Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > CBUAE : Guide sur l’IA – Conformité essentielle pour les institutions financières des Émirats arabes unis

CBUAE : Guide sur l’IA – Conformité essentielle pour les institutions financières des Émirats arabes unis

par Marc ten Eikelder updated mars 6, 2026 Conformité réglementaire
temps de lecture: 9 minutes

La Banque centrale des Émirats arabes unis (CBUAE) n’a pas publié de recommandations le 11 février 2026. Elle a publié une note d’orientation sur la protection des consommateurs et l’adoption responsable de l’IA et du machine learning qui redéfinit en profondeur la gouvernance, la sécurité et les obligations de conformité de chaque institution financière agréée opérant aux Émirats arabes unis. Les banques, compagnies d’assurance, bureaux de change, sociétés de financement et prestataires de services de paiement sont tous concernés.

Points clés à retenir

  1. La CBUAE fait désormais de la gouvernance de l’IA une obligation relevant du conseil d’administration pour chaque institution financière agréée aux Émirats arabes unis. La note d’orientation de la CBUAE sur la protection des consommateurs et l’adoption responsable de l’IA et du machine learning, publiée le 11 février 2026, impose à toutes les institutions financières agréées (LFI)—banques, assureurs, bureaux de change, sociétés de financement et prestataires de services de paiement—de mettre en place des cadres de gouvernance de l’IA documentés, proportionnés à leur taille, d’intégrer les risques liés à l’IA à la gestion globale des risques, et de rendre le conseil d’administration et la direction directement responsables des résultats de l’IA. Il ne s’agit pas de simples recommandations. C’est une obligation de conformité assortie de contrôles.
  2. Le security-by-design n’est plus une bonne pratique, c’est une exigence de la CBUAE. Les LFI doivent intégrer le security-by-design et le privacy-by-design dans chaque système d’IA, en prévoyant des mesures de protection contre les accès non autorisés, les usages abusifs, les cyberattaques et les défaillances système. La note exige explicitement des tests de résistance, des mesures de redondance et des plans de réponse aux incidents. Les institutions financières qui exécutent des charges de travail IA sur une infrastructure où la sécurité n’est qu’une question de configuration, et non une fonction intégrée, s’exposent à des risques qu’elles ne pourront justifier face à un contrôleur.
  3. Les fournisseurs d’IA tiers ne prennent pas en charge votre responsabilité réglementaire—et la CBUAE le précise clairement. Les contrats d’externalisation de l’IA doivent inclure des droits d’audit, des garanties de cybersécurité et la capacité d’arrêt immédiat. La CBUAE tient les LFI responsables des résultats de la gouvernance de l’IA, quel que soit le concepteur ou l’opérateur du modèle. Alors que 19 % des organisations du Moyen-Orient ont signalé des défaillances de conformité de tiers au cours des 12 derniers mois et que 22 % font l’objet d’enquêtes réglementaires, l’époque où la conformité du fournisseur valait conformité du client est révolue.
  4. Les tests annuels de biais de l’IA sont obligatoires—et « annuel » signifie documenté, auditable et défendable. La CBUAE exige que les LFI testent les modèles d’IA pour détecter les biais au moins une fois par an—ou après chaque mise à jour—à l’aide de données d’entraînement représentatives. Les modèles déployés sans test de biais documenté, sans traçabilité des données d’entraînement ou sans preuve de résultats non discriminatoires exposent l’institution à des risques de conformité qui s’aggravent à chaque interaction client traitée.
  5. Le décalage entre la rapidité de déploiement de l’IA et la maturité de la gouvernance de l’IA constitue le risque majeur. Les institutions financières des Émirats arabes unis déploient l’IA à grande vitesse pour la détection de fraude, le scoring de crédit, l’onboarding client et la lutte contre le blanchiment. Le rapport prévisionnel Kiteworks 2026 révèle que 60 % des organisations de services financiers dans le monde n’ont toujours pas de passerelle centralisée pour les données IA—et 5 % n’ont aucun contrôle dédié à l’IA. La note de la CBUAE rend la mise à niveau de la gouvernance incontournable. La question est de savoir si les LFI combleront ce retard avant que les examinateurs ne le constatent à leur place.

