque le système fournit des résultats erronés ?
  • Revalidation régulière (la FINMA recommande au moins annuellement pour les systèmes à risque élevé)

Obligation de documentation : La FINMA attend que l’ensemble de la gouvernance des modèles soit auditable à tout moment. Lors d’une inspection sur place, l’établissement doit pouvoir démontrer que chaque système d’IA a suivi le processus défini.

4. Externalisation et prestataires tiers

La plupart des établissements achètent des capacités d’IA plutôt que de les développer en interne. La FINMA traite cela comme une externalisation au sens de la circulaire 2018/3 «Outsourcing».

Concrètement :

  • Chaque fournisseur d’IA externe doit être enregistré dans l’inventaire des externalisations.
  • Pour les externalisations essentielles : due diligence, droits d’audit contractuels, stratégie de sortie.
  • L’hébergement cloud de modèles d’IA relève des directives cloud de la FINMA.
  • Attention particulière aux fournisseurs étrangers : où les données sont-elles traitées ? Le US CLOUD Act s’applique-t-il ? Conflit avec LPD art. 16-17 (exportation de données) ?

Ce qui est souvent oublié : une connexion API à un service d’IA (p. ex. un modèle de scoring via REST API) est également une externalisation si le résultat alimente un processus métier assujetti.

5. Transparence et traçabilité

La FINMA exige que les décisions prises par l’IA soient traçables. Cela ne signifie pas que chaque algorithme doit être explicable (Explainable AI au sens académique). Cela signifie :

  • Envers les clients : si un système d’IA a participé à une décision touchant le client (refus de crédit, augmentation de prime), le client doit en être informé. La base de la décision doit pouvoir être expliquée de manière compréhensible.
  • Envers l’autorité de surveillance : la FINMA doit pouvoir comprendre comment le système parvient à son résultat. Pas au niveau de chaque pondération, mais dans la logique de l’approche.
  • En interne : la direction doit pouvoir comprendre et évaluer les risques des systèmes d’IA déployés sans être elle-même composée de data scientists.

Délais et dispositions transitoires

La FINMA n’a pas fixé de délai de transition strict pour la circulaire 08/2024. Mais la pratique prudentielle montre :

  • Lors de la prochaine inspection sur place, le sujet de la gouvernance de l’IA sera abordé.
  • Les établissements qui ne pourront pas présenter d’inventaire ni de structure de gouvernance à ce moment recevront des conditions.
  • Pour les établissements d’importance systémique (catégories 1 et 2), les attentes sont plus élevées et les délais plus courts.

Recommandation : l’inventaire IA devrait être en place d’ici le T3 2026. Le cadre de gouvernance pour tous les systèmes à risque élevé d’ici le T4 2026. C’est ambitieux mais réaliste.

Chevauchement avec le EU AI Act

Pour les établissements ayant des activités dans l’UE, le EU AI Act (règlement 2024/1689) s’ajoute. Les exigences FINMA et les exigences européennes se chevauchent mais ne sont pas identiques :

Thème FINMA 08/2024 EU AI Act
Inventaire IA Exigé Exigé (art. 26)
Évaluation des risques Trois niveaux Quatre niveaux (interdit, élevé, limité, minimal)
Transparence Information client pour les décisions IA Art. 50 : obligation de marquage
Examen des biais Recommandé Art. 10 : obligatoire pour les systèmes à risque élevé
Documentation Exhaustive Art. 11 : documentation technique
Sanctions Mesures prudentielles Jusqu’à EUR 35 mio. ou 7 % du CA

Un établissement devant respecter les deux cadres devrait concevoir le processus de gouvernance de manière à couvrir les deux. Éviter les doublons. Les exigences FINMA sont, sur la plupart des points, un sous-ensemble des exigences européennes. Qui est conforme au EU AI Act satisfait en règle générale aussi les attentes de la FINMA.

Où en sont la plupart des établissements

Situation en mars 2026, sur la base d’informations publiquement disponibles et d’échanges professionnels :

  • Grandes banques : disposent d’équipes dédiées à la gouvernance de l’IA. Des inventaires IA existent mais sont souvent incomplets.
  • Banques cantonales : la plupart n’ont pas de gouvernance IA dédiée. L’utilisation de l’IA existe mais sans recensement systématique.
  • Gestionnaires de fortune indépendants : la gouvernance IA est très rare. Les attentes de la FINMA sont un terrain nouveau pour beaucoup.
  • Assurances : hétérogène. Les grands assureurs ont des structures de gouvernance. Les plus petits non.

Ce n’est pas un reproche. Il y a encore un an, aucune circulaire n’exigeait explicitement une gouvernance de l’IA. Maintenant il y en a une.

Étapes pratiques : de zéro à un dispositif conforme FINMA

Semaines 1-2 : inventaire Recenser tous les systèmes d’IA. Pas seulement les évidents. Interroger chaque département. Vérifier les API externes. Identifier l’IA intégrée dans les logiciels achetés.

Semaines 3-4 : classification Évaluer chaque système selon le modèle de risque FINMA. Marquer les systèmes à risque élevé.

Semaines 5-6 : cadre de gouvernance Définir les processus : qui approuve les nouveaux systèmes d’IA ? Qui valide les existants ? Comment la documentation est-elle tenue ? Quelle check-list est utilisée ?

Semaines 7-8 : mise en œuvre risque élevé Pour chaque système à risque élevé : rapport de validation, examen des biais, analyse d’impact relative à la protection des données, approbation par la direction.

En continu : surveillance Tenir l’inventaire à jour. Surveiller les systèmes. Documenter les incidents. Planifier la revalidation annuelle.

La base de données

Le plus grand défi n’est pas le processus. C’est le savoir. Les responsables de la conformité doivent connaître les attentes concrètes de la FINMA, les circulaires applicables et l’évolution de la pratique prudentielle.

Notre plateforme couvre les 27 tables FINMA : circulaires, décisions d’enforcement, avertissements, FAQ, documents de guidance. Mise à jour chaque nuit. Vérification des sources. Recherche possible.

Si la Guidance FINMA 08/2024 est modifiée ou complétée, vous en serez informé le jour même par nos alertes WatchTower.

Cet article est publié à titre informatif et ne constitue pas un conseil juridique. Pour la mise en œuvre d’exigences réglementaires, nous recommandons de consulter des professionnels qualifiés.

Retour au blog

Articles similaires

29 March 2026

EU AI Act : ce que les entreprises suisses doivent faire d'ici août 2026

Le EU AI Act entre pleinement en vigueur le 2 août 2026. Ce que cela signifie pour les entreprises suisses, quelles obligations s'appliquent et comment se préparer en 18 semaines.
21 March 2026

Automatiser la conformité FINMA avec l'IA : opportunités et limites

Comment l'IA peut aider à la conformité FINMA. LBA, KYC, surveillance réglementaire et les limites de l'automatisation dans le secteur financier suisse.
20 March 2026

Comment l'IA transforme la conformite FINMA

La conformite FINMA est lourde en documents, sensible au temps et a enjeux eleves. L'IA change la facon dont les institutions financieres suisses gerent leurs obligations reglementaires. Voici ce qui fonctionne et ce qui ne fonctionne pas.