IA et données financières britanniques : ce que la FCA attend
La FCA n'interdit pas l'IA mais tient votre cabinet aux règles existantes. Ne collez pas de données financières clients dans une IA grand public.
Voici la réponse honnête. La FCA (Financial Conduct Authority, le régulateur financier britannique) n'interdit pas l'IA. Elle adopte une approche neutre technologiquement, centrée sur les résultats. Mais elle tient votre cabinet aux règles que vous suivez déjà. Coller le numéro de compte, le sort code ou le solde d'un client dans une IA grand public n'est donc pas illégal en soi. C'est un risque. Cela peut heurter la Consumer Duty, vos obligations SYSC (systèmes et contrôles) et le UK GDPR. La parade est simple. Anonymisez d'abord les données sensibles. Ensuite, utilisez l'IA sur la structure de la tâche, pas sur les données brutes du client.
Ce que la FCA attend vraiment
La FCA régule les entreprises financières au Royaume-Uni. Elle a dit clairement qu'elle n'écrira pas de règlement IA séparé. À la place, elle applique le cadre que vous connaissez déjà. On parle d'une approche neutre technologiquement, fondée sur des principes. En clair : l'IA est un outil, et les règles existantes s'appliquent à cet outil.
Le régulateur se dit aussi pro-innovation. Il veut que les cabinets utilisent l'IA. Il mène des initiatives comme son AI Lab et ses tests IA en conditions réelles pour apprendre des usages concrets. Mais ce soutien vient avec une condition. Votre cabinet reste responsable des résultats produits par l'IA. Vous ne pouvez pas rejeter la faute sur l'outil.
Ce qu'un dossier financier client expose
Pensez à ce qui vit dans un seul dossier client. Toutes ces informations sont des données personnelles. Et ce sont exactement les détails que cherche un fraudeur.
- Numéros de compte et sort codes.
- Soldes et historique de transactions.
- Détails de pension et d'investissement.
- National Insurance numbers (numéros d'assurance nationale).
- Noms, adresses et dates de naissance.
Collez cela dans un chatbot grand public. Ces données peuvent être retenues, relues ou réutilisées pour l'entraînement. Vous perdez la maîtrise de leur destination.
La responsabilité ne se délègue pas
C'est ici que les règles de la FCA mordent. La Consumer Duty demande aux cabinets d'agir pour offrir de bons résultats aux clients particuliers. Vous ne pouvez pas confier ce devoir à un fournisseur. Si un outil d'IA maltraite les données d'un client, la responsabilité reste la vôtre.
Les règles SYSC et de résilience opérationnelle vont dans le même sens. Elles attendent une gouvernance sérieuse sur la technologie et sur les tiers. Une IA grand public est, de fait, un service tiers. L'utiliser ne supprime pas votre devoir d'en superviser et d'en gérer le risque.
Puis vient le SM&CR (Senior Managers and Certification Regime, le régime de responsabilité des dirigeants). Il désigne un cadre dirigeant nommément responsable. Ce n'est donc pas un point de conformité abstrait. Une personne réelle répond personnellement de la façon dont les données clients sont traitées.
UK GDPR et ICO : la donnée financière est personnelle
Le droit de la protection des données dit la même chose sous un autre angle. L'ICO (Information Commissioner's Office) est le régulateur britannique des données. Il considère les données personnelles utilisées dans l'IA comme pleinement couvertes par le UK GDPR. Les détails financiers sont des données personnelles. Les coller dans une IA est donc un traitement qui doit respecter la loi.
L'ICO applique une approche par le risque. Parfois un traitement par IA est susceptible d'engendrer un risque élevé pour les personnes. Dans ce cas, le UK GDPR (article 35) peut exiger au préalable une analyse d'impact (Data Protection Impact Assessment). Cela ne vaut pas pour chaque usage de l'IA. Mais cela peut valoir pour des données financières clients sensibles. L'ICO publie même un AI and data protection risk toolkit pour vous aider à évaluer ce risque.
