Voici une analyse d'impact sur les droits fondamentaux (AIDF) complète et détaillée pour un système de notation de crédit par IA — les six sections de l'article 27, paragraphe 1, renseignées pour un scénario bancaire concret, avec la profondeur propre au crédit à la consommation qu'un modèle générique laisse de côté. Elle s'appuie directement sur notre guide du modèle d'AIDF, qui explique ce qu'est une AIDF, la structure en six sections et en quoi une AIDF diffère d'une AIPD. Un système d'IA destiné à évaluer la solvabilité des personnes physiques ou à établir leur note de crédit est à haut risque au titre de l'annexe III, point 5 b) du règlement européen sur l'IA, et son déployeur doit réaliser une AIDF au titre de l'article 27, qu'il soit public ou privé. La date d'application contraignante est le 2 août 2026 ; le Digital Omnibus (accord provisoire conclu vers le 7 mai 2026) reporterait les obligations autonomes applicables aux systèmes à haut risque de l'annexe III, y compris l'AIDF de l'article 27, au 2 décembre 2027, mais il n'a pas encore force de loi en juin 2026 : continuez donc à vous préparer sur la base du 2 août 2026. Vous pouvez rédiger une version structurée de l'analyse ci-dessous avec le générateur d'AIDF gratuit.
Pourquoi la notation de crédit déclenche une AIDF, que le déployeur soit public ou privé
L'article 27, paragraphe 1 dispose : « Avant de déployer un système d'IA à haut risque visé à l'article 6, paragraphe 2, à l'exception des systèmes d'IA à haut risque destinés à être utilisés dans le domaine visé à l'annexe III, point 2, les déployeurs qui sont des organismes de droit public ou des entités privées fournissant des services publics et les déployeurs de systèmes d'IA à haut risque visés à l'annexe III, points 5 b) et c), procèdent à une évaluation de l'impact que l'utilisation de ce système peut avoir sur les droits fondamentaux. » Cette phrase définit deux groupes de déployeurs tenus de réaliser l'analyse.
Le premier groupe rassemble les organismes de droit public et les entités privées fournissant des services publics qui déploient des systèmes à haut risque de l'annexe III. Le second groupe rassemble les déployeurs des systèmes visés à l'annexe III, points 5 b) et c) — la notation de crédit, ainsi que la tarification de l'assurance-vie ou de l'assurance maladie. Cette seconde catégorie ne comporte aucune restriction tenant au caractère public ou privé. Elle s'impose à tout déployeur d'un système d'évaluation de la solvabilité relevant du point 5 b) et à tout déployeur d'un système de tarification de l'assurance-vie ou maladie relevant du point 5 c), banques commerciales et prêteurs à la consommation compris.
Un piège de lecture mérite d'être signalé d'emblée. La formule « à l'exception de […] l'annexe III, point 2 » ne retire les systèmes d'infrastructures critiques que du premier groupe. Le point 2 de l'annexe III vise les infrastructures critiques ; la notation de crédit relève du point 5 b). Un déployeur de notation de crédit relevant du point 5 b) est visé par la seconde catégorie, et l'exception relative au point 2 ne touche pas cette catégorie.
L'annexe III, point 5 b) vise les « systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit, à l'exception des systèmes d'IA utilisés afin de détecter des fraudes financières ». Un modèle de probabilité de défaut qui pilote des décisions de crédit à la consommation entre pleinement dans cette définition. Le guide du modèle d'AIDF résume ce critère de déclenchement ; le reste de cet article le déroule intégralement. Pour une vue d'ensemble de la classification, notamment la façon dont l'article 6 et l'annexe III déterminent ce qui relève du haut risque, voir le guide de classification des IA à haut risque.
Une étape de classification supplémentaire rend le déclenchement incontestable. En vertu de l'article 6, paragraphe 3, un système de l'annexe III peut échapper au haut risque lorsqu'il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques — par exemple lorsqu'il exécute une tâche procédurale limitée. Cette dérogation ne s'applique pas à la notation de crédit : l'article 6, paragraphe 3, précise qu'un système de l'annexe III est toujours considéré comme à haut risque lorsqu'il effectue un profilage de personnes physiques, et un modèle d'évaluation de la solvabilité qui apprécie la situation économique d'une personne constitue un profilage au sens de l'article 4, point 4), du RGPD. Un système de notation de crédit qui pilote de manière déterminante les décisions de crédit demeure donc à haut risque, et son déployeur conserve l'obligation d'AIDF prévue à l'article 27.
