Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Exigences de conformité liées à l’IA pour les entreprises de services financiers : ce qu’il faut savoir

Exigences de conformité liées à l’IA pour les entreprises de services financiers : ce qu’il faut savoir

par Danielle Barbour updated mars 30, 2026 Conformité réglementaire
temps de lecture: 10 minutes

Les entreprises de services financiers figurent parmi les premiers à adopter l’IA — et parmi les plus exposées en matière de conformité. Leur environnement réglementaire a été conçu pour la prise de décision humaine : des chargés de clientèle qui examinent les demandes, des traders qui exécutent des ordres, des conseillers qui gèrent des portefeuilles clients. Lorsque des systèmes d’IA prennent le relais, ils restent soumis aux mêmes cadres réglementaires.

Les réglementations SR 11-7 sur le risque modèle, GLBA, PCI DSS, NYDFS Part 500, DORA et RGPD s’appliquent toutes simultanément — chacune avec ses propres standards de preuve et ses mécanismes de contrôle. Bien gouverner l’IA dans les services financiers implique de satisfaire à toutes ces exigences.

Résumé Exécutif

À retenir : La conformité de l’IA dans les services financiers ne relève pas d’un seul cadre — il s’agit d’un défi multi-régulateurs et multi-juridictions où SR 11-7, GLBA, NYDFS, PCI DSS, DORA et RGPD doivent tous être respectés grâce à une infrastructure de gouvernance au niveau des données.

Pourquoi c’est important : Les régulateurs financiers — OCC, Federal Reserve, FDIC, SEC, FINRA, NYDFS et leurs homologues européens — examinent activement la gouvernance de l’IA. Les entreprises incapables de fournir des preuves opérationnelles de contrôles d’accès à l’IA, de supervision des modèles et de traçabilité lors d’un audit s’exposent à des constats de non-conformité et à des mesures correctives. Le coût d’une conformité réactive après un audit est systématiquement supérieur à celui d’une gouvernance proactive en amont.

Points clés

  1. La gestion du risque modèle SR 11-7 s’applique aux modèles d’IA qui influencent les décisions financières — validation, suivi continu et documentation de l’intervention humaine sont des exigences, pas de simples bonnes pratiques.
  2. GLBA impose aux institutions financières de protéger les NPI de leurs clients contre tout accès non autorisé — les agents IA accédant à ces données doivent respecter les mêmes exigences de sécurité que les employés humains.
  3. NYDFS Part 500 (amendements 2023) exige explicitement que les institutions financières concernées intègrent les systèmes d’IA dans leur programme de cybersécurité — il s’agit de la réglementation américaine la plus opérationnelle sur la gouvernance de l’IA dans les services financiers.
  4. PCI DSS limite l’accès des agents IA aux données de titulaires de carte selon les mêmes principes de nécessité et d’identification unique que pour les utilisateurs humains.
  5. Pour les institutions présentes sur les marchés européens, les exigences DORA en matière de risques TIC et les obligations du RGPD sur la prise de décision automatisée imposent des contraintes parallèles à respecter en plus des exigences américaines.

Paysage de la conformité IA dans les services financiers

SR 11-7 : gestion du risque modèle. Les recommandations SR 11-7 de la Federal Reserve et de l’OCC constituent le socle de la gouvernance IA dans la banque et les services financiers américains. Elles imposent que les modèles — y compris ceux d’IA et de machine learning — fassent l’objet d’un développement rigoureux, d’une validation et d’un suivi continu. Pour l’IA, SR 11-7 exige : documentation de l’objectif et des hypothèses du modèle ; validation indépendante des performances et des limites ; surveillance continue des dérives, biais et comportements inattendus ; documentation des interventions humaines avec processus d’escalade clair ; critères définis pour la mise hors service du modèle. Les modèles d’IA utilisés pour les décisions de crédit, la détection de fraude, le trading ou le scoring de risque client sont pleinement concernés. FINRA et la CFTC ont publié des recommandations similaires pour les courtiers et acteurs des marchés dérivés.

Règle de sauvegarde GLBA. GLBA impose aux institutions financières de protéger la sécurité et la confidentialité des informations personnelles non publiques (NPI). Les amendements 2023 de la Safeguards Rule ajoutent des exigences spécifiques en matière de chiffrement, contrôles d’accès, authentification multifactorielle et conservation des journaux d’audit pour tous les systèmes traitant des NPI — y compris les agents IA accédant aux données de comptes clients, historiques de transactions ou profils de crédit. Le standard de nécessité minimale exigé par GLBA doit être appliqué au niveau opérationnel pour les agents IA, pas seulement au niveau du système ou du dossier.

