1/6/2026
Cet article est le troisième d'une série consacrée aux fractures que produit la collision entre intelligence artificielle et conformité dans le secteur financier.
Article 1 : IA et conformité : aux prises avec une transformation mutuelle
Article 2 : La boucle : quand l'IA et la conformité s'emballent mutuellement
La réglementation n'a pas changé. Ce qu'elle permet d'exiger, si.
Lors du séminaire AEFR du 9 avril 2026, Fabrice Attali, Directeur de la conformité de Carrefour Banque, a formulé ce qui pourrait être la devise de la profession :
« Vous ne pouvez pas contrôler le résultat, mais vous contrôlez pleinement l'effort. »
Le compliance officer qui lit cette phrase la reconnaît comme sienne. Quand il construit un plan de contrôle, quand il paramètre un outil de surveillance des transactions, quand il défend son dispositif devant l'ACPR, c'est cette logique qu'il mobilise : j'ai mis en œuvre les moyens raisonnables, proportionnés à mes risques. Si un incident survient malgré tout, ce n'est pas un manquement — c'est la limite de ce qu'on peut exiger.
Cette logique a un nom en droit : l'obligation de moyens. Et elle repose sur une prémisse que personne ne formule, parce qu'elle a toujours paru évidente : le contrôle exhaustif est techniquement impossible.
C'est cette prémisse que l'IA est en train de challenger. Car quand on peut tout contrôler, ce n'est pas la réglementation qui change — c'est ce que cette même réglementation permet d'exiger. Les termes « dispositif efficace », « moyens adéquats », « paramétrage pertinent » contenus dans les arrêtés du 3 novembre 2014 et du 6 janvier 2021 sont des standards ouverts (voir Sources 1.1 et 1.2 en bas de l’article). Ils s’interprètent par référence à l'état de l'art technologique, et l'état de l'art est en train de changer rapidement avec l’IA.
La conformité bancaire ne vit pas dans un choix binaire entre obligation de moyens et obligation de résultats. Elle vit sur un spectre entre l'une et l'autre— et les différents domaines de la conformité s'y situent à des points très différents.
À une extrémité, le gel des avoirs. Les lignes directrices conjointes ACPR-DGT (version du 16 mars 2026, voir source 2.1) sont sans ambiguïté : « les mesures de gel mettent à la charge [des organismes] une obligation de résultat. L'application des mesures de gel ne relève pas d'une approche par les risques. En cela, elle est différente de la réglementation visant à prévenir le blanchiment de capitaux et le financement du terrorisme. » La sanction La Banque Postale (50 M€, décembre 2018 — la plus lourde jamais prononcée par l'ACPR en matière bancaire, confirmée par le Conseil d'État) et la sanction Delubac (600 K€, juin 2025) ont rappelé cette exigence dans des termes identiques (voir sources 2.2 et 2.3).
À l'autre extrémité, le contrôle permanent — plans de contrôle par échantillonnage, cycles pouvant aller jusqu'à cinq ans pour couvrir l'ensemble de l'activité (article 16 de l'arrêté du 6 janvier 2021). C'est le régime des moyens dans sa forme la plus classique.
Entre les deux, la LCB-FT : formellement dans l'approche par les risques, mais dont la pratique de la Commission des sanctions de l'ACPR révèle un glissement progressif vers une logique de résultat.
La décision Delubac de 2025 illustre ce glissement de manière particulièrement éclairante — non par la sévérité de la sanction, mais par la nature de ce que la Commission des sanctions exige.
Le grief 1 sanctionne un outil de détection dont les seuils ne tenaient pas compte de la situation financière des clients, qui n'agrégeait pas les opérations par client, et qui ne détectait pas les opérations vers des pays que l'établissement avait lui-même classés comme risqués. La Commission ne reproche pas l'absence d'un outil de détection. Elle reproche un défaut de paramétrage : les données existaient, l'outil existait, mais la connexion entre les deux n'avait pas été faite.
Le grief 2 va plus loin. La banque avait adopté une méthode d'analyse « approfondie » qui consistait, quand un client déclenchait plusieurs alertes, à n'en analyser qu'un échantillon avant de statuer sur l'ensemble. La Commission tranche : « Le risque que certaines des opérations devant donner lieu à un examen renforcé ou à une déclaration de soupçon fassent l'objet d'un classement sans suite constitue en soi un manquement ».
Ce « en soi » mérite qu'on s'y arrête. La Commission ne reproche pas un résultat défaillant — elle reproche la possibilité d'un résultat insuffisant. C'est la structure logique de l'obligation de résultats, appliquée à un domaine qui relève formellement de l'approche par les risques. Ce que la jurisprudence fait ici, sans l'expliciter, c'est déplacer la LCB-FT sur le spectre.