L'exception relative à la détection de la fraude : ce qui entre et ce qui sort du champ
La définition du point 5 b) excepte expressément l'IA « utilisée afin de détecter des fraudes financières ». Un modèle de détection de la fraude pur se situe donc hors de la catégorie « évaluation de la solvabilité » du point 5 b) et n'hérite pas, par ce point 5 b), du critère déclenchant l'AIDF pour la notation de crédit. Un modèle de fraude peut tout de même être à haut risque pour d'autres motifs et porter ses propres obligations de gouvernance ; il n'hérite simplement pas de l'obligation d'AIDF attachée à la notation de crédit du point 5 b). Lorsqu'un même établissement exploite des modèles de fraude et de LCB-FT aux côtés de son moteur de crédit, leur approche de gouvernance est traitée dans gouverner les agents de LCB-FT et de paiement.
Deux cas voisins complètent la délimitation. La seule tarification de l'assurance non-vie (automobile, habitation, voyage) se situe hors du point 5 c) ; une branche non-vie devrait emprunter une autre voie de l'annexe III ou de l'annexe I pour être à haut risque. Seules l'évaluation des risques et la tarification de l'assurance-vie et de l'assurance maladie relèvent du point 5 c), qui emporte sa propre obligation d'AIDF.
| Usage de l'IA | Relève de l'annexe III 5 b) ? | AIDF au titre de l'art. 27 via 5 b) ? |
|---|---|---|
| Évaluer la solvabilité / établir une note de crédit | Oui | Oui |
| Détecter la fraude financière | Non (expressément exceptée) | Non (non déclenchée par 5 b)) |
| Tarifer l'assurance non-vie (automobile, habitation) | Non (seules l'assurance-vie et maladie relèvent du 5 c)) | Non |
| Tarifer l'assurance-vie ou maladie | Oui (via le point 5 c)) | Oui — voir l'exemple d'AIDF pour l'assurance |
Trois strates juridiques sur une même décision de crédit par IA
Un simple refus automatisé ne relève pas du seul règlement IA. Trois corpus du droit de l'UE se superposent sur la même décision, et une AIDF crédible doit tous les prendre en compte. C'est cette profondeur propre au crédit à la consommation qui distingue une analyse de notation de crédit détaillée du modèle générique.
| Strate | Ce qu'elle exige pour un refus de crédit | Source |
|---|---|---|
| AIDF du règlement IA | Une analyse des droits fondamentaux en six parties avant le déploiement ; notification des résultats à l'autorité de surveillance du marché. | Règlement IA, art. 27, par. 1 à 3 |
| Droit à l'explication du règlement IA | Sur demande, des explications claires et pertinentes sur le rôle du système d'IA dans la décision et sur les principaux éléments de la décision prise, dans la mesure où ce droit n'est pas déjà prévu par le droit de l'Union. | Règlement IA, art. 86, par. 1 et 3 |
| Règles du RGPD sur les décisions automatisées | Une base légale distincte au titre de l'article 6 pour le traitement, ainsi qu'une exception de l'article 22, paragraphe 2 (contrat, disposition légale, ou consentement explicite) à l'interdiction des décisions exclusivement automatisées ; pour les voies du contrat et du consentement explicite, les garanties de l'article 22, paragraphe 3 (intervention humaine, droit d'exprimer son point de vue et de contester). | RGPD, art. 22, par. 1 à 3 |
| Transparence au titre du RGPD | Des « informations utiles concernant la logique sous-jacente », ainsi que l'importance et les conséquences prévues du traitement. | RGPD, art. 13(2)(f) / 14(2)(g) / 15(1)(h) |
| AIPD du RGPD | Une analyse des risques pour la protection des données dont les parties communes alimentent l'AIDF et sont complétées par elle. | RGPD, art. 35 ; Règlement IA, art. 27, par. 4 |
Le droit à l'explication de l'article 86 et les points d'ancrage du RGPD