NYDFS Part 500. Les amendements 2023 constituent la réglementation américaine la plus opérationnelle traitant directement du risque IA. NYDFS Part 500 impose aux entités concernées d’intégrer les systèmes d’IA à leur programme de cybersécurité, de maintenir des contrôles d’accès couvrant les données accessibles à l’IA et de produire des preuves d’audit lors des examens. L’obligation de certification annuelle fait de la gouvernance IA une responsabilité du conseil d’administration, et non plus seulement une question technique.

PCI DSS. PCI DSS régit tout système stockant, traitant ou transmettant des données de titulaires de carte. Pour les systèmes d’IA : identification unique de chaque agent IA dans l’environnement des données de carte ; accès limité au strict nécessaire ; journalisation continue ; chiffrement robuste en transit et au repos. Les outils IA utilisés dans les paiements, la détection de fraude ou le service client qui accèdent aux données de carte relèvent sans exception du périmètre PCI DSS.

DORA. Pour les institutions financières régulées dans l’UE, la conformité DORA impose une gestion des risques TIC couvrant explicitement les systèmes d’IA — classification des risques, contrôles d’accès, journaux d’audit, tests de résilience et évaluation des fournisseurs IA selon le cadre de gestion des risques fournisseurs de DORA.

RGPD. Les entreprises de services financiers présentes dans l’UE doivent respecter l’article 22 du RGPD sur la prise de décision automatisée en matière de scoring de crédit, détection de fraude et évaluation du risque client — fondement légal, transparence et droit à une révision humaine — en plus de DORA et des exigences prudentielles nationales.

Tableau 1 : Exigences de conformité IA pour les entreprises de services financiers
Cadre Déclencheur IA Exigence clé Contrôlé par
SR 11-7 Modèle IA influençant des décisions financières Validation, suivi continu, documentation de l’intervention humaine, processus d’escalade défini Federal Reserve, OCC, FDIC lors des audits de sécurité et de solidité
Règle de sauvegarde GLBA IA accédant ou traitant des informations personnelles non publiques Contrôles d’accès, chiffrement, MFA, conservation des journaux d’audit pour les interactions IA-NPI FTC, régulateurs prudentiels lors des revues de programmes de sécurité de l’information
NYDFS Part 500 Système IA intégré au programme de cybersécurité de l’entité IA incluse dans l’inventaire des actifs, contrôles des privilèges d’accès, preuves de traçabilité NYDFS lors des audits cybersécurité ; obligation annuelle de certification
PCI DSS IA accédant à l’environnement des données de carte Identification unique de l’agent IA, accès au strict nécessaire, journalisation continue, chiffrement robuste QSA lors des audits PCI ; banques acquéreuses ; réseaux de cartes
DORA Système IA dans l’environnement TIC d’une entité financière régulée UE Classification des risques TIC, contrôles d’accès, journaux d’audit, évaluation des fournisseurs IA Autorités compétentes nationales dans les États membres de l’UE
Article 22 RGPD Décisions automatisées ayant des effets juridiques ou significatifs sur des personnes concernées UE Fondement légal, transparence, droit à une révision humaine pour les IA de crédit, fraude et scoring de risque Autorités de contrôle UE ; DPA dans les États membres

Où l’IA crée les plus grands écarts de conformité dans les services financiers

Risque modèle sans infrastructure de gouvernance adaptée. Le principal écart dans l’IA des services financiers concerne le déploiement de modèles conformes aux exigences de développement et de validation de SR 11-7, mais dépourvus de l’infrastructure de suivi continu et d’intervention humaine également requise. SR 11-7 est clair : la validation n’est pas un contrôle ponctuel — c’est un processus continu. Les modèles IA en production doivent être surveillés pour détecter les dérives de performance, les biais et les sorties inattendues ; des humains qualifiés doivent examiner ces résultats ; et le processus d’intervention — qui peut intervenir, comment et quand — doit être documenté et testé. La plupart des entreprises de services financiers maîtrisent mieux le développement des modèles que leur suivi, et l’IA accentue cet écart.