Pourquoi certains domaines de la conformité sont-ils plus proches de l'obligation de résultat que d'autres ? La réponse ne réside pas dans un choix législatif délibéré — elle réside dans la faisabilité technique. Ce que la technique rend possible finit par définir ce que le droit peut exiger. Quand la technique rend le résultat atteignable, l'exigence réglementaire sur les « moyens adéquats » monte progressivement — jusqu'au point où elle revient, de facto, à exiger le résultat.
Le gel des avoirs en est l'illustration historique : la détection est devenue une obligation de résultat parce qu'elle est mécanisable — comparer des noms contre des listes. La LCB-FT reste formellement dans les moyens parce que la détection d'opérations suspectes exige d'interpréter des patterns, de contextualiser, d'exercer un jugement. Le contrôle permanent reste dans les moyens parce que l'exhaustivité était physiquement impossible.
L'IA déplace ce point de basculement, et elle le fait sur deux axes précis.
- La finesse : sa capacité de traitement à grande échelle rend le contrôle exhaustif là où il était par échantillonnage ;
- La vitesse : sa capacité de traitement en temps réel rend le contrôle continu là où il était périodique.
Ces deux transformations convergent vers la même conséquence : ce qui relevait d'une contrainte technique devient un choix — et un choix est contestable.
La surveillance des transactions en LCB-FT, le contrôle permanent, la protection de la clientèle sont autant de domaines où ce mécanisme opère déjà ou est en train d'opérer — à des vitesses et des degrés différents. Le schéma ci-dessous illustre ce glissement sur quatre domaines de la conformité, mais la logique s'applique potentiellement à tout domaine où l'IA rend le contrôle exhaustif ou continu techniquement accessible.
L’activité de la conformité consacre l'essentiel de ses efforts d'optimisation à un critère visible — les faux positifs, ces alertes qui s'avèrent infondées et qui mobilisent des équipes considérables — et accorde peu d'attention à un critère structurellement invisible : les faux négatifs, les opérations suspectes que le système ne détecte pas. Par définition, on ne mesure pas ce qu'on ne voit pas.
L'UNODC (United Nations Office on Drugs and Crime) estime que le blanchiment mondial se situe dans une fourchette allant de 2 à 5 % du PIB. L'UNODC et Europol estiment aussi que moins de 2 % des flux financiers illicites sont finalement saisis ou confisqués. Le taux de détection par les dispositifs bancaires eux-mêmes est, par construction, inconnu. Cette invisibilité structurelle est précisément ce qui protège le régime de moyens : sous ce régime, on ne demande pas combien de blanchiment a été raté — on demande si le dispositif était « raisonnable ».
Tout compliance officer qui a paramétré un outil de surveillance des transactions connaît ce dilemme : abaisser le seuil de déclenchement d'une alerte augmente les chances de détecter une opération suspecte, mais multiplie aussi les alertes infondées que les analystes devront traiter. Relever le seuil réduit cette charge, mais laisse passer davantage d'opérations qui auraient mérité un examen. Ce calibrage est un choix de l'établissement, pas une contrainte technique. Et c'est exactement la zone que le régime de moyens protège : on juge la raisonnabilité du choix, pas le volume de ce qui est passé à travers.
L'IA modifie cet équilibre de deux façons. D'abord, un meilleur modèle améliore le compromis lui-même — il peut réduire simultanément les faux positifs et les faux négatifs, rendant obsolètes les seuils antérieurs. Ensuite, et c'est le point le plus important, quand un nouveau modèle détecte ce que l'ancien ne détectait pas, il démontre rétrospectivement l'existence de faux négatifs. L'amélioration produit la preuve de l'insuffisance passée.
Ce mécanisme a une conséquence structurelle : chaque progrès dans la détection redéfinit rétrospectivement le standard de ce qui aurait dû être détecté. Le mouvement est irréversible — on ne peut pas ignorer ce que l'IA a rendu visible. Et le standard s'auto-renchérit :
Ce que l'IA détecte aujourd'hui devient ce qu'il est légitime d'attendre demain.
Le compliance officer se trouve dans une situation où chaque option comporte ses propres risques.
S'il ne déploie pas l'IA et qu'un incident se produit, il s'expose au reproche de ne pas avoir utilisé les moyens disponibles — d'autant plus si ses concurrents les ont adoptés. S'il la déploie et qu'elle échoue — biais algorithmique, dérive de modèle, opacité des résultats — il s'expose au reproche de ne pas l'avoir correctement paramétrée ou supervisée. Et s'il la déploie et qu'elle fonctionne, il crée la baseline de demain : chaque nouveau résultat devient le nouveau standard.