L'article 86 du règlement IA est le point d'ancrage de l'explication du refus au sein même du règlement. Il confère à « toute personne concernée faisant l'objet d'une décision prise par le déployeur sur la base des sorties d'un système d'IA à haut risque répertorié à l'annexe III […] et qui produit des effets juridiques ou affecte significativement cette personne de façon similaire d'une manière qu'elle considère comme ayant une incidence négative sur sa santé, sa sécurité ou ses droits fondamentaux […] le droit d'obtenir du déployeur des explications claires et pertinentes sur le rôle du système d'IA dans la procédure décisionnelle et sur les principaux éléments de la décision prise ». Ce droit est subordonné à ce seuil : la décision doit produire des effets juridiques ou affecter la personne de manière comparable et significative. Un refus de crédit atteint ce seuil, car il conditionne l'accès à un prêt, à une carte ou à un découvert ; un demandeur dont la demande est refusée est donc une personne concernée qui peut invoquer l'article 86. L'article 86, paragraphe 3, en fait un droit subsidiaire : il ne s'applique que dans la mesure où un droit équivalent n'est pas déjà prévu par le droit de l'Union ; ainsi, lorsque la transparence du RGPD et les droits de l'article 22 couvrent déjà l'explication, ce sont ces dispositions qui s'appliquent et l'article 86 ne comble que ce qu'elles laissent ouvert. Côté RGPD, les points d'ancrage contraignants sont les articles 13 à 15 (informations utiles concernant la logique sous-jacente) et l'article 22, paragraphe 3 (intervention humaine, droit d'exprimer son point de vue et de contester). Le considérant 71 évoque lui aussi une explication de la décision prise, mais il s'agit d'un considérant non contraignant : il est donc préférable d'ancrer l'obligation d'explication dans ces articles contraignants ainsi que dans l'article 86. Le terme américain « adverse-action notice » est un raccourci commode pour désigner ces obligations, même s'il ne s'agit pas d'une notion juridique de l'UE.
Le scénario : la banque et le système
Le cas pratique repose sur un seul déployeur d'un bout à l'autre. La banque est une banque de détail et un prêteur à la consommation de taille moyenne dans l'UE, agissant comme déployeur d'un système d'IA à haut risque. Le système est un modèle d'évaluation de la solvabilité par apprentissage automatique (fournisseur « ScoreCo », modèle v2.3) qui produit un score de probabilité de défaut servant à décider des demandes de crédit à la consommation : prêts personnels, cartes de crédit et découverts autorisés.
La logique de décision repose sur un découpage en trois tranches. Les scores supérieurs au seuil haut donnent lieu à une approbation automatique ; les scores inférieurs au seuil bas, à un refus automatique ; la tranche intermédiaire est orientée vers des analystes crédit humains. Un modèle de filtrage de la fraude distinct et indépendant s'exécute en amont et reste hors du champ de la présente AIDF en vertu de l'exception de l'annexe III, point 5 b). L'utilisation est continue et à durée indéterminée à compter de la date de déploiement, avec une notation en temps réel au moment de la demande, soit environ 3 000 décisions par semaine (environ 150 000 par an) sur les marchés de détail de la banque dans l'UE, en ligne et en agence. Le système relève de l'annexe III, point 5 b) : l'AIDF est donc requise au titre de l'article 27, paragraphe 1, quel que soit le caractère public ou privé de la banque.
L'AIDF détaillée, section par section (article 27, paragraphe 1, points a) à f))
L'article 27, paragraphe 1, énumère six composantes obligatoires. Les deux paragraphes ci-dessous exposent le rôle de chacune pour le cas de la notation de crédit, et le tableau qui suit les complète toutes les six pour le cas pratique.
Les sections 1 à 3 fixent les faits sur lesquels raisonne le reste de l'analyse. La section 1 consigne le système et sa destination (le modèle de probabilité de défaut de ScoreCo, le processus d'octroi dans lequel il s'insère et le découpage en trois tranches) et indique clairement que le filtrage de la fraude est un modèle distinct, hors du champ de la présente AIDF. La section 2 consigne la durée et la fréquence : utilisation continue en production, notation en temps réel au moment de la demande et volume hebdomadaire de décisions. La section 3 recense les personnes affectées, en prêtant une attention particulière aux demandeurs à historique de crédit limité et vulnérables ainsi qu'aux tiers tels que les coemprunteurs et les garants.