Accès des agents IA aux données financières clients sans contrôles opérationnels. La Safeguards Rule de GLBA et NYDFS Part 500 imposent des contrôles d’accès restreignant qui — et quelle IA — peut accéder aux informations personnelles non publiques. Le défaut typique : des agents IA ayant un accès large aux bases de données clients, sans application d’une politique ABAC opérationnelle qui limite chaque agent aux seules données nécessaires à sa fonction. Un modèle IA générant des rapports de portefeuille client qui peut accéder à tous les dossiers clients — et non seulement à ceux requis pour sa tâche — agit en dehors des standards minimaux de GLBA et des exigences de privilèges d’accès de NYDFS.

Lacunes de traçabilité pour les décisions financières pilotées par l’IA. Les régulateurs qui examinent la gouvernance IA dans les services financiers demandent systématiquement les mêmes preuves : à quoi l’IA a-t-elle accédé, quand, avec quelle autorisation, et sur quelle décision a-t-elle eu une influence ? La plupart des entreprises ne peuvent pas fournir ces preuves au niveau opérationnel pour les interactions IA. Les journaux d’audit qui capturent l’activité de session mais pas les interactions individuelles avec les données ne répondent pas aux exigences de suivi de SR 11-7, de traçabilité de NYDFS Part 500 ou de journalisation de GLBA. L’infrastructure d’audit infalsifiable et opérationnelle requise est identique pour ces trois cadres — et doit alimenter un SIEM pour un suivi continu, et non être disponible uniquement a posteriori.

IA tierce sans gouvernance IA tierce. Les entreprises de services financiers consomment massivement de l’IA tierce — intégrée aux plateformes de trading, outils de gestion de patrimoine, systèmes de surveillance conformité et applications de service client. Les exigences de gestion des risques fournisseurs de DORA, les recommandations sur le risque modèle fournisseur de SR 11-7 et la Safeguards Rule de GLBA imposent toutes des obligations sur la sélection, le suivi et la gouvernance de l’IA tierce. L’écart typique : les entreprises évaluent la posture cybersécurité de leurs fournisseurs, mais pas la gouvernance IA — à savoir si l’IA du fournisseur produit des résultats auditables, respecte les exigences de chiffrement au niveau des données et fournit la journalisation d’accès requise lors des examens.

Quelles normes de conformité des données sont essentielles ?

Pour en savoir plus :

Nouvelles recommandations spécifiques à l’IA pour les services financiers

Divulgation et gouvernance IA selon la SEC. La SEC exige que les sociétés cotées — y compris les entreprises de services financiers — divulguent les risques IA majeurs et les processus de gouvernance associés. Pour les gestionnaires d’actifs et courtiers, la SEC et la FINRA ont annoncé un focus sur la gouvernance IA dans les recommandations d’investissement, les communications clients et les systèmes de trading. Les examinateurs attendent une infrastructure de gouvernance IA produisant des preuves documentées et auditables des contrôles.

Recommandations IA de l’OCC et de la Federal Reserve. Les régulateurs bancaires américains ont publié des déclarations sur l’utilisation responsable de l’IA, insistant sur l’explicabilité, l’équité et la documentation de la gouvernance comme attentes lors des audits. Les procédures de prêt équitable de l’OCC traitent désormais explicitement des systèmes de décision de crédit pilotés par l’IA, exigeant des preuves de validation pour l’impact différencié et de véritables mécanismes de supervision humaine.

FINMA Circulaire 2023/1. Les recommandations de la FINMA sur le risque opérationnel traitent explicitement des systèmes de décision algorithmiques et IA dans les institutions financières suisses, imposant documentation de la gouvernance, suivi continu et responsabilité de la direction. Les groupes internationaux présents en Suisse doivent se conformer à ces exigences supplémentaires.

AI Act européen — IA financière à haut risque. L’AI Act européen classe l’IA utilisée pour le scoring de crédit, l’évaluation du risque d’assurance et certaines fonctions de conseil en investissement comme à haut risque — déclenchant des obligations d’évaluation de conformité, de supervision humaine et de documentation technique. Pour les entreprises actives sur les marchés européens, cela ajoute un troisième cadre en plus de DORA et du RGPD pour les déploiements d’IA financière à haut risque.