La ligne de défense « la décision finale reste humaine » mérite elle-même un examen attentif. Les études empiriques montrent que le superviseur humain corrige moins les erreurs les plus graves du modèle, et qu'il peut hériter des biais du système même après avoir cessé de l'utiliser. La supervision humaine d'un outil automatisé n'est pas aussi robuste que son principe le laisse supposer.
Par ailleurs, la fenêtre pendant laquelle le standard reste ambigu se réduit. Les établissements qui adoptent l'IA définissent progressivement un nouveau standard de marché. Le régulateur l'observe. Le choix de ne pas déployer l'IA n'est déjà plus un choix par défaut — c'est un choix actif, et un choix qui devra être justifié.
Ce glissement ne modifie pas seulement le régime de responsabilité. Il transforme la nature même du métier de compliance officer.
Sous un régime de moyens, le compliance officer est un architecte de dispositifs. Sa valeur réside dans la robustesse de l'architecture qu'il conçoit et maintient. Sous un régime de résultats, il devient un garant de résultats— et il a besoin de compétences qu'il ne possède pas nécessairement : comprendre le fonctionnement d'un modèle de machine learning, évaluer la pertinence d'un paramétrage, détecter une dérive de modèle, challenger un data scientist sur ses choix méthodologiques.
Ce glissement produit aussi un effet d'asymétrie entre établissements. Les grandes banques ont les moyens d'investir dans l'IA et de recruter les compétences nécessaires. Les établissements de taille modeste dépendent de solutions qu'ils ne maîtrisent pas — alors que l'obligation de résultat, elle, ne se module pas en fonction de la taille. La remédiation LCB-FT de Delubac a coûté 3 millions d'euros — pour un établissement de 343 salariés qui affiche une perte nette (voir source 2.3).
L'article précédent a montré que la boucle de renforcement IA-conformité n'a pas de point d'équilibre naturel. Celui-ci en montre une conséquence directe : l'accroissement des capacités de contrôle ne produit pas seulement plus de contrôle — il déplace le régime du contrôle. La boucle ne tourne pas sur place : elle fait glisser progressivement le système d'un état juridique vers un autre.
Le spectre décrit ici n'est pas uniforme d'un établissement à l'autre, ni d'un domaine à l'autre au sein du même établissement. La position de chaque domaine sur ce spectre — et la vitesse à laquelle elle se déplace — est une des questions les plus structurantes pour l'avenir de la fonction.
Et ce glissement ne se produit pas dans le vide. Il s'inscrit dans l'architecture de contrôle interne définie par l'arrêté du 3 novembre 2014 modifié (voir Source 1.1), qui distingue contrôle permanent de premier niveau, contrôle permanent de deuxième niveau et contrôle périodique. Quand l'IA permettra un contrôle en temps réel, intégré dans les flux opérationnels, comment cette architecture évoluera-t-elle ?
Ce sera l'objet du prochain article.
Note : Les articles sont la partie visible d'une étude approfondie du couplage "IA - conformité" qu'il nous semble important d'affronter collectivement.
1 - Cadre réglementaire :
- 1.1 Arrêté du 3 novembre 2014 modifié (contrôleinterne des établissements de crédit) [lien ]
- 1.2 Arrêté du 6 janvier 2021 (contrôle interneLCB-FT, trans-sectoriel) [lien]
2 - Gel des avoirs — doctrine et jurisprudence :
- 2.1 ACPR-DGT — Lignes directrices conjointes sur le gel des avoirs, version du 16 mars 2026 [lien]
- 2.2 Conseil d'État — 15 novembre 2019, n° 428292 (La Banque Postale, confirmation de la sanction de 50 M€) [lien]
- 2.3 Commission des sanctions ACPR — Décision n° 2024-02 du 19 juin 2025 (Banque Delubac, 600 K€) [lien]
- 2.4 Commission des sanctions ACPR — Décision n° 2011-03 du 27 novembre 2012 (première formulation de l'obligation de résultat sur le gel) [lien]
3 - LCB-FT — le glissement :
- 3.1 Gilles Briatta — « L'entreprise face aux défis de la conformité : l'exemple bancaire », Le Grand Continent, septembre 2020 [lien]
- 3.2 Deloitte — Bilan des sanctions ACPR 2024 [lien]
4 - Estimation des flux illicites :
- 4.1 UNODC — Estimating Illicit Financial Flows Resulting from Drug Trafficking and Other Transnational Organized Crime, octobre 2011 [lien]
- 4.2 Europol — The Other Side of the Coin: An Analysis of Financial and Economic Crime, 2023 [lien]
5- Séminaire AEFR :
- 5.1 Séminaire AEFR du 9 avril 2026, « IA et services financiers : à quoi ressemblera la fonction conformité de demain ? » ; https://www.lipton-fit.com/dossier-ia-et-conformite
Souscrivez à notre liste pour bénéficier de perspectives sur votre marché.