Les sections 4 à 6 portent l'analyse. La section 4 est le registre des risques présenté intégralement ci-dessous : chaque droit fondamental, le scénario de préjudice, une cotation de la probabilité et de la gravité, la mesure d'atténuation et le risque résiduel. La section 5 documente les mesures de surveillance humaine : les responsables désignés habilités à passer outre un refus automatique, l'examen obligatoire des refus dans les groupes signalés et la fonction de gestion du risque de modèle de deuxième ligne. La section 6 consigne ce qui se passe lorsqu'un risque se matérialise : la voie de réclamation, les droits de l'article 22, paragraphe 3, du RGPD et de l'article 86 que le demandeur peut invoquer, le retour à une version antérieure du modèle et l'ajustement des seuils, ainsi que la notification à l'autorité de surveillance du marché prévue à l'article 27, paragraphe 3.
| Section de l'AIDF | Ce que la banque documente pour le cas de la notation de crédit | Fondement |
|---|---|---|
| 1. Système et destination | Modèle ScoreCo v2.3 ; la destination est de prédire la probabilité de défaut pour éclairer les décisions de crédit à la consommation ; utilisé dans le processus d'octroi avec des seuils d'approbation et de refus automatiques et une tranche intermédiaire confiée à des analystes crédit ; le filtrage de la fraude est assuré par un modèle distinct et exclu. | Art. 27(1)(a) |
| 2. Durée et fréquence | Utilisation continue et à durée indéterminée en production à compter de la date de déploiement ; notation en temps réel à la demande ; ~3 000 décisions/semaine, ~150 000/an ; marchés de détail de l'UE, en ligne et en agence. | Art. 27(1)(b) |
| 3. Personnes et groupes affectés | Demandeurs de crédit (personnes physiques), avec une attention particulière aux cohortes à historique de crédit limité et vulnérables (jeunes adultes, migrants récents, personnes récemment veuves ou divorcées accédant au crédit en leur nom propre), aux demandeurs à faibles revenus, aux demandeurs dont les variables indirectes corrèlent avec des caractéristiques protégées et aux demandeurs ayant une faible littératie numérique ; ainsi que les tiers (coemprunteurs, garants, personnes à charge). | Art. 27(1)(c) |
| 4. Risques spécifiques pour les droits fondamentaux | Le registre des risques ci-dessous : chaque droit, scénario de préjudice, probabilité, gravité, niveau de risque, mesure d'atténuation et risque résiduel. | Art. 27(1)(d) |
| 5. Mesures de surveillance humaine | Responsables du risque de crédit et analystes crédit désignés, habilités à passer outre les refus automatiques ; examen humain obligatoire de tous les refus dans les groupes signalés ; scores à faible confiance orientés vers un examen humain ; fonction de gestion du risque de modèle de deuxième ligne ; formation à la surveillance et journalisation. | Art. 27(1)(e) |
| 6. Mesures en cas de matérialisation des risques | Mécanisme de réclamation ; voie d'examen humain et de contestation au titre de l'article 22, paragraphe 3, du RGPD ; explication du refus au titre de l'article 86 du règlement IA ; voie alternative d'évaluation manuelle ; retour à une version antérieure du modèle et ajustement des seuils ; escalade des incidents ; notification à l'autorité de surveillance du marché au titre de l'article 27, paragraphe 3. | Art. 27(1)(f) |
La section 4 en détail : le registre des risques de la notation de crédit
C'est dans la section 4 qu'une AIDF devient concrète. L'article 27, paragraphe 1, point d), exige que l'analyse expose les risques spécifiques de préjudice susceptibles d'affecter les catégories de personnes physiques recensées à la section 3 ; un registre droit par droit — chaque droit fondamental en jeu, un scénario de préjudice précis, une cotation de la probabilité et de la gravité, la mesure d'atténuation et le risque résiduel — est une manière défendable de documenter ces risques. Le registre ci-dessous le fait pour le cas de la notation de crédit. Les valeurs de probabilité, de gravité et de risque résiduel constituent une évaluation à titre d'exemple, cohérente en interne avec la matrice de cotation présentée plus loin. Elles illustrent une méthode défendable ; les chiffres précis ne sont prescrits par aucune autorité de régulation.
