Gestion des risques modèles IA en banque européenne.

Tous les modèles utilisés à des fins matérielles : décision crédit, évaluation des fonds propres, ALM, fraude, conformité, lutte contre le blanchiment, et désormais les modèles IA d'assistance interne dont la sortie alimente des décisions opérationnelles. La définition d'un modèle au sens SR 11-7 couvre toute approche quantitative, statistique ou algorithmique qui produit une sortie utilisée en gestion. L'ACPR a confirmé en 2024 que les modèles IA et les chaînes RAG entrent pleinement dans le champ. L'inventaire des modèles devient ainsi le premier livrable, et il doit être tenu à jour avec une qualification de matérialité.

Trois lignes de défense. La première ligne (équipes de développement) construit, documente et teste. La deuxième ligne (équipe de validation indépendante) évalue conceptuellement le modèle, contrôle la qualité des données, reproduit les résultats, teste la robustesse, vérifie l'adéquation à l'usage. La troisième ligne (audit interne) couvre la gouvernance d'ensemble. Pour les modèles IA, la validation doit traiter spécifiquement : la pertinence des données d'entraînement, la sensibilité aux dérives, la robustesse adversariale, la qualité du retrieval pour les chaînes RAG, et la traçabilité des sorties à des sources vérifiables. Sans citation source, l'assurance qualité reste partielle.

Plusieurs modèles bancaires entrent dans l'annexe III du Règlement IA, classement risque élevé : évaluation de solvabilité, scoring crédit pour personnes physiques, accès à des services essentiels. Les obligations s'additionnent à la gestion des risques modèles existante. Le système de gestion des risques (article 9 du Règlement IA) doit être documenté et maintenu en parallèle de la documentation modèle bancaire. La supervision humaine effective (article 14) doit être démontrée. La documentation technique annexe IV est exigible. Le marquage CE devient nécessaire pour les fournisseurs IA externes, ce qui modifie la qualification fournisseur en banque.

Quatre éléments en pratique. Premièrement, des indicateurs de performance et de stabilité suivis mensuellement, avec seuils d'alerte. Deuxièmement, une détection de dérive sur les données d'entrée et sur les sorties. Troisièmement, une revalidation périodique avec calendrier formalisé : annuelle pour la plupart des modèles matériels. Quatrièmement, un comité modèles trimestriel qui examine les anomalies, valide les décisions de retrait ou de recalibrage et tient une trace écrite. Pour les modèles IA générative, le suivi inclut un échantillonnage qualitatif des sorties par des experts métier. L'ACPR a relevé en 2025 plusieurs lacunes sur ce point lors des contrôles sur place.

Lorsque le modèle IA est externalisé chez un tiers, DORA ajoute des obligations de résilience opérationnelle, de droits d'audit et de plans de sortie. Le contrat doit prévoir l'accès aux artefacts de validation, la disponibilité du modèle, les fenêtres de tolérance et la coopération en cas d'incident. La banque reste responsable de la gestion des risques modèles : l'externalisation ne transfère pas la responsabilité prudentielle. Concrètement, les livrables internes (inventaire, validation, suivi) doivent intégrer une vue tiers complète et tester périodiquement la bascule.