Aller au contenu principal
RégulationArs Technica AI1h· 2 min de lecture

L'autorité britannique de régulation met en garde contre une "course aux armements" pour suivre l'usage de l'IA dans les services financiers

Source originale ↗·

Sheldon Mills, directeur exécutif à la Financial Conduct Authority (FCA), le régulateur financier britannique, a averti que les autorités sont engagées dans une véritable "course aux armements" pour suivre le rythme de l'adoption de l'intelligence artificielle dans les services financiers. Dans un entretien accordé au Financial Times, il a expliqué que des millions de personnes utilisent déjà des outils d'IA générative pour prendre leurs décisions financières personnelles. Mills a appelé les autorités britanniques à examiner si l'utilisation de ChatGPT, Claude, Gemini et d'autres grands modèles de langage devrait être soumise à une réglementation spécifique du secteur financier. Ces déclarations interviennent avant la publication, lundi, d'un rapport commandé par la FCA et rédigé par Mills lui-même sur l'impact de l'IA dans les services financiers.

Cette alerte souligne un décalage croissant entre la vitesse d'adoption de l'IA par le grand public et la capacité des régulateurs à en encadrer les usages. Lorsque des consommateurs s'appuient sur des chatbots généralistes, non conçus pour le conseil financier, pour arbitrer leurs placements, leur épargne ou leurs crédits, les risques d'erreurs, de biais ou de recommandations inadaptées augmentent sans qu'aucun garde-fou réglementaire ne s'applique clairement. Pour la FCA, il devient urgent de clarifier le périmètre de sa supervision : ces outils échappent aujourd'hui largement aux règles conçues pour les conseillers financiers traditionnels, créant une zone grise potentiellement dangereuse pour les épargnants les moins avertis.

Face à ce constat, Mills a plaidé pour que les régulateurs eux-mêmes adoptent l'IA afin de suivre la "vitesse, le rythme et l'ampleur" des transformations en cours, et pour renforcer leurs capacités à "surveiller, détecter et traiter les risques" associés. Cette position illustre un mouvement plus large chez les autorités financières occidentales, confrontées à la diffusion rapide de modèles comme ceux d'OpenAI, Anthropic ou Google au sein du grand public, bien au-delà des usages professionnels initialement anticipés. Le rapport à paraître devrait détailler les recommandations concrètes de la FCA pour encadrer cette nouvelle donne, dans un contexte où plusieurs régulateurs internationaux s'interrogent sur la nécessité d'adapter leurs cadres juridiques existants plutôt que d'attendre une refonte législative complète.

Dans nos dossiers

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Les régulateurs signalent des lacunes dans le contrôle des agents autonomes
1AI News 

