Démonstration
Pour traiter votre demande, nous devons traiter vos données personnelles. Plus d’informations sur le traitement de vos données personnelles ici.

Introduction

L’intelligence artificielle transforme profondément le fonctionnement du secteur financier. Dans ce contexte, le règlement européen DORA (Digital Operational Resilience Act) encadre la résilience numérique et les risques liés à l’intelligence artificielle. Comprendre le lien entre DORA IA devient indispensable pour allier innovation, sécurité et conformité pour les acteurs du secteur de la finance numérique.

1. Dora

1.1. Qu’est-ce que DORA ?

Le règlement DORA (Digital Operational Resilience Act), adopté par l’Union européenne, vise à garantir la continuité des activités face aux incidents technologiques, aux cyberattaques ou aux défaillances de prestataires. Ce cadre réglementaire place la résilience opérationnelle au cœur de la stratégie des institutions financières.

1.2. Les secteurs concernés

Le champ d’application de la directive DORA couvre banques, assurances, sociétés de gestion, fintech et services financiers.

Les prestataires externes; fournisseurs de services, prestataires de services cloud ou tools IA sont indirectement concernés par la directive DORA, à cause des relations commerciales qu’ils ont avec les entreprises principalement visées.

2. DORA à l’ère de l’IA

Écrans de code informatique associés à des connexions numériques, illustrant l’importance de sécuriser les infrastructures technologiques financières selon Dora.ia

2.1. Les principales utilisations de l’IA dans les services financiers

Dans les services financiers, les institutions recourent à des systèmes d’IA (intelligence artificielle) pour la détection de fraude et la surveillance automatisée des transactions. L’IA est également mobilisée pour le scoring de crédit, où elle analyse des ensembles de données plus larges que les modèles statistiques traditionnels afin d’évaluer la solvabilité des emprunteurs.

Elle joue un rôle important dans l’automatisation des processus, ainsi que dans la gestion d’actifs et le trading, où des modèles prédictifs assistent les décisions d’investissement.

Enfin, l’IA est utilisée pour améliorer la relation client via l’intégration d’assistants conversationnels et pour le soutien de la conformité réglementaire en facilitant l’analyse documentaire ou la détection d’anomalies.

2.2. Quels sont les risques que l’IA fait peser dans le secteur financier

Femme choquée devant son écran, illustrant les risques et incidents opérationnels que Dora vise à prévenir dans les systèmes utilisant l’IA.

L’IA expose les institutions à des menaces nouvelles notamment :

  • La fiabilité et l’opacité des modèles : certains systèmes d’IA donnent un résultat sans que l’on comprenne toujours comment ils y sont arrivés, ce qui peut poser problème lorsqu’une décision doit être justifiée.
  • L’amplification des biais dans les données : conduisant par exemple à des erreurs de scoring de crédit ou à des discriminations involontaires. de nombreux acteurs utilisent des modèles similaires, ce qui peut amplifier les mouvements de marché si tous réagissent de la même façon au même moment.
  • La dépendance à des prestataires technologiques expose les institutions à des risques de concentration et de continuité d’activité.
  • Risques de cyberattaques : une erreur de conception, de paramétrage ou une mauvaise qualité des données peut entraîner des incidents majeurs.

2.3. Quels systèmes d’IA peuvent être considérés comme critiques au sens de DORA ?

DORA ne parle pas directement de systèmes d’IA critiques, mais impose aux institutions financières d’identifier leurs fonctions critiques ou importantes, CIF ( Critical or Important Functions ) et les ressources technologiques qui y contribuent.

Un système d’IA devient donc critique lorsqu’il est indispensable à l’exécution d’une de ces fonctions, ou lorsqu’une défaillance aurait un impact important sur la continuité des activités, la stabilité financière, la conformité ou la protection des clients.

Dans la pratique, sont généralement considérés comme critiques les systèmes d’IA utilisés dans :

  • 1. La gestion des risques et la détection de fraude : Car une défaillance technique ou de communication peut augmenter significativement l’exposition aux cyberrisques et aux pertes opérationnelles.
  • 2. Le scoring de crédit et la prise de décision automatisée : Puisqu’ils influencent directement l’octroi de crédits, la conformité et la solidité financière.
  • 3. Le trading algorithmique et la gestion d’actifs assistée par IA
  • 4. La surveillance des transactions (AML/CFT) : Ces systèmes contribuent à une fonction réglementaire majeure ; une erreur peut conduire à des sanctions.
  • 5. Les modèles d’IA intégrés dans les systèmes ICT essentiels : IA utilisée pour la supervision du réseau, IA contrôlant des systèmes de détection d’incidents, IA gérant l’allocation automatique de ressources cloud.
  • 6. Les IA opérées par des prestataires tiers considérés eux-mêmes comme critiques TIC