| Droit fondamental | Scénario de préjudice | Probabilité | Gravité | Risque | Mesure d'atténuation | Résiduel |
|---|---|---|---|---|---|---|
| Non-discrimination (article 21 de la Charte) | Des variables indirectes (code postal, profession, appareil, variables liées à la nationalité) corrèlent avec des caractéristiques protégées (origine ethnique, sexe, âge), produisant des taux de refus disparates — discrimination indirecte. | Possible | Majeure | Élevé | Tests trimestriels d'impact disparate / de ratio d'impact défavorable entre groupes protégés ; audit des variables indirectes avec retrait ou transformation ; contraintes d'équité ; examen humain de tous les refus dans les groupes signalés ; motifs documentés. | Moyen |
| Accès aux services privés essentiels / protection des consommateurs | Un score erronément bas refuse à tort le crédit, restreignant l'accès à des services essentiels tels qu'un véhicule pour travailler, un financement du logement ou des achats essentiels, et risquant une exclusion cumulative du marché du crédit. Le refus d'un nouveau crédit ne constitue normalement pas une privation d'un bien existant au sens de l'article 17 de la Charte, lequel ne joue que lorsqu'un bien déjà détenu est en cause. | Peu probable | Majeure | Moyen | Voie alternative d'évaluation manuelle ; possibilité de passer outre par un humain ; motifs de refus clairs ; possibilité de soumettre des éléments complémentaires (par ex. historique de paiement des loyers ou des factures pour les dossiers à historique limité). | Faible |
| Protection des données à caractère personnel (article 8 de la Charte) | Des données du bureau de crédit ou de transaction inexactes, obsolètes ou excessives dégradent l'exactitude et l'équité ; des caractéristiques relevant de catégories particulières de données sont inférées à partir des données de transaction. | Possible | Modérée | Moyen | Examen de la minimisation des données ; intégration de l'AIPD (art. 27, par. 4) ; contrôles de qualité des données alignés sur l'article 10 du règlement IA ; interdiction des catégories particulières de données en entrée et surveillance de leurs variables indirectes ; processus de rectification des données du bureau de crédit (art. 16 du RGPD). | Faible |
| Droit à un recours effectif (article 47 de la Charte) / protection des consommateurs | Le demandeur ne peut ni comprendre ni contester un refus automatisé ; un résultat « l'ordinateur dit non » sans recours humain ni motifs pertinents. | Possible | Majeure | Élevé | Garanties de l'article 22, paragraphe 3, du RGPD (intervention humaine garantie, droit d'exprimer son point de vue et de contester) ; explication claire et pertinente, au titre de l'article 86 du règlement IA, du rôle de l'IA et des principaux facteurs de la décision ; codes de motifs principaux ; décisions journalisées et auditables. | Moyen |
| Non-discrimination / demandeurs à historique limité et vulnérables | Les demandeurs sans antécédents de crédit ou presque (jeunes adultes, migrants récents, personnes nouvellement actives en crédit en leur nom propre) sont notés sur des données limitées et systématiquement refusés ou mal tarifés ; le modèle est moins performant sur les segments sous-représentés. | Probable | Modérée | Élevé | Suivi des performances par segment (exactitude selon la richesse du dossier et la cohorte d'âge) ; données alternatives consenties (loyers, factures, flux de trésorerie issus de l'open banking) avec examen manuel pour les dossiers à historique limité ; orientation des scores à faible confiance vers un examen humain. | Moyen |
| Décision exclusivement automatisée (article 22 du RGPD) | Le refus automatique au seuil de score est une décision fondée exclusivement sur un traitement automatisé produisant un effet significatif (SCHUFA, C-634/21), prise sans base légale au titre de l'article 6 et sans exception de l'article 22, paragraphe 2, ou sans les garanties de l'article 22, paragraphe 3. | Possible | Majeure | Élevé | S'appuyer sur l'exception de nécessité contractuelle de l'article 22, paragraphe 2, point a), conjuguée à une base légale distincte au titre de l'article 6 et aux garanties de l'article 22, paragraphe 3 ; examen humain effectif sur demande pour chaque refus automatique ; journalisation ; base légale et exception documentées dans l'AIPD. | Faible |
Coter le registre : probabilité × gravité
Les niveaux de risque du registre proviennent d'une matrice probabilité × gravité appliquée de manière cohérente à l'ensemble de l'analyse. Consigner la matrice, ainsi que le raisonnement sous-tendant chaque cotation, importe autant à une autorité de régulation que le niveau de risque final.