Les régulateurs signalent des lacunes dans le contrôle des agents autonomes

L'autorité australienne de régulation prudentielle (APRA) a tiré la sonnette d'alarme fin 2025 après un audit ciblé des grandes institutions financières du pays : banques et fonds de retraite adoptent massivement l'intelligence artificielle, mais leur gouvernance des risques associés reste insuffisante. L'examen, conduit auprès d'un échantillon représentatif d'entités régulées, a révélé que l'IA est désormais présente dans la totalité des organisations auditées, notamment pour l'ingénierie logicielle, le traitement des demandes de prêts, le tri des sinistres, la détection de fraudes et les interactions clients. Pourtant, les conseils d'administration se reposent encore trop souvent sur les présentations des fournisseurs plutôt que sur une analyse rigoureuse des risques, notamment ceux liés aux comportements imprévisibles des modèles ou aux conséquences d'une défaillance sur des opérations critiques. L'APRA a également identifié des lacunes concrètes : absence d'inventaires complets des outils d'IA déployés, manque de responsables désignés pour chaque instance, déficiences dans la surveillance des comportements des modèles et dans les procédures de mise hors service. Ces manquements ont des implications directes pour la stabilité du secteur financier australien, qui gère plusieurs milliers de milliards de dollars d'actifs. Lorsque les institutions traitent le risque IA comme un simple risque technologique classique, elles passent à côté des spécificités des modèles : biais, dérive comportementale, opacité des décisions. L'APRA exige désormais que la stratégie IA de chaque établissement soit alignée sur son appétit au risque, assortie de procédures claires en cas d'erreur et d'une supervision humaine obligatoire pour les décisions à fort enjeu. Sur le plan cybersécuritaire, l'adoption de l'IA élargit la surface d'attaque, notamment via l'injection de prompts et les intégrations non sécurisées. Les contrôles d'identité et d'accès, pensés pour des utilisateurs humains, n'ont pas été adaptés aux agents autonomes, et la dépendance à un fournisseur unique pour de nombreuses instances constitue un risque systémique supplémentaire, peu d'établissements étant capables de présenter un plan de sortie crédible. Cette mise en garde australienne s'inscrit dans une tendance mondiale. L'alliance FIDO, standard incontournable de l'authentification en ligne, vient de créer un groupe de travail spécialisé sur l'authentification agentique, en réponse aux modèles existants qui ont été conçus pour des humains et non pour des logiciels agissant en leur nom. Google (Agent Payments Protocol) et Mastercard (Verifiable Intent) ont déjà soumis leurs solutions à l'examen du groupe. Parallèlement, le Centre for Internet Security, financé en grande partie par le département américain de la Sécurité intérieure, vient de publier des guides de sécurité spécifiques aux LLM, aux agents IA et aux environnements Model Context Protocol, couvrant la gestion des accès non humains et les risques liés aux données sensibles. La gouvernance des agents autonomes devient ainsi l'un des chantiers réglementaires prioritaires de 2026, à mesure que leur déploiement s'accélère dans des secteurs à risques systémiques.

UELes institutions financières européennes font face aux mêmes lacunes de gouvernance des agents IA, un enjeu que l'AI Act et les régulateurs sectoriels (BCE, EBA) devront préciser dans leurs exigences de conformité.

RégulationReglementation
1 source
La Banque d'Angleterre revoit ses règles sur l'IA autonome dans la finance
2AI News 

La Banque d'Angleterre revoit ses règles sur l'IA autonome dans la finance

Voici l'article traduit et résumé : La Banque d'Angleterre examine si son cadre réglementaire actuel peut encadrer l'usage de l'intelligence artificielle agentique dans la finance, notamment dans les paiements, le trading, la cybersécurité et les opérations internes. La vice-gouverneure Sarah Breeden, s'exprimant lors du Forum de la Banque centrale européenne au Portugal, a indiqué que les réglementations existantes n'ont pas été conçues pour des agents IA capables d'agir sans instruction humaine directe. Selon elle, exiger une supervision humaine sur chaque action de ces systèmes n'est pas réaliste en pratique. Ces agents diffèrent des outils de trading automatisés traditionnels car ils peuvent poursuivre des objectifs et prendre des décisions de façon quasi autonome. Un rapport 2026 du Cambridge Centre for Alternative Finance révèle que 81% des entreprises de services financiers interrogées adoptent l'IA à un certain niveau, et 52% des répondants du secteur intègrent déjà activement l'IA agentique, principalement pour l'automatisation des processus, la visualisation de données, l'ingénierie logicielle et la gestion des connaissances. L'usage dans le trading reste pour l'instant concentré sur des tâches opérationnelles à faible risque. Ce virage réglementaire compte car l'IA agentique change fondamentalement la nature du risque financier. Breeden a qualifié la cyber-résilience de préoccupation prioritaire pour la stabilité financière, évoquant un "changement d'échelle" dans les capacités cyber liées à l'IA : ces systèmes peuvent enchaîner des séquences d'actions à grande échelle et grande vitesse, ce qui renforce autant les défenses des équipes de sécurité que les capacités d'attaque des acteurs malveillants. Elle a souligné que les modèles open source ne sont retardés que de quatre à huit mois par rapport aux modèles fermés les plus avancés, limitant l'efficacité des restrictions de diffusion. Le FMI partage cette inquiétude : les attaques permises par l'IA peuvent se propager rapidement à travers des infrastructures numériques partagées, provoquant des perturbations simultanées chez plusieurs institutions à la fois, un scénario que les superviseurs doivent désormais anticiper plutôt que traiter au cas par cas. Cette réflexion s'inscrit dans un contexte où les autorités cherchent à adapter leurs outils de supervision face à une adoption rapide et déjà généralisée de l'IA agentique. La Banque d'Angleterre envisage un renforcement des exigences de reprise d'activité pour les systèmes centraux, avec plusieurs pistes à l'étude : permettre à une banque de reprendre les fonctions essentielles d'une autre en cas de défaillance, mettre en place des dispositifs assurant la continuité des services critiques si les systèmes centraux d'une entreprise sont compromis, ou encore doter les acteurs clés de systèmes de secours séparés capables de reconstruire rapidement une infrastructure compromise. Tobias Adrian, conseiller financier et directeur du département des marchés de capitaux du FMI, a également averti des risques sérieux que pose l'IA pour la cyber-résilience, selon Central Banking. Ces échanges illustrent une prise de conscience croissante parmi les régulateurs financiers : la question n'est plus de savoir si l'IA agentique doit être encadrée, mais comment le faire sans entraver son adoption déjà bien engagée dans le secteur.

