AI Act · Conformité

AI Act et sociétés de gestion : guide de conformité opérationnelle 2026

Le Règlement européen sur l'intelligence artificielle (UE) 2024/1689, entré en vigueur le 1ᵉʳ août 2024 et d'application progressive, encadre les sociétés de gestion qui intègrent des modèles d'IA dans leurs chaînes opérationnelles. La majorité de leurs usages relèvent du risque limité ou minimal ; la classe « haut risque » est étroite. La vraie obligation, dès 2026, est documentaire et organisationnelle.

Publié · 02 juin 2026 Mis à jour · 02 juin 2026 Lecture · 7 min

Le Règlement européen sur l'intelligence artificielle (UE) 2024/1689 encadre les sociétés de gestion qui intègrent des modèles d'IA dans leurs chaînes opérationnelles. La majorité de leurs usages relèvent du risque limité ou minimal ; la classe « haut risque » est étroite. La vraie obligation, dès 2026, est documentaire et organisationnelle.

Le Règlement IA en 2026 : où en est le calendrier

Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024. Son application est échelonnée :

  • 2 février 2025 — interdiction des pratiques inacceptables (article 5) et obligation de littératie en IA des collaborateurs (article 4). Déjà en vigueur.
  • 2 août 2025 — obligations applicables aux modèles d'IA à usage général (GPAI) et désignation des autorités nationales compétentes. Déjà en vigueur.
  • 2 décembre 2026 — obligations de transparence (marquage des contenus générés ou manipulés par IA). Échéance ramenée par le Digital Omnibus.
  • 2 décembre 2027 — entrée en application des obligations relatives aux systèmes d'IA à haut risque listés à l'annexe III (systèmes autonomes), reportée de seize mois.
  • 2 août 2028 — systèmes à haut risque de l'annexe I (IA embarquée dans des produits déjà réglementés).

En mai 2026, le compromis dit Digital Omnibus — accord politique du 6 mai, confirmé par le Conseil le 13 mai — a remanié ce calendrier : l'échéance haut risque de l'annexe III, initialement fixée au 2 août 2026, est reportée au 2 décembre 2027, et la transparence est avancée au 2 décembre 2026.

Pour une société de gestion, les obligations réellement actives en 2026 ne sont donc pas le haut risque, mais la littératie IA et le régime GPAI (déjà en vigueur) puis la transparence des contenus générés au 2 décembre 2026. Le chantier haut risque, lui, est repoussé à fin 2027 — et il reste à déterminer si les usages concernés en relèvent réellement.

À qui le texte s'applique-t-il en société de gestion

Le Règlement s'applique selon le rôle joué dans la chaîne de valeur de l'IA. Une société de gestion est, dans la quasi-totalité des cas, déployeur (deployer) : elle utilise un système d'IA développé par un tiers — éditeur, fournisseur de modèle de langue, prestataire d'automatisation.

Elle ne devient fournisseur (provider) que si elle développe un système d'IA en propre, ou si elle appose son nom sur un système tiers et le met sur le marché. Cette distinction commande l'essentiel des obligations : un déployeur a un régime sensiblement plus léger qu'un fournisseur.

L'adoption est déjà massive. L'Autorité des Marchés Financiers — AMF a publié le 2 février 2026 une étude indiquant que près de 90 % des acteurs interrogés utilisent l'IA ou prévoient de l'adopter dans les douze mois. L'Autorité Européenne des Marchés Financiers — ESMA — a de son côté lancé début 2025 une enquête pan-européenne adressée notamment aux sociétés de gestion de portefeuille.

La classification des systèmes : quatre classes de risque

Le Règlement répartit les systèmes d'IA en quatre classes :

  1. Risque inacceptable — pratiques interdites depuis février 2025 (notation sociale, manipulation subliminale causant un préjudice, exploitation de vulnérabilités). Aucun usage légitime en gestion d'actifs n'entre dans cette catégorie.
  2. Haut risque — systèmes listés à l'annexe III, soumis aux obligations les plus lourdes à compter du 2 décembre 2027 (échéance reportée par le Digital Omnibus de mai 2026).
  3. Risque limité — obligations de transparence. C'est ici que se rangent la plupart des usages d'une société de gestion.
  4. Risque minimal — aucune obligation spécifique.

