La plateforme décisionnelle Agentic
Allier la rapidité de l'IA à la supervision humaine pour des décisions plus sûres et plus judicieuses.
Solutions
Découvrez comment Taktile peut vous aider à valider vos clients en toute sécurité, à détecter davantage de cas de fraude et à rester en conformité.
Ressources
Découvrez-en davantage sur nos clients, explorez nos analyses et ne manquez pas nos derniers webinaires.
Événements
Découvrez les prochains webinaires, accédez à des analyses à la demande et venez nous rencontrer lors des prochains événements.

IA, lutte contre le blanchiment d'argent 8 min de lecture

La loi européenne sur l'IA et la lutte contre le blanchiment d'argent : comment préparer votre programme à la prochaine vague de contrôles en matière d'IA

Dustin Eaton

Par Dustin Eaton, responsable de la lutte contre la fraude et du lutte contre le blanchiment d'argent chez Taktile

Si vous travaillez dans le domaine de la lutte contre le blanchiment d’argent, vous connaissez déjà ce sentiment : l’innovation déferle par vagues, tandis que la réglementation s’installe progressivement, à l’image de la marée. Au cours des dernières années, l’intelligence artificielle est passée du statut d’« élément d’intérêt » à celui d’« outil intégré » au sein des équipes chargées de la lutte contre la criminalité financière, notamment dans des domaines tels que la surveillance des transactions, l’aide aux enquêtes et le contrôle des sanctions.

Parallèlement, l'UE a décidé qu'elle ne souhaitait plus s'en remettre à des recommandations facultatives et à des approches nationales disparates.

C’est ce qui fait de la loi européenne sur l’IA, le règlement (UE) 2024/1689, un tournant décisif. Elle est largement considérée comme le premier cadre réglementaire global et horizontal en matière d’IA au monde, et il établit une référence qui influencera la manière dont les régulateurs et les équipes chargées de la gestion des risques, partout dans le monde, abordent la question de la gouvernance de l’IA.

Le premier aspect que de nombreuses institutions négligent est le champ d’application. Dans la pratique, la loi sur l’IA ne concerne pas uniquement l’UE. À l’instar du RGPD, son impact s'étend au-delà des frontières de l'UE : si votre système d’IA est mis sur le marché de l’UE, ou si ses résultats ont des répercussions sur des personnes au sein de l’UE, ces obligations peuvent s’appliquer à vous.

Pour les banques internationales, les fintechs et les sociétés de paiement, cela revêt une importance particulière, car les opérations de lutte contre le blanchiment d'argent s'inscrivent rarement strictement dans le cadre d'une seule juridiction. La clientèle est internationale, les écosystèmes de fournisseurs sont transfrontaliers et le développement des modèles est souvent centralisé.

En résumé : si vous utilisez l'IA pour prévenir ou détecter la criminalité financière dans un contexte européen, la loi sur l'IA fait désormais partie intégrante de votre paysage de risques en matière de lutte contre le blanchiment d'argent, au même titre que les règles prudentielles, les attentes en matière de conduite, la législation sur la protection des données et les obligations de longue date liées aux programmes de lutte contre le blanchiment d'argent.

Le cadre fondé sur les risques de la loi sur l'IA et la place qu'y occupe la lutte contre le blanchiment d'argent

La loi sur l'IA repose sur une classification fondée sur les risques. Si les détails et les cas limites continueront d'évoluer au fur et à mesure de la publication de lignes directrices, le principe fondamental reste inchangé : plus un système d'IA est susceptible d'influencer les droits ou la sécurité des personnes, plus les obligations qui lui sont imposées sont strictes.

Dans la plupart des résumés, vous verrez qu'on distingue quatre niveaux :

  • Risque inacceptable: cas d'utilisation interdits.
  • Risque élevé: autorisé, mais uniquement sous réserve de mesures de gouvernance et de contrôles rigoureux.
  • Risque limité: obligations de transparence pour certaines interactions.
  • Risque minime: pratiquement non réglementé par la loi sur l'IA.

Alors, quelle est la place de la lutte contre le blanchiment d'argent dans tout cela ?