La directive est exigeante. Les LFI doivent mettre en place des cadres de gouvernance de l’IA documentés, proportionnés à leur taille, leur nature et leur complexité. Elles doivent intégrer les risques liés à l’IA dans la gestion globale des risques, couvrant les aspects de conduite, de crédit, d’exploitation et de cybersécurité. Le conseil d’administration et la direction assument une responsabilité directe sur les résultats de l’IA, le déploiement des modèles et leur suivi continu, avec un reporting régulier sur la performance et les risques. Un inventaire détaillé de tous les modèles d’IA—nom, finalité, niveau de risque et métadonnées—est obligatoire, conformément aux normes de gestion des modèles de la CBUAE de 2022.

La note s’ajoute à la loi sur la protection des données personnelles des Émirats arabes unis (Décret-loi fédéral n° 45/2021), qui encadre la collecte, le stockage et le traitement des données personnelles. Ensemble, ces cadres créent un environnement de conformité à plusieurs niveaux où les LFI doivent prouver à la fois la maîtrise des contrôles propres à l’IA et la maturité de leur gouvernance des données. Ce n’est pas une ambition future, mais une obligation immédiate assortie de contrôles.

Le calendrier est réfléchi. Les Émirats arabes unis se positionnent comme leader mondial de l’adoption de l’IA—la Stratégie nationale pour l’IA 2031 et le cadre de gouvernance de l’IA de Dubaï témoignent de cette ambition nationale. Mais une ambition sans garde-fous crée un risque systémique. La CBUAE pose le cadre : adoptez l’IA de façon ambitieuse, mais gouvernez-la rigoureusement. Pour les LFI qui déploient des outils d’IA plus vite qu’elles ne construisent l’infrastructure de gouvernance autour, la marge de manœuvre réglementaire vient de se réduire considérablement.

Le Security-by-Design devient une norme réglementaire—plus un argument marketing

La note de la CBUAE est explicite sur la notion de sécurité dans le contexte de l’IA : les LFI doivent intégrer le security-by-design et le privacy-by-design dans les systèmes d’IA, en prévoyant des protections contre les accès non autorisés, les usages abusifs, les cyberattaques et les défaillances système. Le développement de l’IA exige des mesures de résilience opérationnelle et une validation dans des scénarios variés pour éviter les résultats non sûrs.

C’est ici que le fossé entre la réalité de la plupart des institutions financières et les exigences de la CBUAE devient flagrant. La majorité des déploiements IA dans la banque s’appuient sur des infrastructures cloud où la sécurité dépend des choix de configuration de l’équipe IT. Si la configuration est mauvaise, la protection l’est aussi. Si l’infrastructure sous-jacente est mutualisée, les données IA de la banque partagent l’environnement d’exécution avec d’autres clients—et les vulnérabilités entre locataires deviennent un problème pour la banque.

La CBUAE impose une approche radicalement différente : une sécurité architecturale, et non de configuration. Les tests de résistance, la redondance et les plans de réponse aux incidents ne sont pas des options, mais des exigences explicites. Pour l’IA externalisée, les contrats doivent inclure des droits d’audit, des garanties de cybersécurité et la capacité d’arrêt immédiat. Ce dernier point mérite d’être souligné : la CBUAE attend des LFI qu’elles puissent immédiatement arrêter un système d’IA externalisé si les exigences de gouvernance ne sont pas respectées. Les institutions financières incapables de prouver cette capacité font face à un problème de conformité à la fois précis et documentable.

La gouvernance des données à l’ère de l’IA : où les institutions financières des Émirats arabes unis sont exposées

La note de la CBUAE fait de la qualité, de la confidentialité et de la sécurité des données le socle de la conformité IA. Les données utilisées dans les systèmes d’IA et de ML doivent être conformes aux exigences du PDPL des Émirats arabes unis—la collecte, le stockage et l’utilisation doivent être légitimes, proportionnés, exacts, pertinents et régulièrement mis à jour. Les LFI ne peuvent pas déployer d’IA discriminante. Les modèles doivent être testés chaque année pour détecter les biais à l’aide de données d’entraînement représentatives, afin d’éviter des résultats injustes.

