L’ICAAP, selon le guide BCE de juillet 2026, est un outil stratégique assurant la résilience bancaire. Il combine deux perspectives complémentaires : normative (conformité réglementaire) et économique (préservation de la valeur), qui doivent s’alimenter mutuellement. La BCE exige une identification exhaustive des risques, des méthodes prudentes, des stress tests sévères, une validation indépendante et des données fiables. Les risques difficiles à quantifier doivent être couverts par des hypothèses conservatrices. Intégré à la gouvernance et aux décisions stratégiques, l’ICAAP permet de préserver la solvabilité, d’anticiper les chocs et de distinguer clairement les coussins internes des exigences prudentielles.
Les Orientations de l'EIOPA sur le reporting et la transparence (cadre Solvabilité II) encadrent la transmission des données financières des assureurs aux autorités de contrôle et la publication d'informations au public. Elles définissent la structure des rapports prudentiels réguliers (RSR) et des états quantitatifs (QRT) transmis aux superviseurs, tout en imposant la publication d'un rapport public sur la solvabilité et la situation financière (SFCR) pour les marchés et les assurés. Elles exigent une approche par transparence (look-through) pour identifier les risques sous-jacents des fonds d'investissement et appliquent un principe de proportionnalité pour adapter la fréquence et la charge administrative selon la taille et le profil de risque de l'entité.
L’intégration structurelle de l’IA au cœur des services financiers critiques impose de dépasser la simple conformité éthique de l'EU AI Act pour se concentrer sur la résilience opérationnelle exigée par DORA, dont les obligations s'appliquent bien avant celles de la réglementation sur l'IA. Les contrôles de continuité classiques sont inadaptés aux défaillances spécifiques de l’IA, telles que la dégradation silencieuse (grey failure), le non-déterminisme et la forte concentration systémique autour de rares fournisseurs de modèles. Pour y remédier, l’AI Resilience Framework (ARF) propose une méthode d'intégration unifiée : cartographier les dépendances aux services importants, piloter une matrice de criticité, instrumenter les tolérances face aux dérives, et garantir des doctrines de repli humain non fictionnelles. Face à ces risques probabilistes, les décideurs et architectes doivent unifier leurs registres de risques et adopter une approche Zero Trust pour assurer la survie de leurs services.
Malgré un contexte macroéconomique chahuté en 2025 (croissance à 0,8 %, protectionnisme), les banques françaises affichent une solide résilience structurelle avec des bénéfices en hausse. Cependant, la digitalisation accélérée et l'émergence de technologies de rupture (IA, informatique quantique) transforment le paysage des risques, exacerbant les cybermenaces et la contagion systémique. Parallèlement, l'exposition accrue au secteur technologique et l'interconnexion croissante avec la finance non bancaire renforcent les risques de propagation. Pour 2026, la vigilance s'impose sur les risques de bilan, la qualité du crédit et la sécurité post-quantique, sous le contrôle du superviseur.
L’IA Act de l’Union européenne marque le passage à une gouvernance structurée des systèmes d’IA, fondée sur trois principes : licéité, éthique et robustesse. Il impose des exigences de contrôle humain, transparence, gouvernance des données, sécurité, équité et responsabilité. Les obligations varient selon le niveau de risque, les systèmes à haut risque devant intégrer un système continu de gestion des risques, une documentation complète, une supervision humaine et des audits. À l’international, l’UE adopte une approche contraignante, tandis que le Canada, la Chine, les États-Unis, Singapour et le Royaume-Uni privilégient des modèles réglementaires différents. L’évaluation combine identification et analyse des risques techniques, éthiques, sociétaux et de cybersécurité, avec des méthodes comme l’analyse de scénarios et la méthode Delphi. Les référentiels NIST et ISO/IEC 42001-23894 fournissent un cadre opérationnel, complété par les approches AI TRiSM et ModelOps pour une surveillance continue.
La cartographie 2026 de l’AMF souligne un environnement financier plus instable, marqué par le resserrement monétaire, les tensions géopolitiques et une hausse des vulnérabilités. L’IA « frontière » accroît les risques opérationnels en facilitant les cyberattaques, tandis que l’informatique quantique menace les standards de chiffrement. DORA est présenté comme le principal cadre de résilience. La fraude financière s’industrialise grâce à l’IA, aux deepfakes et aux crypto-actifs. Malgré l’essor de l’IA chez les jeunes investisseurs, le conseil humain reste essentiel. Pour 2027, les risques cyber et de contagion devraient encore augmenter.
L'équité algorithmique dans la finance impose de dépasser la simple exclusion des variables sensibles, inefficace face aux proxies détectables par l'IA. Un cadre juridique stratifié (AI Act, RGPD, directives sectorielles) encadre les systèmes à haut risque, avec des philosophies divergentes entre protection par abstention et prévention de l'exclusion indue. Le Risk Manager doit distinguer disparité, biais et discrimination, et arbitrer entre trois métriques d'équité (indépendance, séparation, suffisance) mathématiquement incompatibles simultanément. La correction passe par pré-traitement, in-processing ou post-traitement des seuils. L'enjeu final : intégrer l'équité au Model Risk Management, documenter les arbitrages, et concilier viabilité économique et non-discrimination sociale.
En 2026, le secteur financier fait face à des injonctions contradictoires entre le GDPR et l'AI Act. La conservation des données pour la surveillance post-commercialisation s'oppose à la minimisation, et l'exercice du droit à l'effacement dans les réseaux de neurones risque de déclencher de lourdes procédures de réévaluation du modèle. De plus, la représentativité des données et la supervision humaine proactive requièrent une articulation complexe avec le RGPD.
Pour naviguer dans cette incertitude, les institutions doivent documenter de bonne foi leurs arbitrages en intégrant ces exigences dans leur gestion des risques de modèles existante.
L’IA Act transforme la transparence éthique en obligation juridique stricte, articulée autour de la traçabilité, de l’explicabilité et de la communication. La conformité impose une gestion dynamique de la chaîne de valeur, car un acteur peut être requalifié en « fournisseur » s'il modifie substantiellement un système. Les obligations s'accumulent selon les niveaux de risque (jusqu'au risque systémique pour les IA à usage général). Opérationnellement, cela exige une gouvernance en quatre phases (de l'idéation à la surveillance), automatisant la documentation technique et formant le personnel à la surveillance humaine pour gérer les alertes et les notifications d'incidents.
Le rapport de stabilité de l’EIOPA (juin 2026) souligne la solidité financière du secteur européen de l’assurance malgré un contexte marqué par les tensions géopolitiques, l’inflation et la volatilité des marchés. L’IA améliore l’efficacité opérationnelle mais crée de nouveaux risques : biais algorithmiques, dépendance à quelques fournisseurs technologiques et concentration systémique. Parallèlement, les modèles d’IA avancés renforcent les menaces cyber, compliquant l’évaluation des sinistres et pouvant accroître les besoins en capital. L’EIOPA prépare l’application coordonnée de l’IA Act et de Solvabilité II révisée afin de renforcer la résilience du secteur face à ces risques émergents.