Voici la réponse concrète : de nombreux cas d’utilisation de l’AML donneront l’impression d’être « proches des activités à haut risque », même s’ils ne sont pas explicitement classés comme tels.

Dans la pratique, bien que la loi sur l’IA exclue explicitement les systèmes de détection des fraudes de la liste des utilisations à haut risque figurant à l’annexe III, la frontière devient rapidement floue. Lorsque les résultats de la surveillance des transactions dans le cadre de la lutte contre le blanchiment d’argent ou de l’évaluation du risque client conduisent à des décisions en aval telles que la fermeture de comptes, la suspension de paiements ou le refus de services, l’impact fonctionnel commence à ressembler aux cas d’utilisation à haut risque couverts par la loi.

Les établissements prudents pourraient considérer ces systèmes comme relevant d’une gouvernance à haut risque, même lorsque leur classification officielle est sujette à débat. Les systèmes de lutte contre le blanchiment d’argent influencent l’accès aux services (ouverture et clôture de comptes, blocage de paiements), entraînent des décisions défavorables (résiliations, gel de comptes, enquêtes) et peuvent avoir des répercussions significatives sur la vie des personnes. C’est ce type de répercussions en aval qui pourrait préoccuper les régulateurs.

Par ailleurs, l’annexe III mentionne explicitement les catégories à haut risque liées aux services financiers, telles que la solvabilité et la notation de crédit (ainsi que certaines évaluations des risques d’assurance). Le défi en matière de conformité auquel sont confrontées les équipes de lutte contre le blanchiment d’argent réside dans le fait que les formes modernes de criminalité financière mêlent de plus en plus ces différents domaines :

  • La « notation des risques clients » peut influencer les décisions d'adhésion de la même manière que la notation de solvabilité ou d'éligibilité.
  • Les modèles de lutte contre la fraude et de lutte contre le blanchiment d'argent partagent souvent les mêmes flux de données et les mêmes caractéristiques.
  • Les outils de gestion des dossiers peuvent influencer les décisions des enquêteurs, leur hiérarchisation des priorités et la formulation de leurs conclusions.

C'est pourquoi les recommandations en matière de services financiers ont tendance à insister sur le fait que les entreprises ne doivent pas se contenter d'examiner les étiquettes, mais doivent également analyser la manière dont les résultats de l’IA sont utilisés au sein des processus métier.

Prestataire ou déployeur : obligations de conformité pour les établissements financiers

L'une des distinctions les plus importantes sur le plan opérationnel dans la loi sur l'IA est celle qui sépare le rôle de « fournisseur » de celui de « déployeur » :

  • Un fournisseur développe un système d'IA (ou le fait développer) et le met sur le marché ou le met en service.
  • Un opérateur utilise un système d'IA dans le cadre de ses activités.

Cette distinction est importante car elle modifie ce que votre organisme doit être en mesure de démontrer : la maturité de votre système de gestion des risques, l'exhaustivité de la documentation technique, les exigences en matière d'évaluation de la conformité, ainsi que la manière dont vous assurez le suivi du système après son déploiement.

En pratique, en matière de lutte contre le blanchiment d'argent, on distingue deux schémas courants :

1. Modèles et outillage développés en interne

De nombreuses grandes institutions développent leurs propres modèles de surveillance des transactions, de résolution des entités et de hiérarchisation des alertes. Lorsque vous développez et déployez ces solutions en interne, vous vous retrouvez souvent à assumer à la fois des responsabilités propres à un « fournisseur » et à un « déployeur ». 

Cela signifie que votre programme de gouvernance de l'IA doit s'apparenter davantage à un programme de qualité des produits et de conformité, et non pas simplement à une « gestion allégée des risques liés aux modèles ».

2. Systèmes d’IA des fournisseurs

Si vous achetez des outils de lutte contre le blanchiment d’argent, vous pourriez penser que « c’est au fournisseur de veiller à la conformité ». Cependant, les responsables du déploiement ont toujours des obligations importantes : vous devez utiliser le système conformément à sa finalité, vous assurer qu’un contrôle humain est bel et bien exercé, et maintenir une gouvernance suffisamment solide pour détecter les dérives, les biais ou les défaillances dans les opérations réelles.