Le défi concret, c’est que les données financières sensibles ne restent jamais statiques. Elles circulent via l’e-mail, le partage sécurisé de fichiers, les serveurs SFTP, les serveurs MFT, les API, les formulaires web et, de plus en plus, les intégrations IA. Chacun de ces canaux représente un risque potentiel de gouvernance. La plupart des institutions financières gèrent ces canaux avec des outils distincts, chacun ayant ses propres règles, journaux et posture de sécurité. Résultat : visibilité fragmentée, contrôles incohérents et angles morts de conformité que l’examinateur détectera plus vite que la banque ne pourra les justifier.

Le rapport Kiteworks 2026 sur la souveraineté des données chiffre les enjeux pour le Moyen-Orient. Quarante-quatre pour cent des répondants de la région ont subi un incident lié à la souveraineté des données au cours des 12 derniers mois—le taux le plus élevé de toutes les régions interrogées. Quatre-vingt-treize pour cent affirment que la réglementation sur la souveraineté des données impacte directement leurs opérations. Et 22 % citent les enquêtes et audits réglementaires comme type d’incident le plus fréquent. Pour les LFI qui déploient des systèmes d’IA traitant des données financières clients, la convergence des exigences de gouvernance IA et des obligations de souveraineté des données crée une surface de conformité que des outils fragmentés ne peuvent pas couvrir.

Fournisseurs d’IA tiers : la CBUAE comble le fossé de la responsabilité

La note de la CBUAE n’autorise pas les institutions financières à considérer l’IA tierce comme un problème de conformité externe. Les LFI doivent réaliser une due diligence sur les fournisseurs IA tiers couvrant la gouvernance, la protection des données et des audits de cybersécurité indépendants annuels. Les contrats d’externalisation de l’IA doivent inclure des droits d’audit, des garanties de cybersécurité et la capacité d’arrêt immédiat. La conformité s’étend aux fournisseurs tiers—non comme un bonus, mais comme une exigence réglementaire avec preuves documentées à l’appui.

Cela a un impact car la dépendance à l’IA tierce dans les services financiers s’accélère. Les banques externalisent de plus en plus le développement, le déploiement et la maintenance des modèles à des prestataires externes. Chacune de ces relations implique un échange de données—données d’entraînement sortantes, résultats des modèles entrants, données de monitoring circulant entre systèmes. Sans visibilité unifiée sur ces échanges, une LFI ne peut pas prouver la gouvernance exigée par la CBUAE.

Les chiffres sur la souveraineté des données au Moyen-Orient rendent le risque tangible : 19 % des organisations de la région ont signalé une défaillance de conformité de tiers l’an dernier. Si votre fournisseur tiers échoue à une exigence de conformité, la CBUAE ne s’adresse pas au siège du fournisseur, mais au vôtre.

Comment Kiteworks aide les institutions financières des Émirats arabes unis à répondre aux exigences de gouvernance IA de la CBUAE

La note IA de la CBUAE impose des fonctions que des outils de sécurité fragmentés ne peuvent pas offrir. Gouvernance documentée sur tous les canaux d’échange de données. Traçabilité immuable, disponible à la demande. Security-by-design indépendant de la configuration. Contrôles fournisseurs tiers applicables et vérifiables. Souveraineté des données garantie au niveau de l’architecture, pas seulement du stockage.