UELes régulateurs européens suivent de près ce débat britannique sur l'encadrement de l'IA agentique dans la finance, qui pourrait influencer les futures orientations de supervision au sein de l'UE.

RégulationReglementation
1 source
Le Conseil national de sécurité allemand approuve un Institut de sécurité pour l'IA inspiré de l'AISI britannique
3The Decoder 

Le Conseil national de sécurité allemand approuve un Institut de sécurité pour l'IA inspiré de l'AISI britannique

Le Conseil de sécurité nationale allemand a approuvé la création d'un institut de sécurité dédié à l'intelligence artificielle. Baptisé "DE-AISI", cet organisme aura pour mission d'évaluer les risques posés par les modèles d'IA de pointe, notamment ceux développés par Anthropic et OpenAI. Il s'inspire directement du modèle britannique, l'AI Safety Institute (AISI) du Royaume-Uni, pionnier en la matière depuis sa création en 2023. La création du DE-AISI marque une étape concrète dans la volonté européenne de reprendre la main sur la gouvernance de l'IA. En soumettant les modèles les plus puissants à des audits de sécurité indépendants, l'Allemagne entend réduire les risques systémiques liés au déploiement de ces technologies dans des secteurs critiques. Cela concerne aussi bien les institutions publiques que les entreprises et les infrastructures sensibles. Derrière cette initiative se profile toutefois une tension structurelle difficile à résoudre : l'Europe ne dispose d'aucun modèle frontalier propre, ce qui la rend entièrement dépendante des technologies américaines et chinoises. Or, des acteurs comme Anthropic ou OpenAI entretiennent des liens étroits avec leurs gouvernements respectifs, soulevant des questions sur la neutralité et l'accès réel aux données de ces systèmes. L'initiative allemande s'inscrit dans un mouvement plus large, porté par plusieurs pays européens et par la Commission européenne, qui cherche à instaurer des mécanismes de contrôle sans pour autant disposer des leviers industriels nécessaires pour peser véritablement dans la course mondiale à l'IA.

UELa création du DE-AISI en Allemagne pose un précédent européen pour l'audit indépendant des modèles frontier, susceptible d'inspirer des mécanismes similaires en France et d'influencer les exigences de conformité imposées aux entreprises déployant ces technologies dans des secteurs critiques.

💬 C'est une bonne nouvelle, mais faut pas se raconter d'histoires. L'Allemagne copie le modèle britannique pour auditer des modèles qu'elle ne contrôle pas, avec des données qu'Anthropic et OpenAI ne seront jamais vraiment obligés de partager. Réguler sans produire, c'est un peu arbitrer un match où t'as pas d'équipe sur le terrain.