Il devient indispensable de mettre en place des formations pour les équipes. Cette action est une réponse aux riques mentionnés plus haut. Cela améliore la compétitivité des équipes en leur permettant de comprendre les mécanismes techniques qui sous-tendent les outils d’IA, qu’elles aient ou non de l’expérience dans le domaine, et d’adopter les bonnes pratiques . Il est aussi important de rester informé sur la directive en rejoignant une dora community sur des forums ou en consultant fréquement des articles de sites / websites.

3. CADRE REGLEMENTAIRE

Réunion d’équipe examinant des graphiques, représentant la gouvernance et le cadre de conformité exigés par Dora.ia pour maîtriser les risques technologiques.

Concernant les obligations, DORA impose aux entités financières un cadre de gestion des risques incluant :

3.1. Gouvernance solide et documentée

DORA IA transforme la conformité en renforçant la gouvernance des modèles IA. Les entreprises doivent désigner un responsable du risque IA, créer un comité dédié ou intégrer cette gestion à la gouvernance existante. Chaque modèle doit être documenté tout au long de son cycle de la conception à la mise en production.

3.2. Gestion des risques et résilience opérationnelle

DORA impose d’identifier les actifs IA critiques et d’intégrer leurs vulnérabilités dans le dispositif global de résilience. Les biais, dérives et dépendances externes doivent être anticipés. La continuité opérationnelle doit inclure des plans de secours et modèles alternatifs. Ces leviers techniques assurent une digital operational resilience durable.

3.3. Notification des incidents IA

Les incidents liés à la dégradation de performance ou à une erreur systématique doivent être notifiés au même titre qu’une panne. Certaines institutions créent déjà des registres d’incidents IA pour en tirer des enseignements et renforcer la sécurité.

3.4. Tests de résilience algorithmique

Les tests DORA incluent des simulations de dérive, des tests adversariaux ou de défaillance. Les équipes en charge peuvent s’appuyer sur divers outils, y compris des templates standardisés. L’utilisation d’un code editor approprié facilite la mise en œuvre de ces procédures de test automatisées.

3.5. Relations avec les prestataires IA

Équipe de développeurs travaillant sur des solutions IA, mettant en avant la nécessité d’aligner Dora.ia

Les contrats doivent garantir l’auditabilité des modèles, la localisation des serveurs et la transparence des données d’entraînement. Une due diligence spécifique IA évalue la qualité, la gouvernance et la sécurité des données. Le suivi des prestataires doit rester continu dans un contexte de constante évolution. L’évaluation des designs d’interface et de l’ergonomie générale des solutions est importante

En cas de non-respect de ces obligations, les sanctions peuvent être significatives et impacter directement la réputation des institutions. Au-delà des aspects financiers, le non-respect de DORA peut affecter la compétitivité d’une organisation sur le marché européen.

4. Quels sont les liens entre DORA et les régulations sur l’IA

Statue de la justice brandissant une balance, symbolisant l’articulation entre Dora.ia et les autres réglementations encadrant l’IA

Le règlement DORA et le Règlement AI Act se rejoignent dans l’ambition de renforcer la résilience numérique de l’économie européenne . DORA vise spécifiquement le secteur financier. De son côté, l’AI Act est fondée sur la gestion du risque de l’utilisation des systèmes IA à hauts risques.

Ainsi, lorsqu’une institution financière fait une intégration de systèmes grâce à l’IA, elle peut se trouver soumise à lafoisaux exigences de DORA et aussi à celles de l’AI Act.

Conclusion

L’IA redéfinit la condition du secteur financier. En intégrant la dimension algorithmique, DORA devient un levier stratégique plutôt qu’une contrainte. Anticiper à la foisles exigences de DORA IA et structurer une gouvernance adaptée et renforcer la robustesse des modèles, c’est senioriser l’expérience de son organisation à une ère où la confiance numérique devient un avantage concurrentiel.

La conformité IA-DORA est un parcours évolutif, de sa conceptionà sa mise en application. Dans un secteur en constante évolution, faire de la résilience IA un pilier stratégique, c’est transformer la réglementation en moteur d’innovation et de performance durable.

François Lemarié
François Lemarié

Co-fondateur & COO - Expert RGPD