Kiteworks est la plateforme de contrôle pour les échanges sécurisés de données. Elle centralise les flux de données sensibles—e-mail, partage sécurisé de fichiers, SFTP, transfert sécurisé de fichiers, API, formulaires web et intégrations IA—sous un moteur de règles unique, un journal d’audit et une architecture de sécurité unifiée. Pour les institutions financières des Émirats arabes unis confrontées aux exigences de gouvernance IA de la CBUAE, cette architecture répond point par point aux attentes des examinateurs :

  • Gouvernance IA unifiée : Un moteur de règles unique applique des contrôles RBAC et ABAC cohérents sur chaque canal par lequel les systèmes IA accèdent aux données financières. Fini la réconciliation de règles distinctes pour l’e-mail, SFTP, API et le partage de fichiers.
  • Traçabilité immuable : Chaque événement d’échange de données est enregistré dans un journal consolidé unique—sans limitation, sans perte d’entrées, avec livraison SIEM en temps réel. Lors d’un contrôle CBUAE, vous produisez un ensemble de preuves exhaustif.
  • Architecture security-by-design : Kiteworks se déploie sous forme d’appliance virtuelle durcie avec pare-feu intégrés, WAF, détection d’intrusion, double chiffrement au repos et architecture zéro trust—le tout géré par Kiteworks, pas par votre équipe infrastructure.
  • Isolation à locataire unique : Chaque déploiement est conçu pour être à locataire unique. Pas de bases de données, de systèmes de fichiers ou d’environnements d’exécution partagés. Les attaques entre locataires qui compromettent les plateformes IA mutualisées sont impossibles.
  • Gouvernance des fournisseurs tiers : Gestion complète du cycle de vie des utilisateurs externes avec application ABAC, traçabilité totale de chaque échange de données fournisseur et contrôles d’arrêt conformes à l’exigence d’arrêt immédiat de la CBUAE.
  • Application de la souveraineté des données : Géorepérage, gestion des clés de chiffrement dans la juridiction et contrôle IP configurable garantissent que les données financières sensibles restent dans les frontières des Émirats arabes unis, au niveau de l’architecture.
  • Intégration prête pour l’IA : Le serveur MCP sécurisé de Kiteworks permet aux systèmes IA d’interagir avec les données financières tout en respectant les politiques de gouvernance existantes—étendant les contrôles conformes à la CBUAE aux workflows IA sans avoir à bâtir une infrastructure séparée.

Résultat : les institutions financières des Émirats arabes unis peuvent prouver leur conformité à la gouvernance IA de la CBUAE par l’architecture et la preuve, et non par la documentation et l’espoir. Une plateforme que les équipes conformité peuvent piloter, que les équipes sécurité peuvent approuver, que les examinateurs CBUAE peuvent vérifier et dont les conseils d’administration peuvent rendre compte en toute confiance.

Ce que la note IA de la CBUAE implique pour le programme sécurité et conformité de votre institution

La note de la CBUAE ne décrit pas un environnement réglementaire futur. Elle décrit la réalité actuelle. Les LFI qui considèrent ce texte comme un cadre d’aspiration plutôt qu’une exigence opérationnelle de conformité accumulent un risque de contrôle qui s’aggrave à chaque modèle IA déployé sans gouvernance documentée, à chaque fournisseur tiers sans contrôle auditable, et à chaque échange de données passant par des canaux incapables de produire une preuve à la demande.

Cinq actions prioritaires produisent le plus d’impact au regard des exigences de la note :

Premièrement, mettez en place une gouvernance unifiée des données sur tous les échanges liés à l’IA. La CBUAE exige une gouvernance couvrant tout le cycle de vie des données IA—collecte, traitement, entraînement, inférence et restitution. Les institutions qui gèrent ces flux avec des outils fragmentés ne peuvent pas démontrer la cohérence des contrôles attendue par les examinateurs.

Deuxièmement, constituez dès maintenant l’inventaire des modèles IA exigé par la CBUAE. Chaque modèle doit être documenté avec son nom, sa finalité, son niveau de risque et ses métadonnées. Les institutions incapables de présenter cet inventaire lors d’un contrôle révèlent une carence de gouvernance, pas un simple défaut documentaire.

Troisièmement, appliquez le security-by-design comme choix d’architecture, pas comme projet de configuration. Les exigences de la CBUAE en matière de protections intégrées, de tests de résistance et de résilience opérationnelle ne sont pas satisfaites par l’ajout d’outils de sécurité à une infrastructure existante. Elles le sont par une infrastructure qui intègre la sécurité dès la conception.