RégulationReglementation
1 source
Conformité au règlement européen sur l'IA pour l'affinage de LLM sur Amazon SageMaker
4AWS ML Blog 

Conformité au règlement européen sur l'IA pour l'affinage de LLM sur Amazon SageMaker

Depuis le 2 août 2025, l'AI Act européen impose aux organisations qui affinent des grands modèles de langage (LLM) de mesurer précisément la quantité de calcul consommée, exprimée en opérations virgule flottante (FLOPs). L'enjeu est réglementaire : selon le volume de calcul utilisé, une entreprise peut basculer du statut d'utilisateur en aval, qui exploite un modèle existant, à celui de fournisseur de modèle à usage général (GPAI), avec des obligations légales beaucoup plus lourdes. Amazon Web Services a publié en réponse un outil open source, le Fine-Tuning FLOPs Meter, conçu pour s'intégrer directement dans les pipelines Amazon SageMaker AI. Le seuil de référence, dit "règle du tiers", est fixé à 3,3 x 10²² FLOPs par défaut, c'est-à-dire lorsque le calcul de pré-entraînement du modèle de base est inconnu ou inférieur à 10²³ FLOPs. Pour les modèles dont le pré-entraînement dépasse 10²³ FLOPs et dont le chiffre est documenté, le seuil devient 30 % du calcul original. À titre d'exemple concret, affiner Llama-3-70B, dont le pré-entraînement est estimé à au moins 1,5 x 10²⁴ FLOPs, déclenche un seuil de 4,5 x 10²³ FLOPs avant de devenir fournisseur GPAI. Ce changement réglementaire touche directement les équipes data et ML des entreprises européennes qui personnalisent des modèles pour des usages sectoriels, qu'il s'agisse de finance, de santé ou de services juridiques. Franchir le seuil oblige à fournir une documentation détaillée sur l'architecture du modèle, le processus d'entraînement et à respecter l'ensemble des obligations de transparence imposées aux fournisseurs GPAI, sous peine de sanctions. L'outil d'AWS permet de déterminer son statut de conformité avec un seul paramètre de configuration et génère automatiquement les documents d'audit nécessaires. Dans la pratique, la majorité des organisations appliquera le seuil par défaut, car les fournisseurs de modèles comme Meta ou Mistral ne publient pas toujours leurs FLOPs de pré-entraînement avec précision. L'AI Act, premier cadre réglementaire complet sur l'IA au monde, a progressivement élargi son périmètre depuis son adoption en 2024. La distinction entre utilisateur et fournisseur GPAI est au coeur des débats depuis que l'affinage à grande échelle s'est démocratisé grâce aux techniques comme LoRA ou QLoRA, qui permettent d'adapter des modèles de plusieurs dizaines de milliards de paramètres avec des ressources relativement modestes. Le seuil du tiers repose sur une analyse réglementaire selon laquelle consommer plus d'un tiers du calcul original transforme suffisamment le comportement du modèle pour créer, de fait, un nouveau système avec ses propres risques. Le positionnement d'AWS est stratégique : en intégrant la conformité directement dans son infrastructure managée, le cloud provider réduit la friction pour les entreprises européennes hésitant à adopter le fine-tuning par crainte des obligations légales.

UELes équipes ML des entreprises européennes qui affinent des LLMs doivent désormais mesurer leurs FLOPs pour déterminer si elles basculent au statut de fournisseur GPAI sous l'AI Act, avec des obligations de documentation et de transparence renforcées sous peine de sanctions.

💬 C'est le genre de truc qui va faire peur à plein d'équipes ML alors que la plupart n'ont rien à craindre : affiner un Llama-70B en LoRA sur quelques epochs, tu es encore très loin du seuil. Ce qui est malin chez AWS, c'est d'intégrer la conformité dans leur infra avant que les équipes légales des boîtes européennes leur bloquent le fine-tuning par précaution. Reste que si Meta ne publie pas ses FLOPs de pré-entraînement proprement, tout le monde travaille avec un seuil par défaut un peu arbitraire.

RégulationReglementation
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic