Réglementation

IA Act & scoring crédit : ce que vous devez faire avant août 2026

Countdown : 4 mois avant l'échéance IA Act. Le scoring crédit est classé haut risque. 5 obligations concrètes et une checklist pour être prêt.

Kévin BuissonKévin Buisson
8 min de lecture
IA Act & scoring crédit : ce que vous devez faire avant août 2026

Le compte à rebours a commencé

Le 2 août 2026 — c'est dans 4 mois. Ce jour-là, le scoring crédit devient officiellement un système IA à haut risque sous le Règlement UE 2024/1689. Les amendes ? Jusqu'à 15 millions EUR ou 3% du chiffre d'affaires mondial. Sans oublier l'interdiction temporaire de déploiement.

:::alert **Le scoring crédit est listé explicitement à l'Annexe III du Règlement UE 2024/1689 comme système IA à haut risque.** Amendes jusqu'à 15 M€ ou 3% du CA mondial. Pas de zone grise — c'est binaire : conforme ou non conforme. :::

Ce que dit exactement l'IA Act sur le scoring

Deux rôles différents, deux responsabilités différentes :

**Fournisseur** = vous créez ou vendez le moteur de scoring (ex : RocketFin, Coface, Creditsafe) **Déployeur** = vous l'utilisez dans votre processus décisionnel (ex : fintech, courtier, assureur)

Les deux doivent être conformes. Et c'est crucial : **si vous utilisez un outil de scoring tiers, vous êtes le déployeur. Vous êtes responsable de sa conformité dans votre contexte d'usage.**

:::takeaway **À retenir** — Si vous utilisez un outil de scoring tiers, vous êtes le déployeur. Vous êtes responsable de sa conformité dans votre contexte d'usage. Exigez la documentation IA Act de votre fournisseur. :::

Les 5 obligations concrètes pour votre moteur de scoring

① Traçabilité — chaque décision archivée et auditable

Chaque score généré doit être enregistré avec : - L'horodatage exact (secondes) - Les données d'entrée utilisées - L'output du modèle - La décision humaine qui en découle

**Ce qui manque dans 80% des moteurs actuels** : un audit trail structuré et conservé 5 ans minimum. Beaucoup de fournisseurs génèrent des scores mais ne tracent rien du processus.

② Explicabilité XAI — le modèle justifie chaque score variable par variable

Pour chaque score, vous devez pouvoir répondre : "Pourquoi ce score ?" Pas de boîte noire. Les 5 variables contributives, les poids du modèle, les seuils appliqués — tout doit être explicité.

**Ce qui manque dans 80% des cas** : les fournisseurs donnent un score (0-100) sans expliquer pourquoi. En août 2026, c'est non conforme.

③ Supervision humaine — process de revue humaine sur les cas borderline

Un score, c'est une recommandation. Une décision, c'est un acte humain. L'IA Act exige un processus de revue humaine, particulièrement sur les cas à la limite (ex : score 55-65/100).

**Ce qui manque dans 90% des processus** : la supervision humaine est documentée mais pas systématisée. Pas de process défini pour les cas borderline.

④ Documentation technique — dossier complet maintenu à jour

Vous devez maintenir un dossier technique incluant : - Architecture du modèle (données, variables, pondérations) - Tests de robustesse (adversarial testing, bias analysis) - Documentation de conformité RGPD - Logs de toutes les mises à jour du modèle

**Ce qui manque** : très peu de fournisseurs maintiennent cette documentation de façon dynamique. Elle est statique — ou inexistante.

⑤ Enregistrement — base de données européenne des IA haut risque (NFRA)

À partir d'août 2026, les systèmes IA haut risque doivent être enregistrés dans la base de données NFRA de la Commission Européenne. C'est un registre public.

**Implication** : votre moteur de scoring crédit sera enregistré publiquement. Pas d'anonymat.

Ce que l'IA Act change pour vos 4 sources de données

① Open Banking — le consentement doit être documenté et tracé

Quand vous accédez aux flux bancaires d'un client via PSD2, chaque accès doit être enregistré avec l'horodatage et le consentement explicite.

