Évaluation de la mise en œuvre de la loi IA de l'AFM : lacunes que les entreprises doivent combler
Le régulateur néerlandais des marchés financiers, l'Autoriteit Financiële Markten (AFM), a conclu que le projet de loi national de mise en œuvre du règlement européen sur l'IA est globalement praticable mais nécessite des ajustements ciblés avant de pouvoir soutenir une supervision efficace de l'intelligence artificielle dans les services financiers. L'évaluation, publiée le 12 juin 2026, comprend deux documents : un examen formel de faisabilité et une réponse à la consultation publique. Les deux ont des implications directes pour les entreprises financières, les auditeurs et tout opérateur utilisant des outils basés sur l'IA, y compris ceux utilisés pour les logiciels de comptabilité crypto et les flux de travail plus larges des logiciels de comptabilité des actifs numériques.
Ce que l'AFM a réellement évalué
Examen de faisabilité par rapport à la réponse à la consultation
Un examen de faisabilité (uitvoeringstoets) est une évaluation structurée par une autorité de surveillance de la possibilité d'appliquer un projet de loi dans la pratique. Il examine si les pouvoirs de surveillance sont clairs, si des ressources adéquates existent et si les flux d'informations sont praticables. Une réponse à la consultation est la position officielle du régulateur sur le même projet de loi pendant la période de commentaires publics, exprimant son soutien là où c'est justifié et identifiant les améliorations spécifiques nécessaires.
L'AFM a soumis les deux documents en relation avec le projet de Uitvoeringswet AI-verordening, la loi néerlandaise qui désignera les autorités nationales compétentes et établira les procédures d'application pour le règlement européen sur l'IA aux Pays-Bas.
La conclusion globale de l'AFM
La conclusion principale du régulateur est mesurée : le projet de loi est applicable en principe, mais plusieurs domaines nécessitent des ajustements pour que la supervision soit à la fois efficace et pérenne. La présidente de l'AFM, Laura van Geest, a déclaré que des modifications ciblées sont nécessaires concernant les capacités, les pouvoirs clairs et une répartition sans ambiguïté des responsabilités entre les superviseurs.
Principales préoccupations soulevées par l'AFM
Répartition des tâches de supervision entre l'AFM et DNB
La préoccupation la plus substantielle dans la réponse à la consultation concerne la répartition des responsabilités de supervision entre l'AFM et De Nederlandsche Bank (DNB). Le mandat de l'AFM est centré sur la surveillance de la conduite des affaires, avec l'intérêt individuel du consommateur au cœur de ses missions. Le mandat de DNB est prudentiel. L'AFM soutient que les deux autorités devraient être officiellement désignées pour superviser le respect des applications interdites du règlement sur l'IA et des normes relatives aux systèmes d'IA à haut risque, chacune opérant dans le cadre de son propre mandat existant. Le projet actuel, selon l'interprétation de l'AFM, n'atteint pas cet objectif de manière suffisamment claire.
Cela a de l'importance pour les entreprises financières car des lignes juridictionnelles floues créent une incertitude en matière de conformité. Une entreprise qui ne sait pas si l'AFM ou DNB examinera une application particulière de l'IA ne peut pas calibrer sa gouvernance interne ni ses pistes d'audit avec confiance.
Nouveau champ de supervision en vertu du règlement sur l'IA
Le règlement européen sur l'IA introduit des catégories entièrement nouvelles de surveillance que l'AFM n'a pas exercées auparavant. Celles-ci incluent :
- Supervision des applications d'IA interdites
- Obligations de transparence envers les consommateurs lors du déploiement de systèmes d'IA
- Applications d'IA à haut risque, avec la notation de crédit et la tarification d'assurance citées spécifiquement
Chacune de ces catégories nécessite une nouvelle expertise technique au sein du régulateur, des instruments de surveillance supplémentaires et une coopération opérationnelle étroite avec DNB. L'AFM identifie ouvertement cela comme un défi de ressources et de capacité, et non simplement une question de rédaction juridique.