C'est également à ce niveau que les équipes chargées des achats et de la conformité doivent unir leurs efforts. La diligence raisonnable vis-à-vis des fournisseurs ne se limite plus aux questionnaires de sécurité et aux rapports SOC. Elle doit de plus en plus porter sur des aspects tels que : la disponibilité de la documentation, les éléments permettant d'expliquer les décisions, les pistes d'audit et la manière dont la surveillance post-commercialisation est mise en œuvre dans la pratique.

Le principal défi de la lutte contre le blanchiment d'argent (AML) basée sur l'IA sera de garantir la transparence et l'explicabilité

S'il y a bien un sujet que les responsables de la lutte contre la criminalité liée au blanchiment d'argent (AML) ont tendance à sous-estimer, c'est l'écart entre les performances des modèles et leur validité réglementaire.

En ce qui concerne les systèmes d'IA à haut risque, la transparence et les « informations destinées aux déployeurs » constituent des thèmes centraux dans l’architecture de la loi sur l’IA. Et même en dehors de la classification stricte des systèmes à haut risque, les régulateurs financiers s’attendent de plus en plus à ce que, lorsque l’IA influence des décisions critiques, l’établissement soit en mesure d’expliquer :

  • quelles données ont influencé ce résultat,
  • quelles étaient les fonctionnalités importantes,
  • quels contrôles ont permis d'éviter des résultats inappropriés, et
  • ce qu'on attendait d'un évaluateur humain.

Les équipes chargées de la lutte contre le blanchiment d’argent ressentent vivement cette tension, car certaines des méthodes de détection les plus efficaces peuvent aussi être les moins interprétables (par exemple, les architectures d’apprentissage profond). Mais la bonne question n’est pas de savoir s’il s’agit d’une « boîte noire » ou d’une « boîte blanche ». La bonne question est la suivante : quel niveau d’interprétabilité est nécessaire compte tenu du contexte décisionnel, des parties concernées et des attentes de l’autorité de régulation ?

D'après mon expérience, le principal écart n'est pas d'ordre technique : il réside dans le fait que les équipes partent du principe que l'explicabilité est une propriété du modèle, alors qu'il s'agit en réalité d'une propriété du processus. J'ai vu des équipes passer des mois à développer une couche d'explicabilité pour un modèle, pour finalement se rendre compte que les enquêteurs ne consultaient jamais les codes de justification. On peut disposer d'un modèle parfaitement interprétable et pourtant échouer à un contrôle réglementaire si l'on n'est pas en mesure de démontrer comment cette interprétabilité a effectivement été utilisée dans les décisions relatives aux dossiers.

Dans la pratique, les établissements parviennent souvent à combler ce fossé en combinant les éléments suivants :

  • Des techniques d'IA explicable qui fournissent des codes de raisonnement compréhensibles par l'homme et des analyses de sensibilité,
  • Une documentation et des tests rigoureux (notamment des tests de biais et de robustesse),
  • Des pistes d'audit au niveau des dossiers indiquant comment une alerte a été générée et comment elle a été traitée,
  • Une conception « Human-in-the-loop » authentique, et non pas purement cosmétique.

La littérature consacrée à la lutte contre le blanchiment d'argent reconnaît depuis longtemps que l'IA peut améliorer les résultats en matière de conformité, mais uniquement si les établissements mettent en place des structures de gouvernance et de responsabilité adaptées au risque.

L'interaction entre la loi sur l'IA, le RGPD et le paquet de mesures de l'UE en matière de lutte contre le blanchiment d'argent

La gouvernance de l'IA ne s'inscrit pas dans le vide. En ce qui concerne les programmes de lutte contre le blanchiment d'argent, la loi sur l'IA (AI Act) recoupe tout particulièrement :

  • Le RGPD, notamment en ce qui concerne les bases légales du traitement, la limitation des données et les mesures de protection lorsque des données à caractère personnel sont utilisées dans le cadre de la formation et du suivi.
  • L'évolution du cadre européen de lutte contre le blanchiment d'argent, notamment la convergence en matière de surveillance et les nouvelles structures institutionnelles.
  • Les attentes en matière de résilience opérationnelle, notamment une approche de type DORA concernant les risques liés aux TIC et la gestion des incidents.