**Obligation concrète** : audit trail de chaque appel API, avec preuve du consentement archivée.

② OCR liasses fiscales — chaque extraction doit générer un log horodaté

Quand un client upload sa liasse fiscale et que vous l'analysez par OCR, chaque extraction doit générer un log horodaté et auditable.

**Obligation concrète** : chaque document traité = un entry dans l'audit trail, avec timestamp et version de l'algorithme OCR.

③ Données légales — provenance vérifiable et archivable

Les données BODACC, INPI, registres publics : leur provenance doit être tracée et archivable. Vous devez pouvoir prouver d'où viennent les données.

**Obligation concrète** : documentation de la source, timestamp de collecte, version de l'API utilisée.

④ Score final — rapport d'explicabilité obligatoire par décision

:::insight **Insight** — Un moteur de scoring boîte noire qui donne un score sans explication sera non conforme au 2 août 2026. Pas d'exception pour les solutions tierces. Pas de "nous ne savons pas comment le modèle décide" — c'est inacceptable. :::

Checklist d'audit en 8 points

Avant août 2026, auditez votre infrastructure avec cette checklist :

- [ ] **Traçabilité** : Votre moteur trace-t-il chaque décision avec horodatage ? - [ ] **Explicabilité** : Pouvez-vous expliquer chaque score variable par variable ? - [ ] **Revue humaine** : Avez-vous un process documenté de revue humaine sur les borderline ? - [ ] **Fournisseur IA Act** : Votre fournisseur de scoring est-il IA Act compliant (documentation + attestation) ? - [ ] **Rétention** : Vos logs sont-ils conservés 5 ans minimum ? - [ ] **Documentation** : Avez-vous une documentation technique à jour (modèle, variables, tests) ? - [ ] **Consentement Open Banking** : Le consentement open banking est-il documenté et tracé ? - [ ] **OCR audit trail** : L'OCR génère-t-il un audit trail par document traité ?

Si vous cochez moins de 6 cases, vous avez du travail à faire.

Le vrai risque : ne pas agir avant août

Deux scénarios possibles :

**Scénario 1 — Vous avez un moteur IA Act compliant dès maintenant** : - Aucun effort supplémentaire en août - Avantage concurrentiel vs les gros acteurs pas prêts - Vous pouvez marketed cette conformité comme différenciateur - ROI immédiat

**Scénario 2 — Votre moteur ne l'est pas** : - Migration minimale : 3-4 mois - Vous devez commencer maintenant (mai 2026) - Risque d'interruption de service entre août 2026 et votre mise à jour - Coûts de migration + pénalités potentielles si non-conformité détectée

:::insight **Opinion Kévin Buisson** — Les acteurs qui intègrent la conformité IA Act maintenant ne la subissent pas — ils en font un argument commercial face aux gros acteurs qui ne sont pas encore prêts. En août 2026, la conformité IA Act ne sera plus un différenciateur — ce sera le minimum requis. :::

Conclusion

Août 2026 n'est pas une date lointaine. C'est dans 4 mois. Le scoring crédit conforme ne sera plus un différenciateur — ce sera le minimum requis.

Si votre fournisseur actuel ne peut pas vous montrer sa documentation IA Act et son audit trail, il est temps de poser des questions. Ou de changer de fournisseur.

À propos de l'auteur

Kévin Buisson

Kévin Buisson

Co-Founder & CEO RocketFin

RocketFin développe le moteur de scoring crédit B2B le plus précis pour les assureurs, courtiers et fintech d'Europe.

Mots-clés

#IA Act#scoring crédit#conformité#réglementation#août 2026

Partager

Articles recommandés

Open banking vs bilan comptable : quelle donnée scorer en 2026 ?
Données

Open banking vs bilan comptable : quelle donnée scorer en 2026 ?

6 minLire
Les 5 signaux faibles qui prédisent une défaillance 6 mois avant le bilan
Données

Les 5 signaux faibles qui prédisent une défaillance 6 mois avant le bilan

7 minLire