Construire un programme IA conforme pour les services financiers

Les exigences de gouvernance convergent vers les mêmes contrôles techniques pour SR 11-7, GLBA, NYDFS, PCI DSS et DORA. Une architecture de gouvernance au niveau des données — accès authentifié, politique d’accès opérationnelle, chiffrement validé, traçabilité infalsifiable — répond aux standards de preuve pour tous ces cadres.

Intégrez l’IA à votre programme de gestion du risque modèle dès le départ. SR 11-7 s’applique aux modèles IA comme aux modèles statistiques. Chaque modèle IA influençant des décisions financières doit figurer dans l’inventaire des modèles, disposer d’un dossier de validation, d’un plan de suivi continu avec seuils définis et d’un processus d’intervention humaine documenté. Une IA déployée sans ces éléments n’est pas conforme à SR 11-7, quelle que soit sa sophistication.

Imposez des contrôles d’accès opérationnels pour les agents IA. GLBA, NYDFS Part 500 et PCI DSS exigent tous des contrôles limitant l’accès de l’IA au strict nécessaire pour chaque fonction. L’application d’une politique ABAC au niveau opérationnel — évaluée selon l’identité authentifiée de l’agent, la classification des données et le contexte de la demande — permet de satisfaire ces exigences simultanément. Les autorisations au niveau du dossier ne suffisent pas.

Mettez en œuvre un chiffrement validé FIPS pour les données financières traitées par l’IA. GLBA, NYDFS et PCI DSS imposent tous un chiffrement robuste pour les données financières en transit et au repos. Le chiffrement validé FIPS 140-3 Niveau 1 répond aux exigences d’audit pour ces trois cadres. Vérifiez que les outils IA traitant des NPI ou des données de carte offrent ce niveau — le TLS standard ne suffit pas.

Générez des journaux d’audit opérationnels alimentant votre SIEM. Le suivi des modèles SR 11-7, les exigences de traçabilité NYDFS, les standards de journalisation GLBA et la surveillance TIC DORA nécessitent tous les mêmes preuves : à quoi l’IA a accédé, quand, avec quelle autorisation, et ce qu’elle a produit. Des journaux d’audit opérationnels attribués à des agents authentifiés et alimentant en continu votre SIEM répondent à ces quatre cadres avec un seul investissement.

Évaluez l’IA tierce dans le cadre de votre gouvernance fournisseurs. Chaque plateforme IA tierce utilisée doit être évaluée pour sa gouvernance IA — pas seulement pour sa posture cybersécurité. Vérifiez le chiffrement FIPS, la journalisation opérationnelle et les pratiques de gestion du risque modèle du fournisseur. Les programmes GRC qui évaluent la sécurité des fournisseurs sans examiner leur gouvernance IA sont incomplets pour la conformité réglementaire des services financiers.

Kiteworks Compliant AI : conçu pour l’environnement réglementaire des services financiers

Les entreprises de services financiers ont besoin d’une gouvernance IA qui produit les preuves spécifiques exigées par leurs régulateurs — et non d’outils de conformité généralistes qui s’en approchent. Kiteworks Compliant AI fournit ces preuves au sein du Réseau de données privé, au niveau des données, avant toute interaction d’un agent IA avec les données financières clients.

Chaque agent IA est authentifié avec une identité liée à un autorisateur humain, répondant ainsi aux exigences de responsabilité de SR 11-7 et aux contrôles de privilèges d’accès de NYDFS Part 500.

La politique ABAC impose un accès minimum nécessaire au niveau opérationnel, satisfaisant simultanément aux exigences de la Safeguards Rule GLBA, de NYDFS et de PCI DSS.

Le chiffrement validé FIPS 140-3 Niveau 1 protège les données financières clients en transit et au repos pour tous les cadres. Une traçabilité infalsifiable par interaction alimente votre SIEM, répondant aux exigences de suivi SR 11-7, de traçabilité NYDFS, de journalisation GLBA, de surveillance TIC DORA et de tenue de registres RGPD Article 30 dans un enregistrement continu unique.

Lorsque votre examinateur OCC, NYDFS ou PCI QSA vous demande comment votre entreprise gère l’accès IA aux données financières clients, vous répondez avec un dossier de preuves — pas un simple document de politique.

Contactez-nous pour découvrir comment Kiteworks contribue à la conformité IA des entreprises de services financiers sur l’ensemble de votre environnement réglementaire.