Une approche utile consiste à considérer que ces régimes ne sont pas nécessairement contradictoires, mais qu’ils sont cumulatifs. Le travail réside dans l’intégration : harmoniser la gouvernance, la documentation, les contrôles et la responsabilité afin de pouvoir répondre à de multiples exigences réglementaires au moyen d’un programme cohérent unique, plutôt que par le biais de multiples « projets » de conformité qui se chevauchent. L’ABE a mis l’accent sur ce défi d’intégration pour le secteur bancaire et des paiements, et souligne également que des orientations supplémentaires sont attendues concernant la classification des risques élevés et leur application pratique.

Cas d'utilisation concrets de l'IA dans la lutte contre le blanchiment d'argent et leurs implications réglementaires

Concrètement, voici quelques cas d'utilisation courants de l'AML et ce que signifie généralement, dans la pratique, être « prêt pour la loi sur l'IA ».

1) Surveillance des transactions (réduction des faux positifs sans perte de couverture)

L'IA peut améliorer considérablement la qualité du signal en apprenant des schémas que les règles ne parviennent jamais à saisir. Mais cela nécessite :

  • des objectifs et des seuils de tolérance au risque clairement définis,
  • des tests rigoureux (y compris la surveillance de la dérive),
  • des processus d'examen par des humains bien définis, et
  • traçabilité depuis l'alerte → les fonctionnalités → le résultat.

Le GAFI a souligné que les nouvelles technologies peuvent améliorer l'efficacité, mais les institutions doivent gérer les risques liés à leur mise en œuvre et maintenir une gouvernance rigoureuse.

2) Évaluation du risque client

La notation de risque client fait souvent office de « filtre » en amont qui oriente les décisions en aval (déclencheurs de l’EDD, fréquence des contrôles, sorties). Cela signifie que le système de notation doit :

  • gouvernance des données d'entrée justifiables,
  • vérification des biais, le cas échéant,
  • une interprétabilité adaptée à la décision, et
  • une gestion rigoureuse du changement.

3) Rédaction du rapport narratif SAR (ou STR)

Les systèmes génératifs peuvent accélérer la rédaction et la normalisation, mais l'accent mis sur la gouvernance évolue :

  • éviter les délires et les affirmations sans fondement,
  • garantir la traçabilité des références aux éléments de preuve sur lesquels repose l'affaire,
  • et imposer une validation manuelle avant l'enregistrement.

4) Vérification des sanctions et identification des entités

C'est un domaine dans lequel l'IA peut réduire considérablement la charge opérationnelle. Concrètement, les responsables du déploiement devront démontrer :

  • contrôles de qualité portant sur la logique de mise en correspondance,
  • des règles d'escalade claires,
  • et la documentation permettant d'assurer la traçabilité.

Dans l'ensemble, les bonnes pratiques du secteur convergent souvent vers les mêmes principes fondamentaux: une gouvernance transversale, une diligence raisonnable vis-à-vis des fournisseurs, ainsi qu’un suivi et une documentation rigoureux.

Divergences réglementaires internationales : les approches de l'UE, des États-Unis et du GAFI

L'un des principaux défis auxquels sont confrontées les institutions multinationales réside dans le fait que la gouvernance de l'IA est fragmentée selon les juridictions, alors même que les risques liés à la criminalité financière revêtent un caractère mondial.

  • La loi européenne sur l'IA est exhaustive et normative. Elle vise à harmoniser les obligations dans tous les secteurs grâce à une taxonomie commune et à des exigences explicites.
  • L'approche américaine est davantage axée sur les secteurs et les autorités de régulation. Les attentes se dégagent souvent des orientations des autorités de surveillance, des mesures coercitives et des principes de gestion des risques liés aux modèles, plutôt que d'une loi horizontale sur l'IA.
  • Le GAFI reste neutre sur le plan technologique et s'appuie sur une approche fondée sur les risques. Il incite les institutions à gérer les risques sans leur imposer d'approches techniques spécifiques.