| Probabilité / Gravité | Négligeable | Mineure | Modérée | Majeure | Catastrophique |
|---|---|---|---|---|---|
| Rare | Faible | Faible | Faible | Moyen | Moyen |
| Peu probable | Faible | Faible | Moyen | Moyen | Élevé |
| Possible | Faible | Moyen | Moyen | Élevé | Élevé |
| Probable | Moyen | Moyen | Élevé | Élevé | Critique |
| Quasi certain | Moyen | Élevé | Élevé | Critique | Critique |
Les mesures d'atténuation en détail
Tests d'impact disparate. Réalisez des tests trimestriels de ratio d'impact défavorable entre groupes protégés, en comparant les taux d'approbation, les taux de refus et les résultats de tarification. Le seuil des quatre cinquièmes (80 %) constitue un signal de départ ; documentez le test, les populations concernées et la mesure prise lorsqu'une disparité apparaît.
Traitement des variables indirectes. Auditez les variables d'entrée pour détecter toute corrélation avec des caractéristiques protégées. Le code postal, la profession, le type d'appareil et les variables liées à la nationalité sont des variables indirectes courantes de l'origine ethnique, du sexe ou de l'âge. Retirez ou transformez les variables porteuses d'un signal indirect, et retestez après chaque modification.
Examen humain des refus. Orientez chaque refus dans un groupe signalé vers un analyste crédit désigné avant toute communication, et conférez à cet analyste une réelle autorité pour passer outre le modèle. Les scores à faible confiance sont soumis à un examen humain.
Motifs du refus et explication de l'article 86. Communiquez au demandeur les principaux motifs du refus en langage clair, ainsi que l'explication, au titre de l'article 86, du rôle du système d'IA dans la décision et des principaux éléments de la décision prise. Des codes de motifs principaux reliés aux facteurs déterminants du modèle rendent l'opération reproductible et auditable.
Voie manuelle alternative. Offrez l'accès à une évaluation manuelle complète aux demandeurs qui contestent un refus automatisé ou qui peuvent fournir des éléments complémentaires, tels qu'un historique de paiement des loyers ou des factures.
Dossiers à historique limité et données alternatives. Pour les demandeurs à faible historique de crédit, utilisez des données alternatives consenties (loyers, factures ou flux de trésorerie issus de l'open banking) sous examen manuel, et suivez les performances du modèle selon la richesse du dossier et la cohorte d'âge afin de détecter les défaillances par segment.
Chacun de ces contrôles requiert un responsable, des preuves et une place dans le cadre de contrôle de la banque ; les relier aux articles pertinents du règlement IA, c'est précisément la fonction de la vue cartographie des contrôles.
L'article 22 du RGPD, SCHUFA et l'AIPD
Un refus automatique à un seuil de score est une décision fondée exclusivement sur un traitement automatisé produisant un effet significatif, ce qui la fait relever de l'article 22 du RGPD. La CJUE a fixé ce seuil plus bas que ne le supposaient bien des prêteurs. Dans l'affaire SCHUFA Holding (Scoring), C-634/21 (arrêt du 7 décembre 2023), la Cour a jugé qu'une société de renseignement de crédit produisant une valeur de probabilité de score de crédit automatisée effectue elle-même une décision individuelle automatisée au sens de l'article 22, paragraphe 1, lorsqu'un tiers tel qu'un prêteur se fonde de manière déterminante sur cette valeur pour accorder ou refuser le crédit ; la Cour a relevé qu'une valeur de probabilité insuffisante conduit, dans la quasi-totalité des cas, à un refus. Un score peut lui-même relever de l'article 22 lorsqu'un tiers s'en sert de manière déterminante pour accorder ou refuser le crédit ; aussi une banque qui refuse automatiquement à son propre seuil prend-elle, plus directement encore, une telle décision.