La nuance que beaucoup d'articles manquent : le « haut risque » est étroit en gestion

L'annexe III qualifie de haut risque, en matière financière, les systèmes d'IA destinés à évaluer la solvabilité de personnes physiques ou à établir leur score de crédit. Cet usage concerne le crédit aux particuliers — banques, fintechs, financements à la consommation. Il est marginal dans une société de gestion institutionnelle.

À l'inverse, la Commission européenne a précisé en 2025 que les systèmes d'IA dédiés à la détection de la fraude financière et aux finalités prudentielles ne sont pas classés haut risque.

Conséquence concrète : les usages typiques d'une société de gestion — génération de commentaires de gestion, structuration de reporting investisseur, screening LCB-FT, classification documentaire KYC, extraction de données — relèvent en général du risque limité, pas du haut risque. L'obligation centrale y est la transparence, non la procédure d'évaluation de conformité.

Cette lecture ne dispense pas d'un examen au cas par cas. L'article 6(3) prévoit qu'un système figurant à l'annexe III peut être déclassé s'il ne présente pas de risque significatif — mais l'inverse n'existe pas : un système hors annexe III n'a pas à être traité comme haut risque par excès de prudence.

Les obligations par classe de risque

Pour le risque limité — transparence : informer qu'un contenu a été généré ou assisté par une IA lorsque c'est pertinent, et permettre aux personnes concernées de le savoir. Pour une chaîne de commentaires de gestion, cela se traduit par une mention de méthode et une revue humaine documentée avant diffusion.

Pour le haut risque (si un usage devait en relever) — système de gestion des risques, gouvernance des données d'entraînement, documentation technique, journalisation, surveillance humaine, robustesse, et procédure d'évaluation de conformité avant mise en service.

Pour les modèles GPAI — les obligations pèsent d'abord sur le fournisseur du modèle. Le déployeur reste responsable de l'usage qu'il en fait et de l'information de ses propres parties prenantes.

Documentation et gouvernance attendues dès 2026

Quelle que soit la classe de risque, trois éléments de gouvernance sont structurants et exigibles dès maintenant :

  • Une politique IA interne : périmètre des usages autorisés, données admissibles en entrée, principe de revue humaine, traçabilité des sorties.
  • Un registre des systèmes d'IA déployés : finalité, fournisseur, classe de risque retenue et motivation de ce classement, périmètre de données.
  • La littératie IA des équipes (article 4, en vigueur depuis février 2025) : les collaborateurs qui utilisent un système d'IA doivent disposer d'un niveau de compétence suffisant pour en comprendre les limites.

Ces éléments ne sont pas un surcoût pour une société de gestion : ils recoupent largement la documentation déjà attendue au titre du dispositif de contrôle interne AIFMD / UCITS et lors d'un contrôle AMF.

L'intersection avec AIFMD, UCITS et MIF II

L'AI Act se superpose au cadre sectoriel sans le remplacer. Le principe directeur de l'AMF reste la neutralité technologique : l'usage d'un modèle d'IA ne dilue jamais la responsabilité des dirigeants ni l'obligation de contrôle interne.

Autrement dit, une décision assistée par IA reste une décision de la société de gestion. La traçabilité du processus — qui a paramétré, qui a revu, qui a validé — relève des mêmes exigences que toute autre chaîne opérationnelle. C'est précisément le point qu'un inspecteur AMF testera : non pas « utilisez-vous de l'IA », mais « pouvez-vous justifier et tracer chaque décision automatisée ».