Pour les institutions internationales, cela représente une véritable charge opérationnelle : les politiques, la documentation et les programmes de suivi doivent répondre simultanément à plusieurs « types » de réglementation. Les entreprises qui abordent cette question comme un problème de conception de la gouvernance (plutôt que comme un ensemble de listes de contrôle de conformité distinctes) seront mieux placées.

La voie à suivre : calendrier de mise en œuvre et préparation à la mise en conformité

Le calendrier progressif de la loi sur l’IA constitue une raison supplémentaire pour laquelle les équipes chargées de la lutte contre le blanchiment d’argent devraient se mettre au travail dès maintenant. Les pratiques interdites en matière d’IA s’appliquent depuis février 2025, les obligations relatives à l’IA générale (GPAI) depuis août 2025, et la plupart des obligations à haut risque de l’annexe III sont prévues pour août 2026, bien que la proposition « Digital Omnibus » de la Commission européenne puisse repousser cette échéance jusqu’en décembre 2027 en la liant à la disponibilité de normes harmonisées et d’outils d’accompagnement. Même si certaines obligations spécifiques sont mises en place progressivement, les capacités dont vous avez besoin (par exemple, l’inventaire, la documentation, la supervision, le suivi) prennent plus de temps à mettre en place que ne le prévoient la plupart des institutions.

Un programme de préparation opérationnelle destiné aux équipes chargées de la lutte contre la blanchiment d'argent et la fraude comprend généralement :

1. Inventaire et classification des IA

Réalisez un véritable inventaire des systèmes d’IA au sein de la pile AML. Incluez les outils des fournisseurs, les modèles internes, les systèmes d’aide à la décision et les copilotes d’IA générative.

2. Gouvernance et responsabilité

Définissez les responsables (métiers, conformité, risques et technologie). Assurez-vous que les modifications apportées aux modèles et aux systèmes sont contrôlées.

3. Documentation et dossier de preuves

Constituez un dossier reproductible et « prêt pour l’audit » : objectifs, traçabilité des données, résultats des tests, plan de surveillance et procédures de contrôle humain.

4. Tests au-delà de la précision

Ajoutez des tests de biais, de robustesse et de modes de défaillance. En matière de lutte contre le blanchiment d’argent, le « coût de l’erreur » n’est pas seulement un indicateur. Il s’agit d’un risque réglementaire.

5. Renforcement de la diligence raisonnable vis-à-vis des fournisseurs

Considérez la gouvernance de l’IA comme une exigence imposée aux fournisseurs, et non comme un simple atout.

La conformité constitue désormais un avantage concurrentiel dans la lutte contre le blanchiment d'argent

Il est tentant de présenter la loi européenne sur l’IA comme un « fardeau » supplémentaire pour des équipes chargées de la conformité déjà débordées. Je m’inscris en faux contre cette vision : pour les institutions qui souhaitent véritablement recourir à l’IA dans le cadre de la lutte contre le blanchiment d’argent, cette loi constitue un catalyseur qui les oblige à accomplir le travail qui aurait de toute façon dû être fait.

Bien mise en œuvre, une IA conforme et explicable peut devenir un facteur de différenciation concurrentiel:

Les institutions qui s'imposeront ne sont pas celles qui utilisent le plus l'IA. Ce sont celles qui sont capables de le prouver.

Les institutions qui s'imposeront ne seront pas celles qui « utilisent le plus l'IA ». Ce seront celles qui seront capables de démontrer pourquoi l'IA est fiable, comment elle est contrôlée et dans quels domaines les humains restent responsables.

Prêt à renforcer vos programmes de lutte contre le blanchiment d'argent ?

Prendre rendez-vous
IA
5 min de lecture

Perfectionnement en IA : Yuliya Kazakevich explique comment exploiter les trois niveaux fondamentaux de l'IA dans les décisions en matière de risques et de conformité

Yuliya Kazakevich, figure de proue du secteur des services financiers, explique en détail comment l'IA peut aider les équipes chargées de la gestion des risques et de la conformité, et comment dynamiser la réussite de l'entreprise et la satisfaction client grâce à la formation à l'IA.

Découvrez Taktile