Cela signifie que la banque a besoin à la fois d'une base légale distincte au titre de l'article 6 pour le traitement et d'une exception de l'article 22, paragraphe 2 à l'interdiction des décisions exclusivement automatisées. L'exception habituelle est la nécessité contractuelle de l'article 22, paragraphe 2, point a) — la décision est nécessaire à la conclusion d'un contrat de crédit — qui, à l'instar de la voie du consentement explicite de l'article 22, paragraphe 2, point c), emporte les garanties de l'article 22, paragraphe 3 : le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision. La voie de l'article 22, paragraphe 2, point b), une décision autorisée par le droit de l'Union ou d'un État membre, exige en revanche que ces garanties soient prévues par la disposition légale qui l'autorise. L'article 22, paragraphe 4, restreint par ailleurs l'utilisation des catégories particulières de données, ce qui explique pourquoi le registre des risques interdit ces données en entrée et surveille leurs variables indirectes. L'option restante consiste à maintenir un humain dans la boucle pour chaque refus, de sorte que la décision ne soit pas exclusivement automatisée.
L'analyse relative à la protection des données recoupe largement une AIPD au titre du RGPD. L'article 27, paragraphe 4, du règlement IA prévoit que, lorsqu'une obligation est déjà remplie au moyen d'une AIPD, l'AIDF complète cette AIPD. Réutilisez en entrée le travail de l'AIPD sur les flux de données, la base légale et la qualité des données, et étendez-le aux droits de la Charte qu'une AIPD ne couvre pas. Pour le volet AIPD, voir l'AIPD pour les systèmes d'IA, et pour rédiger les deux ensemble, utilisez le générateur d'AIPD et d'AIDF.
Après l'AIDF : notification et suivi continu
L'article 27 impose aussi une notification et des mises à jour après l'analyse. En vertu de l'article 27, paragraphe 3, une fois l'AIDF réalisée, le déployeur en notifie les résultats à l'autorité de surveillance du marché compétente, au moyen du modèle prévu à l'article 27, paragraphe 5. Le Bureau de l'IA n'a pas encore publié ce modèle en juin 2026 : documentez donc au regard des critères de l'article 27, paragraphe 1, en attendant ; l'absence de modèle n'exonère pas de l'obligation. La seule dispense de notification est le cas restreint de l'article 46, paragraphe 1.
L'AIDF est par ailleurs un document vivant. L'article 27, paragraphe 2, impose une mise à jour dès lors que ses éléments changent ou ne sont plus à jour. Pour un modèle de notation de crédit, les déclencheurs concrets de mise à jour sont un réentraînement ou un changement de version du modèle, un ajustement de seuil ou de coupure, une dérive de performance ou de distribution, une nouvelle cohorte de demandeurs ou un nouveau marché, ainsi que toute modification des sources de données alimentant le score. Un déployeur peut s'appuyer sur une AIDF déjà réalisée pour un système suffisamment similaire, et il doit maintenir l'analyse à jour. Le volet de la supervision française pour les banques déployant ce type de modèle est traité dans la gouvernance de l'IA par l'ACPR pour les banques françaises.
Foire aux questions
Une banque privée doit-elle réaliser une AIDF pour la notation de crédit par IA ?
Oui. L'article 27, paragraphe 1, impose une AIDF aux « déployeurs de systèmes d'IA à haut risque visés à l'annexe III, points 5 b) et c) », et cette disposition ne comporte aucune restriction tenant au caractère public ou privé. Un système d'évaluation de la solvabilité ou de notation de crédit relève de l'annexe III, point 5 b), et parce qu'il effectue un profilage de personnes physiques, la dérogation de l'article 6, paragraphe 3, ne le retire pas de la catégorie du haut risque : tout déployeur, public ou privé, doit donc réaliser l'AIDF. La seule chose qu'exclut le point 5 b) est l'IA utilisée pour détecter la fraude financière.
La détection de la fraude par IA est-elle couverte par l'AIDF « notation de crédit » ?
Non. L'annexe III, point 5 b), excepte expressément les « systèmes d'IA utilisés afin de détecter des fraudes financières ». Un modèle de détection de la fraude pur ne fait donc pas partie de la catégorie « évaluation de la solvabilité » du point 5 b) et n'entre pas dans le champ de l'AIDF par le jeu du point 5 b). Il peut tout de même être à haut risque pour d'autres motifs, et il n'hérite pas du critère de déclenchement propre à la notation de crédit.
Une note de crédit automatisée constitue-t-elle une décision au sens de l'article 22 du RGPD ?
