La gouvernance bancaire ignore encore la mutation systémique de l’IA

Dans les banques aujourd’hui, une part grandissante de décisions opérationnelles est prise sans intervention humaine directe. Qu’il s’agisse d’autorisation ou rejet de paiements, de priorisation des alertes en matière de fraude, de scoring de contreparties, d’arbitrages d’allocation du capital. Ces décisions sont de plus en plus le produit de systèmes automatisés, voire autonomes capables d’arbitrer et d’apprendre en continu.

Pourtant, et pour des raisons avant tout historiques et par usage, la gouvernance demeure majoritairement structurée autour d’une logique de responsabilité conçue pour un monde où un décideur identifié engage sa responsabilité à chaque étape.

Les conseils d’administration des banques continuent ainsi d’assumer des responsabilités envisagées pour un contexte décisionnel humain, alors que la finance entre dans une ère de décisions agentiques, distribuées et partiellement autonomes.

Ce que les conseils ne regardent pas encore

Les conseils d’administration et leurs comités spécialisés regardent aujourd’hui ce qu’ils ont toujours su regarder : les ratios, les expositions, la conformité réglementaire, la solidité des dispositifs de contrôle interne. Ils interrogent les incidents passés, les «stress-tests», les failles déjà identifiées. Ils gouvernent par habitude, avec sérieux et rigueur, un système dont les risques sont connus, cartographiés et, en principe, corrigeables.

Cette supervision s’appuie historiquement sur le «Model Risk Management» (MRM), ce cadre qui définit les cycles de vie des modèles et les responsabilités associées. Mais alors que l’IA s’invite dans ce dispositif, la frontière s’estompe : au niveau du «Board», il n’existe finalement aucune différence de responsabilité entre un modèle IA et un modèle non-IA. L’enjeu de gouvernance reste identique : la maîtrise de l’output.

Cette gouvernance est légitime, elle est cependant incomplète. Pendant que les conseils affinent leur lecture des risques historiques, une transformation silencieuse, elle, progresse rapidement : celle de la chaîne de responsabilité. En effet, ce qui passe encore sous le radar des conseils est infiniment plus stratégique : la performance des outils, la dilution progressive de l’imputabilité ou encore la capacité ex-ante à assumer des décisions prises par des systèmes partiellement autonomes.

Dans un environnement agentique, la question clé n’est donc plus seulement : le système fonctionne-t-il correctement ? Elle devient : qui porte effectivement la responsabilité d’une décision que personne n’a formellement prise ?

A lire aussi: Le régulateur bancaire dévoile sa feuille de route pour 2026

De la délégation technique à la responsabilité distribuée

La délégation de décisions n’est pas nouvelle dans la banque. Au fil des années, modèles, règles automatiques, seuils et systèmes experts ont fait de plus en plus partie de l’outillage interne. Un exemple récent : HSBC a lancé un pilote avec Harvey (IA juridique) pour accélérer les tâches légales, combinant IA et jugement humain, libérant ainsi les juristes pour des tâches stratégiques. Ce qui change à présent, est leur capacité à agir de manière continue, interconnectée et adaptative, sans validation humaine systématique.

Cette mutation technique s’inscrit désormais dans un calendrier réglementaire précis. La mise en conformité de l’IA Act - qui sera supervisée pour les institutions financières en France par l’ACPR - impose de réintégrer ces systèmes dans une chaîne de responsabilité sans zone grise. L’ACPR attend des banques qu’elles traitent le risque algorithmique avec la même rigueur que le risque de crédit ou de liquidité. Cette évolution transforme moins les outils que la structure même des décisions.

Dans un système agentique, la décision n’est plus localisable dans un comité ou au travers d’une signature. Elle résulte d’interactions entre données, règles, priorités opérationnelles et mécanismes d’apprentissage, dont les effets se matérialisent en temps réel, parfois à grande échelle.

Or la gouvernance bancaire reste fondée sur un principe implicite : celui selon lequel il existe toujours un décideur humain clairement identifiable, capable d’expliquer, de corriger et d’assumer. Ce principe devient de plus en plus difficile à tenir.

Le décalage entre pouvoir de décision et responsabilité formelle

Les conseils d’administration exercent leur mandat dans un cadre juridique et conceptuel stable : ils sont responsables de la stratégie, du contrôle des risques, de la solidité des dispositifs et de la conformité. Cette responsabilité est pleine, entière et non délégable.

Dans les faits, pourtant, une partie du pouvoir décisionnel s’est déplacée vers des systèmes qui ne relèvent ni du comité exécutif au sens classique, ni du contrôle ex post tel qu’il est aujourd’hui organisé. Ainsi, Goldman Sachs teste avec Anthropic un modèle IA pour la comptabilité, migrant des décisions comptables vers l’opacité automatisée.

Il en résulte un décalage croissant : la responsabilité demeure centralisée au niveau des instances de gouvernance, tandis que la décision devient distribuée, parfois opaque et difficilement explicable a posteriori. Ce décalage ne constitue pas encore un incident, il constitue un risque structurel.

A lire aussi: Le régulateur américain des produits dérivés veut reprendre la main sur les marchés de prédiction

Une question de gouvernance, pas de technologie

L’enjeu n’est donc pas de savoir si ces systèmes sont performants ou fiables. L’enjeu est plutôt de déterminer comment un conseil peut exercer une responsabilité effective sur des décisions qu’il ne prend plus directement, mais dont il demeure comptable, de manière fiduciaire.

Le déploiement du MRM pour l’IA n’est donc pas une simple mise à jour technique, mais le pivot de cette redevabilité. Si le board traite l’IA comme un sujet à part, il crée une faille dans sa propre gouvernance. Pour l’administrateur, l’IA doit être «normalisée» : elle est un modèle parmi d’autres, soumis aux mêmes impératifs de contrôle, d’explicabilité et de responsabilité finale.

Il ne s’agit pas de transformation digitale, un terme à présent galvaudé. Il s’agit d’une mutation plus profonde : celle de la responsabilité dans un système où la décision n’est plus exclusivement humaine.

La responsabilité des «boards» face à la mutation agentique

A mesure que la finance devient plus agentique, la question centrale pour les conseils et autres comités spécialisés n’est plus uniquement celle du contrôle, mais celle de la redevabilité réelle. Etre administrateur responsable ne consiste plus seulement à superviser des décisions humaines assistées par des outils. Cela implique désormais d’assumer les effets de décisions produites par des systèmes que l’on ne maîtrise pas entièrement, mais que l’on a autorisés à agir.

C’est à cette condition - accepter de reconfigurer leur lecture de la responsabilité - que les directions pourront continuer à jouer leur rôle : non pas gérer l’innovation, mais garantir la survie stratégique des institutions qu’ils gouvernent. Les «boards» qui anticipent cette mutation préserveront leur légitimité fiduciaire.