Décisions de crédit discriminatoires
Des modèles de scoring qui désavantagent des groupes protégés par des données biaisées ou des variables proxy — un problème de crédit équitable et d'AI Act à la fois.
ISO/IEC 42001 par secteur
Scoring de crédit, détection de fraude, tarification du risque, robo-conseil et surveillance AML reposent tous sur l'IA — et se situent sous la surveillance réglementaire la plus lourde de tous les secteurs. ISO/IEC 42001 donne aux banques, prêteurs, assureurs et fintechs un système de management de l'IA auditable qui s'articule proprement avec les obligations de risque de modèle, DORA et de crédit équitable.
Pourquoi c'est à haut risque
L'EU AI Act classe l'IA utilisée pour évaluer la solvabilité ou établir un score de crédit, et l'IA utilisée pour l'évaluation du risque et la tarification en assurance vie et santé, comme à haut risque au titre de l'Annex III (la détection de fraude est exclue). À cela s'ajoutent : les attentes de gestion du risque de modèle des superviseurs financiers, DORA pour la résilience informatique et opérationnelle (applicable depuis janvier 2025), les limites du GDPR sur le profilage et la décision automatisée, et les règles de longue date sur le crédit équitable et la non-discrimination. Peu de secteurs combinent autant de pression horizontale et sectorielle.
Les risques
Ici, les modes de défaillance se mesurent en amendes, en réparations et en atteinte à la réputation :
Des modèles de scoring qui désavantagent des groupes protégés par des données biaisées ou des variables proxy — un problème de crédit équitable et d'AI Act à la fois.
Des décisions issues de modèles que personne ne peut pleinement expliquer, sans validation documentée ni processus de contre-modèle.
Les évolutions économiques déplacent le terrain sous un modèle ; une dérive non détectée érode discrètement la qualité des décisions.
La réglementation exige de plus en plus une raison significative en cas de refus — difficile à fournir sans logique de modèle documentée.
Les modèles achetés et les API d'IA introduisent un risque que vous devez gouverner sans l'avoir construit.
Un signalement excessif nuit aux clients et crée un risque opérationnel et de conduite.
Comment ISO/IEC 42001 le couvre
Le toolkit associe chaque risque à une mesure précise de l'Annex A et à un document prêt à l'emploi :
| Annex A control | Toolkit document | Why it matters |
|---|---|---|
| A.6 — Cycle de vie et validation | V&V Plan and Report + Model Card (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05) | Documentez la validation, les critères de mise en production et la documentation du modèle — l'ossature d'une gestion défendable du risque de modèle. |
| A.7 — Gouvernance des données | Data Governance Policy + Provenance Log + Quality Assessment (DATA-POL-01 / DATA-TPL-02 / DATA-TPL-03) | Provenance, qualité et base légale des données derrière les décisions de crédit et de tarification. |
| A.5 / A.7.4 — Impact, biais et équité | AI Impact Assessment + Bias and Fairness Record (RISK-TPL-01 / DATA-TPL-05) | La preuve que le scoring et la tarification ne désavantagent pas systématiquement des groupes protégés. |
| A.9.3 — Supervision humaine | Human Oversight Plan (USE-PLN-01) | Revue humaine significative et possibilité d'annulation pour les décisions financières lourdes de conséquences. |
| A.6.2 — Surveillance et dérive | AI System Monitoring Plan & KPI Register (MON-PLN-01) | Détectez la dérive et la baisse de performance avant qu'elles n'atteignent les clients. |
| A.10 — IA tierce | Vendor Questionnaire + Third-Party Register (TPR-TPL-01 / TPR-REG-01) | Gouvernez les dépendances aux modèles de fondation et fournisseurs d'IA avec de la due diligence et une allocation claire des responsabilités. |
Comment y parvenir
Enregistrez chaque modèle et service d'IA dans le périmètre — crédit, fraude, tarification, conseil, AML — avec un propriétaire.
Validez et documentez chaque modèle (V&V, model card) et évaluez l'impact, les biais et la provenance des données.
Mettez en place la supervision humaine et l'explicabilité des décisions défavorables pour les décisions lourdes de conséquences.
Instaurez une surveillance continue de la dérive et alignez l'AIMS avec vos processus de risque de modèle et DORA.
Questions
Il les complète. ISO 42001 fournit la couche de gouvernance spécifique à l'IA — évaluation des impacts et des biais, validation du cycle de vie, surveillance — qui se greffe sur la gestion existante du risque de modèle et les processus de résilience opérationnelle DORA sans les dupliquer. La structure de système de management partagée rend l'intégration simple.
L'AI Act exclut l'IA utilisée uniquement pour détecter la fraude financière de la catégorie à haut risque du scoring de crédit — mais vous la gouvernez toujours dans votre AIMS pour les données, la surveillance et la gestion des faux positifs. Le scoring de crédit et la tarification du risque en assurance restent à haut risque.
Non. La responsabilité des résultats reste celle de l'entreprise déployeuse. Les mesures IA tierce d'ISO 42001 vous donnent les outils de due diligence, de contrat et d'allocation des responsabilités pour gérer le risque lié aux fournisseurs et aux modèles de fondation.
À lire aussi
Le calendrier complet du haut risque et la cartographie de la norme sur la loi.
Read moreRattachez la gouvernance de l'IA au système de sécurité que vous exploitez probablement déjà.
Read moreStage 1 et Stage 2 expliquées.
Read moreLe toolkit livre les mesures de validation, de gouvernance des données, de biais, de supervision et de fournisseurs dont une entreprise supervisée a besoin — prêtes à adapter à vos modèles.