Elle le peut. Dans l'affaire SCHUFA Holding (Scoring), C-634/21 (arrêt du 7 décembre 2023), la CJUE a jugé que produire une valeur de probabilité de score de crédit automatisée constitue une décision individuelle automatisée au sens de l'article 22, paragraphe 1, lorsqu'un prêteur se fonde de manière déterminante sur cette valeur pour accorder ou refuser le crédit. Une banque qui refuse automatiquement à un seuil de score prend donc une décision exclusivement automatisée, et elle a besoin d'une base légale distincte au titre de l'article 6 et d'une exception de l'article 22, paragraphe 2, ainsi que — pour les voies du contrat et du consentement explicite — des garanties de l'article 22, paragraphe 3 : intervention humaine, droit d'exprimer son point de vue et de contester.
Quelle explication un demandeur refusé doit-il recevoir ?
Au titre de l'article 86 du règlement IA, le demandeur peut obtenir une explication claire et pertinente du rôle du système d'IA dans la décision et des principaux éléments de la décision prise ; l'article 86, paragraphe 3, en fait un droit subsidiaire qui ne s'applique que lorsqu'un droit équivalent n'est pas déjà prévu par le droit de l'Union. Au titre des articles 13 à 15 du RGPD, la banque doit fournir des informations utiles concernant la logique sous-jacente ainsi que l'importance et les conséquences prévues, et au titre de l'article 22, paragraphe 3, le demandeur peut obtenir une intervention humaine et contester la décision. Le terme « adverse-action notice » relève de la terminologie américaine ; dans l'UE, ces obligations contraignantes en sont l'équivalent fonctionnel.
Notre AIPD existante peut-elle couvrir l'AIDF pour la notation de crédit ?
En partie seulement. L'article 27, paragraphe 4, indique que, lorsqu'une obligation est déjà remplie au moyen d'une AIPD au titre du RGPD, l'AIDF complète cette AIPD. Réutilisez l'analyse de protection des données qui se recoupe, et considérez l'AIDF comme plus large : elle couvre l'ensemble des droits de la Charte, y compris la non-discrimination, l'accès aux services essentiels et le droit à un recours effectif, au-delà de la seule protection des données.
Quand l'AIDF pour la notation de crédit est-elle légalement requise ?
La date d'application contraignante est le 2 août 2026. Le Digital Omnibus (accord provisoire conclu vers le 7 mai 2026) reporterait les obligations autonomes applicables aux systèmes à haut risque de l'annexe III, y compris l'AIDF de l'article 27, au 2 décembre 2027, mais il n'a pas encore force de loi en juin 2026. Tant qu'il n'est pas publié au Journal officiel, le 2 août 2026 demeure : les déployeurs devraient donc continuer à se préparer sur cette base.
Devons-nous informer une autorité de régulation après avoir réalisé l'AIDF ?
Oui. En vertu de l'article 27, paragraphe 3, le déployeur notifie les résultats de l'AIDF à l'autorité de surveillance du marché compétente, en soumettant le modèle prévu à l'article 27, paragraphe 5. Le Bureau de l'IA n'a pas encore publié ce modèle en juin 2026 : utilisez donc votre propre documentation au regard des critères de l'article 27, paragraphe 1, jusqu'à sa parution. La seule dispense est le cas restreint de l'article 46, paragraphe 1.
Points clés à retenir
Un système d'IA d'évaluation de la solvabilité ou de notation de crédit est à haut risque au titre de l'annexe III, point 5 b), et son déployeur doit réaliser une AIDF complète au titre de l'article 27, quel que soit son caractère public ou privé. L'analyse détaillée ci-dessus illustre un niveau de précision défendable au titre de l'article 27, paragraphe 1 : les six sections complétées, un registre des risques droit par droit, l'analyse de l'exception et des garanties de l'article 22 du RGPD, l'obligation d'explication de l'article 86 et la mécanique de réutilisation de l'AIPD. La date d'application contraignante est le 2 août 2026 ; le Digital Omnibus déplacerait les obligations autonomes applicables aux systèmes à haut risque de l'annexe III au 2 décembre 2027, mais il n'a pas encore force de loi en juin 2026 : préparez-vous donc sur la base du 2 août 2026. Lancez un projet d'analyse de notation de crédit avec le générateur d'AIDF gratuit. Cet article est fourni à titre d'information générale uniquement et ne constitue pas un conseil juridique ; confirmez vos obligations au titre de l'article 27 auprès d'un conseil qualifié, et revérifiez le statut réglementaire avant de vous fier à une échéance.