La FCA et l'ICO travaillent ensemble sur ce sujet. Ils traitent protection des données et protection du consommateur comme liées, pas séparées. Il n'y a donc pas d'angle mort où se cacher.
| Vous pensez | La réalité |
|---|---|
| « La FCA interdit l'IA, on ne peut pas l'utiliser » | La FCA est neutre technologiquement et soutient l'usage de l'IA |
| « Passer par un fournisseur d'IA transfère le risque » | SYSC laisse la supervision des tiers à votre cabinet |
| « Un chatbot qui voit un solde, ce n'est rien » | Les détails financiers sont des données personnelles sous UK GDPR |
| « La conformité, c'est l'affaire de tout le cabinet » | Le SM&CR désigne un dirigeant personnellement responsable |
La parade : anonymiser avant l'envoi
Bonne nouvelle : l'IA reste utile dans un cabinet régulé. Elle peut rédiger un courrier client, résumer une politique ou restructurer une note. Pour cela, elle n'a pas besoin des vrais numéros de compte. Elle a besoin de la forme de la tâche.
Quand un vrai cas doit entrer dans le prompt, anonymisez-le d'abord. Remplacez chaque identifiant sensible par un jeton. L'IA travaille sur la structure. Vous restaurez les vraies valeurs ensuite, sur votre propre machine.
- 1Repérez les identifiants sensibles : numéros de compte, sort codes, soldes, NINos, détails de pension.
- 2Remplacez-les par des jetons réversibles, côté navigateur.
- 3Envoyez seulement le texte anonymisé à l'IA.
- 4Restaurez les vraies valeurs dans la réponse, en local.
C'est le rôle d'ONYRI Sanitize. Le moteur détecte les données sensibles : numéros de compte, sort codes, soldes, détails de pension, National Insurance numbers. Il les remplace par des jetons réversibles avant l'envoi. La détection et le mapping restent dans votre navigateur. Seul un texte anonymisé atteint le modèle. L'IA n'y trouve que des jetons, jamais les données financières réelles de votre client. Vous obtenez l'aide de l'IA tout en gardant la maîtrise que la FCA et l'ICO attendent de vous.
Questions fréquentes
- Peut-on mettre des données financières britanniques dans l'IA, et qu'attend la FCA ?
- La FCA n'interdit pas l'IA : elle est neutre technologiquement et vous tient aux règles existantes. Vous restez responsable des résultats produits par l'IA. Coller des numéros de compte, sort codes, soldes ou National Insurance numbers de clients dans une IA grand public peut heurter la Consumer Duty, SYSC et le UK GDPR. La bonne pratique est d'anonymiser ces données avant le prompt, puis d'utiliser l'IA sur la structure de la tâche.
- Utiliser un fournisseur d'IA transfère-t-il le risque hors de mon cabinet ?
- Non. Sous SYSC et les règles de résilience opérationnelle, une IA grand public est un service tiers, et la supervision reste chez vous. Le SM&CR va plus loin : il désigne un dirigeant personnellement responsable. Le fournisseur ne prend pas votre responsabilité réglementaire à sa charge.
- Une analyse d'impact (DPIA) est-elle toujours obligatoire pour utiliser l'IA ?
- Pas toujours. Le UK GDPR (article 35) exige une DPIA quand le traitement est susceptible d'engendrer un risque élevé pour les personnes. Cela peut viser des données financières clients sensibles, mais pas chaque usage de l'IA. L'ICO fournit un toolkit pour évaluer et documenter ce risque.
Sources et références
- AI and the FCA: our approach (approche neutre technologiquement, centrée sur les résultats, pro-innovation, AI Lab) — Financial Conduct Authority (FCA)
- Consumer Duty (norme de bons résultats pour les clients particuliers) — Financial Conduct Authority (FCA)
- Guidance on AI and data protection (UK GDPR appliqué à l'IA, approche par le risque, DPIA, toolkit) — Information Commissioner's Office (ICO)
Gardez vos données sensibles dans votre navigateur
ONYRI Sanitize détecte et masque vos données sensibles avant l'envoi à l'IA, puis restaure la réponse — du nom à la clé API.
Anonymiser mon prompt