Sanctions : un plafond supérieur au RGPD

Le Règlement prévoit (article 99) une architecture à trois niveaux :

  • jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites ;
  • jusqu'à 15 M€ ou 3 % pour le non-respect des obligations applicables aux systèmes à haut risque ;
  • jusqu'à 7,5 M€ ou 1,5 % pour la fourniture d'informations inexactes.

À titre de repère, le plafond du RGPD est de 20 M€ ou 4 %. Le plafond haut de l'AI Act est donc supérieur — mais il vise des pratiques qu'aucune société de gestion sérieuse n'envisage.

Comment intégrer l'AI Act par construction

Brakial conçoit ses chaînes d'automatisation pour acteurs régulés en intégrant ces principes dès le cadrage : classement de risque documenté, revue humaine formalisée, traçabilité des sorties, registre tenu à jour. La conformité IA n'est pas une couche ajoutée après coup, mais une contrainte de conception.

Pour l'application concrète à une chaîne éditoriale assistée par IA, voir notre service de génération de commentaires de gestion.

FAQ

L'AI Act s'applique-t-il à ma société de gestion si je n'utilise que ChatGPT ou un assistant tiers ?

Oui, en tant que déployeur. Vous restez responsable de l'usage et de l'information de vos parties prenantes, même si les obligations lourdes pèsent sur le fournisseur du modèle.

La génération de commentaires de gestion par IA est-elle un usage à « haut risque » ?

En règle générale, non. Cet usage relève du risque limité (transparence). Le haut risque vise principalement le scoring de solvabilité des personnes physiques, marginal en gestion institutionnelle.

Quelle est la première échéance qui me concerne ?

Plusieurs échéances sont déjà en vigueur : l'interdiction des pratiques inacceptables et la littératie IA des équipes (février 2025), puis le régime GPAI (août 2025). La prochaine grande échéance est la transparence des contenus générés, au 2 décembre 2026. Les obligations haut risque de l'annexe III, initialement prévues le 2 août 2026, ont été reportées au 2 décembre 2027 par le Digital Omnibus de mai 2026.

Dois-je nommer un responsable IA dédié ?

Le Règlement n'impose pas de fonction nominative équivalente au DPO. La responsabilité s'intègre au dispositif de contrôle interne existant (RCCI, direction générale).

Quelle documentation produire en priorité ?

Une politique IA interne, un registre des systèmes déployés avec leur classe de risque motivée, et la preuve de la littératie IA des utilisateurs.

L'AMF a-t-elle publié sa propre doctrine IA ?

L'AMF a publié des études et travaux sur l'IA en finance et participe aux travaux ESMA. Son principe directeur est la neutralité technologique : l'IA ne dilue pas la responsabilité ni les obligations de contrôle.

Quelles sanctions en cas de manquement ?

Jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les pratiques interdites ; 15 M€ ou 3 % pour les manquements haut risque ; 7,5 M€ ou 1,5 % pour informations inexactes.

Sources

  • Règlement (UE) 2024/1689 du 13 juin 2024 (EUR-Lex) — texte officiel
  • Digital Omnibus — accord politique du 6 mai 2026, confirmé par le Conseil le 13 mai 2026 (report de l'échéance haut risque de l'annexe III ; analyses Gibson Dunn, DLA Piper, Hogan Lovells, Covington, Travers Smith)
  • Article 99 (sanctions) et annexe III (systèmes à haut risque), AI Act — artificialintelligenceact.eu
  • Commission européenne — clarification sur l'exemption détection de fraude / finalités prudentielles (2025)
  • AMF — étude sur l'usage de l'IA par les acteurs des marchés financiers français (publiée le 2 février 2026)
  • ESMA — enquête pan-européenne sur l'usage de l'IA (questionnaires adressés aux sociétés de gestion de portefeuille, 2025)

Brakial · Cabinet d'expertise · 02 juin 2026

Évaluer ce que cet article implique pour votre cas.

Un entretien de cadrage de 30 minutes permet d'évaluer, sans engagement, la pertinence d'une mission pour votre périmètre.

Prendre rendez-vous