Régime de publication et confidentialité
L'AFM recommande également que le projet de loi établisse un régime de publication clair pour les décisions de surveillance et que les dispositions relatives à la confidentialité soient alignées correctement avec le cadre de secret existant dans la Wet op het financieel toezicht (Wft). Sans cet alignement, il existe un risque que les informations recueillies lors de la supervision de l'IA soient divulguées de manière inappropriée ou, à l'inverse, cloisonnées de manière à limiter la coopération entre autorités.
Conditions de capacité et de partage de données
Un thème constant parcourt les deux documents : une supervision efficace de l'IA nécessite une capacité adéquate et une base juridique pour partager des données entre autorités. L'AFM ne traite pas ces points comme des détails administratifs mineurs. Sans eux, même une loi bien rédigée produira une supervision réactive plutôt que proactive.
Pourquoi cela a de l'importance pour les entreprises financières utilisant l'IA
L'IA dans les services financiers est déjà dans le champ d'application
Le règlement européen sur l'IA est directement applicable dans tous les États membres. La loi de mise en œuvre néerlandaise n'ajoute pas de nouvelles obligations substantielles au-delà de ce que le règlement lui-même exige, mais elle détermine qui fera respecter ces obligations, avec quels pouvoirs et selon quelles règles procédurales. Cela fait de l'évaluation de faisabilité de l'AFM un signal pratique de conformité, et non une simple formalité législative.
Pour toute entreprise utilisant l'IA dans les décisions de crédit, les communications avec les clients, la tarification, la détection de fraude ou les rapports réglementaires, les dispositions de classification à haut risque sont déjà en vigueur. La préparation de la loi de mise en œuvre néerlandaise affecte le moment et la manière dont l'application suivra.
Implications pour les logiciels de comptabilité crypto et les flux de travail d'actifs numériques
Les entreprises qui utilisent des logiciels de comptabilité crypto ou des logiciels de comptabilité d'actifs numériques intégrant des fonctionnalités d'IA pour la catégorisation, l'évaluation des risques ou le rapprochement automatisé doivent noter l'accent mis par l'AFM sur l'explicabilité et la qualité des données. Les exigences du règlement concernant les systèmes d'IA à haut risque incluent des obligations de maintenir une documentation technique, d'assurer une supervision humaine et de fournir aux utilisateurs des informations significatives sur le fonctionnement du système. Si le composant IA du fournisseur de logiciels atteint le seuil de haut risque, l'entreprise déployante partage la responsabilité de la conformité.
Cela est directement pertinent pour les flux de travail d'audit. Les cabinets comptables utilisant des outils d'IA pour traiter les données de transaction on-chain ou générer des évaluations de risques pour des clients crypto devront documenter la logique du système d'IA, vérifier la qualité de ses données d'entraînement et confirmer que des mécanismes de supervision sont en place. Un bon logiciel de comptabilité crypto ne résout pas automatiquement ces obligations ; la couche de gouvernance incombe à l'entreprise qui le déploie.
Les préoccupations de l'AFM concernant la transparence envers les consommateurs s'étendent également aux outils d'IA orientés B2B lorsque ces outils affectent en fin de compte les clients de détail en aval. Les cabinets comptables conseillant des entreprises crypto sur la gouvernance de l'IA doivent prendre en compte cette dynamique de chaîne de responsabilité.
Lien avec l'architecture réglementaire européenne plus large
L'évaluation de l'AFM s'inscrit dans un cadre réglementaire européen plus large. Le cadre MiCA, dont la période transitoire pour les prestataires de services sur crypto-actifs a expiré en juillet 2026 (voir notre couverture sur l'expiration de la période transitoire MiCA et l'autorisation obligatoire des PSAN), impose déjà des exigences de conduite aux PSAN opérant aux Pays-Bas. Le règlement sur l'IA ajoute une couche supplémentaire pour tout PSAN utilisant l'IA dans les processus orientés clients ou de gestion des risques. L'insistance de l'AFM sur une séparation nette entre son propre mandat de conduite et le rôle prudentiel de DNB reflète la même logique qui sous-tend le modèle de double supervision de MiCA.
Par ailleurs, l'AFM a été active dans la spécification des exigences pour les interfaces numériques utilisées par les prestataires de services crypto (voir les exigences antérieures de l'AFM pour les prestataires de services crypto concernant les interfaces en ligne). Le cadre de supervision de l'IA se superposera à ces obligations existantes d'interface et de divulgation, ce qui signifie que les programmes de conformité doivent être intégrés plutôt que cloisonnés.