Foire aux questions

Oui. SR 11-7 définit un modèle de façon large comme « une méthode, un système ou une approche quantitative appliquant des théories, techniques et hypothèses statistiques, économiques, financières ou mathématiques pour transformer des données d’entrée en estimations quantitatives ». Les modèles de machine learning et d’IA qui influencent les décisions financières — scoring de crédit, détection de fraude, trading, évaluation du risque client — entrent pleinement dans cette définition. Les exigences de développement, validation, suivi continu et intervention humaine s’appliquent aux modèles IA aussi rigoureusement qu’aux modèles statistiques classiques. Les régulateurs précisent dans leurs guides d’audit et actions de contrôle que les exigences SR 11-7 ne peuvent être contournées ou allégées pour les modèles IA sous prétexte que leur complexité rend une validation complète difficile.

Les amendements 2023 de NYDFS Part 500 imposent aux institutions financières concernées d’intégrer les systèmes d’IA à leur programme de cybersécurité, conformément à une attente réglementaire explicite. Les exigences incluent : la tenue d’un inventaire complet des actifs intégrant les systèmes d’IA ; la mise en place de contrôles des privilèges d’accès couvrant les données accessibles à l’IA ; la conservation de journaux d’audit suffisants pour détecter et traiter les incidents cybersécurité impliquant l’IA ; et la réalisation d’évaluations de risques périodiques intégrant les risques liés à l’IA. Le règlement impose également une certification annuelle de conformité par les dirigeants — faisant de la gouvernance IA une responsabilité du conseil d’administration, et non plus seulement une question technique. Les examinateurs NYDFS évaluent activement la gouvernance IA lors des cycles d’audit.

La Safeguards Rule de GLBA impose aux institutions financières de mettre en place un programme de sécurité de l’information protégeant les informations personnelles non publiques contre tout accès ou usage non autorisé. Les amendements 2023 ajoutent des exigences spécifiques — chiffrement, contrôles d’accès avec standards d’autorisation définis, authentification multifactorielle et conservation des journaux d’audit — applicables à tous les systèmes accédant aux NPI, y compris les systèmes d’IA. Un agent IA accédant à des données de compte client, générant des rapports financiers ou traitant des demandes de prêt doit respecter ces exigences de sécurité. Le standard de nécessité minimale imposé par GLBA — accès limité à ce qui est requis pour la fonction — doit être appliqué au niveau opérationnel pour les agents IA, pas seulement au niveau du système ou du dossier.

Toute IA qui stocke, traite ou transmet des données de titulaires de carte — ou qui a accès à l’environnement des données de carte — entre dans le périmètre PCI DSS. Les exigences incluent : un identifiant unique pour chaque agent IA accédant au CDE ; un accès limité au strict nécessaire pour l’activité ; la journalisation détaillée de tous les accès aux données de carte afin de pouvoir reconstituer l’activité ; et un chiffrement robuste pour les données de carte en transit et au repos. Les outils IA intégrés aux processus de paiement, à la détection de fraude ou au service client qui accèdent aux données de carte doivent être inclus dans le périmètre PCI lors de la définition du scope — leur présence dans le CDE n’est pas exclue du fait qu’il s’agit de systèmes IA et non d’utilisateurs humains.

Pour les entreprises de services financiers ayant des activités ou des clients dans l’UE, DORA et le RGPD s’ajoutent — sans les remplacer — aux exigences réglementaires américaines. La gestion des risques TIC et des risques fournisseurs de DORA s’applique aux systèmes IA des entités régulées UE, imposant classification des risques, contrôles d’accès, traçabilité et évaluation fournisseurs, en parallèle des exigences SR 11-7 et GLBA américaines. L’article 22 du RGPD ajoute des obligations pour la prise de décision automatisée affectant les personnes concernées UE — scoring de crédit, détection de fraude et évaluation du risque IA doivent respecter fondement légal, transparence et supervision humaine. Conséquence pratique : une architecture de gouvernance au niveau des données qui impose accès authentifié, politique ABAC, chiffrement FIPS et traçabilité infalsifiable répond aux standards de preuve des cadres américains et européens simultanément, réduisant la charge de conformité à l’international.

Ressources complémentaires

  • Article de blog
    Stratégies Zero‑Trust pour une protection abordable de la vie privée avec l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données IA
  • eBook
    L’écart de gouvernance IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves concrètes.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks