27 février 2026
|

AI Act et Lutte contre la Fraude : pourquoi le marché doit s’y préparer

Le Règlement (UE) 2024/1689 dit “AI Act” est entré en vigueur le 1ᵉʳ août 2024 ; ses obligations s’appliquent par vagues jusqu’en 2027. Bonne nouvelle : la détection de fraude financière n’est pas classée d’emblée “haut risque” dans le texte final (Annexe III prévoit une exception). Mais ignorer l’AI Act serait une erreur stratégique : nos clients régulés (banques, fintechs, e-commerçants sous surveillance) devront malgré tout exiger traçabilité, gouvernance de modèles et formation des équipes (“AI literacy”).

Illustration symbolique montrant un bouclier avec un cadenas et un maillet de justice, représentant la sécurité et la réglementation, à côté d’un cercle d’étoiles européennes entourant les lettres AI, sur fond violet.


Découvrez comment Oneytrust se prépare à la mise en conformité avec ce nouveau texte tout aussi crucial que le RGPD l’était en son temps !

  1. La nouvelle définition large d’un « système d’IA »

Le texte définit un système d’IA de manière très large comme un “système basé sur une machine, fonctionnant avec divers degrés d’autonomie, capable de s’adapter après déploiement et qui, pour des objectifs explicites ou implicites, déduit à partir des données comment générer des résultats (prédictions, contenu, recommandations, décisions) influençant des environnements physiques ou virtuels”.

Cette portée technologique large est complexe à décliner opérationnellement mais le marché s’accorde à considérer que cela englobe les approches sophistiquées comme l’apprentissage automatique (ML), les approches hybrides règles experts + machine learning, et l’optimisation avancée.

Avec la prolifération de l’usage de l’IA par les fraudeurs, les entreprises de confiance de lutte contre la fraude comme Oneytrust devront toujours davantage développer leur panoplie de solutions IA afin d’alimenter leurs moteurs de scoring, d’alerte comportementale ou d’analyse d’anomalies afin de rester à l’ère du temps et d’identifier des schémas de fraude de plus en plus sophistiqués.

  1. Risques : où se situe la détection de fraude ?

L’AI Act classe certains usages « haut risque » (biométrie critique, emploi, éducation, accès à des services essentiels comme le crédit scoring, la tarification de l’assurance santé…). Ces systèmes sont autorisés mais doivent faire office d’un système de gestion des risques très poussé et d’une évaluation de leur conformité avant mise sur le marché.

Exception notable : l’IA utilisée pour détecter la fraude financière n’est pas automatiquement “haut risque”. Cela réduit la charge réglementaire directe, mais ne supprime pas les attentes de transparence, de qualité des données et de surveillance humaine que les établissements régulés répercutent contractuellement leurs filiales et fournisseurs (comme Oneytrust).

  1. Quelles dates clés retenir ?

Les principales entrées en application des exigences de l’AI Act sont séquencées dans le temps. Voici les principales dates à retenir :

  • - 2 février 2025: entrée en application des interdictions « risque inacceptable » + exigence d’AI literacy (sensibilisation/formation des personnels impliqués dans l’IA).
  • - 2 août 2025: obligations pour modèles d’IA à usage général (GPAI) commencent à s’appliquer (IA générative).
  • - 2 février 2026: deadline européenne pour certains actes d’exécution (plans de surveillance post‑marché).
  • - 2 août 2026: obligations pour systèmes d’IA à haut risque.
  • - Août 2027: application générale de l’ensemble des dispositions du règlement.
  1. Pourquoi se préparer même sans être “à haut risque” ?

Les fraudeurs s’industrialisent avec l’IA. Deepfakes, faux documents générés, scripts automatisés d’attaque, automatisation du recours aux identités synthétiques : la fraude se scale. Les acteurs de la lutte contre la fraude doivent s’adapter aussi vite à ces nouvelles tendances.

Bien que la lutte contre la fraude ne soit pas considérée explicitement comme étant à haut risque, il est essentiel de garantir des solutions respectueuses des droits fondamentaux et de la vie privée des clients et utilisateurs finaux, que ce soit en respect du RGPD ou de l’AI Act. De plus, les attentes des partenaires régulés (principalement du secteur bancaire) sont de plus en plus fortes car ils sont soumis à des exigences sectorielles qui nécessitent traçabilité, une bonne documentation et une vigilance renforcée sur la qualité des données utilisées pour satisfaire leur superviseur.

  1. La réponse Oneytrust

Oneytrust fournit des solutions de vérification d’identité et de détection de fraude pour e-commerçant, fintechs et banques, s’appuyant sur des solutions IA couplées à notre expertise humaine de la lutte contre la fraude depuis 25 ans pour détecter identités synthétiques, anomalies transactionnelles et signaux de risque en temps réel. Nous sommes membres du Groupe BPCE, ce qui nous pousse à des standards élevés de conformité et de gouvernance des modèles.1

Tout comme avec le RGPD, nous n’avons pas attendu pour cultiver notre expertise sur l’AI Act et avons depuis plusieurs années sensibilisé et formé notre personnel à ces nouvelles problématiques de conformité. Contactez-nous si vous souhaitez en savoir plus sur la vision d’Oneytrust en matière de conformité et gestion des risques de l’IA !