Ce que les entreprises doivent faire maintenant
Étapes pratiques avant la finalisation de la loi de mise en œuvre
Le projet de loi est toujours en cours d'élaboration législative, et les recommandations de l'AFM peuvent ou non être adoptées intégralement. Cette incertitude est en soi une raison d'agir tôt plutôt que d'attendre un texte final. Les entreprises opérant sur le marché financier néerlandais, ou utilisant des outils d'IA dont les résultats affectent les consommateurs néerlandais, devraient prendre les mesures suivantes.
Premièrement, cartographier chaque système d'IA actuellement utilisé par rapport aux niveaux de classification de risque du règlement européen sur l'IA. Les systèmes utilisés pour la notation de crédit, la tarification d'assurance, le criblage LCB/FT ou l'analyse du comportement des clients sont les candidats les plus probables pour une classification à haut risque. Deuxièmement, examiner les contrats des fournisseurs pour confirmer que les fournisseurs d'outils d'IA peuvent fournir la documentation technique requise par le règlement, y compris des informations sur les données d'entraînement, l'objectif prévu, les mesures de précision et les mécanismes de supervision humaine. Troisièmement, documenter la gouvernance interne pour chaque système d'IA, y compris qui au sein de l'entreprise est responsable du suivi des résultats et quelles procédures d'escalade existent lorsque le système produit des résultats inattendus.
Quatrièmement, s'engager dans le processus législatif en cours. La réponse à la consultation de l'AFM est accessible au public et expose en détail les attentes du régulateur. Les équipes de conformité et leurs conseillers doivent lire les deux documents directement plutôt que de se fier à des résumés.
Foire aux questions
Qu'est-ce que la Uitvoeringswet AI-verordening ?
Il s'agit de la loi nationale néerlandaise de mise en œuvre du règlement européen sur l'IA. Le règlement lui-même est directement applicable dans toute l'UE, mais chaque État membre doit adopter une loi nationale pour désigner les autorités de surveillance compétentes et établir des règles procédurales d'application. La Uitvoeringswet fait cela pour les Pays-Bas.
Quelles applications d'IA dans les services financiers sont classées comme à haut risque en vertu du règlement européen sur l'IA ?
L'annexe III du règlement européen sur l'IA énumère les systèmes d'IA à haut risque. Dans les services financiers, cela inclut l'IA utilisée pour l'évaluation de la solvabilité et la tarification d'assurance, entre autres applications. Les systèmes utilisés dans ces contextes doivent satisfaire aux exigences de documentation, de supervision et de transparence avant leur déploiement.
L'évaluation de l'AFM change-t-elle quelque chose pour les entreprises dès maintenant ?
Pas directement. Le règlement européen sur l'IA est déjà en vigueur et ses exigences s'appliquent indépendamment de l'aboutissement de la loi de mise en œuvre néerlandaise. Ce que l'évaluation de l'AFM change, c'est le signal qu'elle envoie sur l'intention de supervision : le régulateur veut des pouvoirs clairs, des ressources adéquates et un rôle défini aux côtés de DNB. Les entreprises doivent s'attendre à une application active une fois la loi de mise en œuvre finalisée.
Comment cela affecte-t-il les entreprises utilisant l'IA dans les flux de travail de comptabilité crypto ou d'actifs numériques ?
Si un composant IA dans un flux de travail de comptabilité crypto ou d'actifs numériques atteint le seuil de haut risque, l'entreprise déployante est responsable de la conformité avec les exigences techniques et de gouvernance du règlement, même si l'IA est fournie par un fournisseur tiers. Les entreprises doivent auditer leur pile d'outils et exiger la documentation correspondante des fournisseurs.
Où les entreprises peuvent-elles trouver les documents d'évaluation complets de l'AFM ?
L'examen de faisabilité et la réponse à la consultation sont tous deux publiés sur le site officiel de l'AFM. Le lien source ci-dessous vous mène directement au communiqué de presse pertinent, qui renvoie aux deux documents complets.
Source : Autoriteit Financiële Markten (AFM)