Quatrièmement, formalisez la gouvernance des fournisseurs IA tiers avec des droits d’audit, des garanties de cybersécurité et des contrôles d’arrêt documentés. Le taux d’échec de 19 % des tiers dans la région fait de ce risque une probabilité statistique pour les institutions ayant de nombreux fournisseurs.

Cinquièmement, passez d’une documentation de conformité réactive à une gouvernance continue et démontrable. La CBUAE attend un reporting régulier sur la performance et les risques IA, un suivi permanent et des preuves prêtes à l’audit. Les institutions qui se préparent aux contrôles au lieu de maintenir une conformité continue sont toujours à un contrôle près d’une sanction.

Les institutions financières qui combleront ces écarts en 2026 pourront adopter l’IA plus vite, plus sûrement et avec la confiance réglementaire qu’apporte une gouvernance prouvée. Les autres découvriront que la CBUAE a documenté les mêmes lacunes qu’elles—avec nettement moins de patience pour les explications.

Pour découvrir les 5 principales raisons pour lesquelles les institutions financières des Émirats arabes unis ont besoin de Kiteworks pour la conformité IA CBUAE, cliquez ici.

Foire aux questions

La note d’orientation de la CBUAE sur la protection des consommateurs et l’adoption responsable de l’IA impose aux institutions financières agréées des Émirats arabes unis de maintenir un cadre de gouvernance IA documenté, un inventaire complet des modèles IA, une responsabilité du conseil d’administration sur les résultats IA, des mesures de security-by-design et des tests annuels de biais. Les institutions doivent aussi intégrer les risques IA à la gestion globale des risques et produire des preuves prêtes à l’audit à la demande. L’audit unifié et le moteur de règles de Kiteworks aident les LFI à démontrer ces exigences aux examinateurs de la CBUAE.

La note IA de la CBUAE exige que les contrats d’externalisation de l’IA incluent des droits d’audit, des garanties de cybersécurité et la capacité d’arrêt immédiat. Les LFI portent l’entière responsabilité réglementaire des résultats IA tiers, quel que soit l’opérateur du modèle. Avec 19 % des organisations du Moyen-Orient signalant des défaillances de conformité de tiers, Kiteworks propose une gouvernance fournisseur documentée via la gestion du cycle de vie des utilisateurs externes, l’application des règles ABAC et la traçabilité complète des tiers.

La note de la CBUAE s’ajoute directement au Décret-loi fédéral n° 45/2021 (PDPL) des Émirats arabes unis. Les systèmes IA traitant des données personnelles doivent garantir que la collecte, le stockage et l’utilisation sont légitimes, proportionnés et exacts. Les modèles exigent des tests annuels de biais avec des données représentatives. Kiteworks assure la conformité PDPL au niveau de l’architecture grâce à des contrôles d’accès granulaires, la gestion des clés de chiffrement dans la juridiction et le géorepérage—garantissant que la résidence des données est prouvable, pas seulement promise.

La CBUAE exige que le security-by-design et le privacy-by-design soient intégrés dans les systèmes IA—et non ajoutés après coup. Cela inclut des protections contre les accès non autorisés, des tests de résistance, la redondance et des plans de réponse aux incidents. La sécurité périmétrique classique ne suffit pas. Kiteworks propose la sécurité comme fonction produit via son appliance virtuelle durcie avec pare-feu intégrés, WAF, double chiffrement, architecture zéro trust et isolation à locataire unique—le tout géré automatiquement.

Les examinateurs de la CBUAE attendent un cadre de gouvernance IA documenté, un inventaire complet des modèles avec métadonnées, des rapports du conseil sur la performance et les risques IA, des enregistrements de tests de biais, une documentation sur la gouvernance des fournisseurs tiers et des journaux d’audit couvrant tous les échanges de données IA. Le Réseau de données privé Kiteworks génère des preuves immuables et exportables sur tous les canaux d’échange de données—permettant aux LFI de prouver leur gouvernance à la demande, sans devoir constituer les preuves dans l’urgence d’un contrôle.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks