Si l’IA se trompe, pourriez-vous prouver votre oversight?
En un coup d’œil
La question n’est plus seulement de savoir si l’outil a commis une erreur.
La question est de savoir si l’institution peut evidencer oversight, ownership et human review.
Board AskConfirmer si l’institution peut evidencer l’oversight pour les AI use cases matériels.
Situation
Supposons la situation suivante.
Un outil soutenu par l’IA assiste un processus réglementé. Il résume des informations clients, prépare une vue de risque, soutient une évaluation de contrôle ou rédige une justification de décision. Quelques semaines plus tard, l’output est challengé par un client, un auditeur ou un superviseur.
La question n’est plus seulement de savoir si l’outil a commis une erreur.
La question est de savoir si l’institution peut evidencer oversight, ownership et human review.
Management summary
L’utilisation de l’IA dans le banking européen n’est plus marginale: la BCE a déclaré en février 2026 que plus de 85% des grandes banques sous supervision européenne utilisent déjà l’IA sous une forme ou une autre.
Le board n’a pas besoin de connaître chaque détail de modèle, mais il a besoin d’une evidence montrant que les AI use cases matériels sont owned, reviewed et controlled.
Une réponse forte est spécifique, actuelle et evidenced; une réponse faible reste ancrée dans la policy, le project status ou la vendor responsibility.
Management report panel
Calibration de la qualité de réponse
Le RAG status calibre la qualité de la réponse. Il ne juge pas l’institution.
Qui doit répondre
Accountability note:
Technology may own the platform. The business owns the decision impact. Control functions must be able to challenge the answer. Internal Audit must be able to review the evidence.
Preuves que le conseil devrait demander
- 01AI use-case inventory
- 02Risk classification by use case
- 03Ownership map
- 04Data classification and permitted-use view
- 05Human oversight design
- 06AI literacy evidence by role
- 07Exception, override and incident log
- 08Third-party dependency map
- 09Board reporting dashboard
- 10Decision log for scale, restrict, retrain or retire
Signaux d’alerte
Les réponses suivantes peuvent sembler rassurantes, mais ne sont pas encore decision-grade:
- “We have an AI policy.”
- “This is managed by IT.”
- “The provider is responsible.”
- “The tool is only used internally.”
- “No incident has happened so far.”
- “We have no high-risk AI use cases.”
- “Training has been completed.”
- “This will be clarified during implementation.”
Aucune de ces déclarations n’est nécessairement fausse.
Elles ne constituent simplement pas une evidence suffisante pour une board-level reliance.
Chemin vers green
La réponse devient GREEN uniquement lorsque le board peut voir:
- où l’IA est utilisée et quels use cases sont matériels;
- qui owns chaque use case et chaque decision impact;
- quelle human review est requise et evidenced;
- quelles dépendances data, model et provider existent;
- quelles exceptions, overrides et incidents sont monitorés;
- qui peut décider de scale, restrict, retrain ou retire le use case.
GREEN is not a policy status.
GREEN is an evidence status.
Question suivante suggérée
Which AI use case would create the greatest accountability issue if a client, auditor or supervisor asked us to explain it tomorrow?
Base de sources sélectionnée
- ECB Banking Supervision, “Technology is neutral, governance is not: AI adoption in the banking sector”, February 2026.
- ECB Banking Supervision, Supervisory priorities 2026–28.
- ECB Banking Supervision, “ECB streamlines supervisory guidance to improve clarity and transparency”, June 2026.
- European Commission, AI Literacy Questions & Answers.
- ESMA, Public Statement on AI and investment services, May 2024.
Expert commentary — 4 min de lecture
L’AI oversight est souvent discutée comme si la question centrale était de savoir si une institution possède une AI policy, un AI committee ou un AI inventory.
Ces éléments comptent. Mais ils ne sont pas le point final.
Pour un management board, la question pertinente est de savoir si l’oversight peut être evidenced in practice. Cela correspond à la direction actuelle de la supervision de la BCE sur l’IA. Les supervisory priorities 2026–28 de la BCE indiquent que les banques utilisant de nouvelles technologies, notamment l’IA, doivent avoir des stratégies reflétant les opportunités et les risques, et mettre en place une governance et des risk controls robustes.
Le draft guide 2024 de la BCE sur governance and risk culture utilisait également une structure de good practices et red flags pour l’évaluation de la governance. En juin 2026, la BCE a annoncé que ce draft guide serait remplacé par un good-practices report prévu pour le premier trimestre 2027. Le point utile pour ce briefing n’est donc pas le statut juridique du draft guide, mais la logique de management: la governance doit être visible in practice, et pas seulement décrite dans une policy.
Cela compte parce que l’IA modifie le standard d’evidence.
Dans un processus technologique conventionnel, un board peut demander si un système est approuvé, si des controls existent et si la fonction concernée owns le processus. Dans un processus soutenu par l’IA, ces questions ne suffisent plus. Le board doit aussi comprendre ce que fait l’AI system, quelle décision ou quel workflow il soutient, où le human judgement reste requis, qui est compétent pour review l’output et si les exceptions sont visibles.
C’est pourquoi “this sits with IT” n’est pas une board-grade answer.
Technology peut gérer la plateforme. Mais le decision impact se situe là où le use case modifie le travail, le judgement, la communication, le contrôle ou l’interaction client. Si un AI tool soutient un processus de crédit, de fraude, d’investment services, de control review, d’analyse juridique ou de communication client, l’ownership ne peut pas être réduit à l’administration système.
ESMA a formulé un point similaire pour les investment services. Dans son public statement sur l’IA et les investment services, ESMA indique que les firmes utilisant l’IA dans la fourniture d’investment services doivent continuer à respecter les obligations MiFID II relatives à l’organisation, au conduct et au best interest du client.
C’est la logique pratique derrière le RAG panel.
Une réponse GREEN n’est pas forte parce qu’elle utilise un langage sophistiqué. Elle est forte parce qu’elle est concrète.
Une réponse AMBER peut être correcte dans sa direction, mais pas encore fiable pour une board reliance. L’institution peut avoir un inventory, mais sans IA embarquée dans les third-party tools. Elle peut avoir une formation, mais pas par rôle. Elle peut avoir une policy, mais pas d’exception log. Elle peut avoir une approbation de use case, mais pas de decision rule claire pour scaler ou arrêter.
Une réponse RED est différente. Elle n’est pas nécessairement fausse. Elle n’est simplement pas suffisante.
Cette distinction est particulièrement importante sous l’EU AI Act. La Commission européenne explique que l’article 4 est entré en application le 2 février 2025 et que les règles de supervision et d’enforcement s’appliquent à partir du 3 août 2026.
La conclusion de governance est simple. L’AI oversight n’est pas un document.
C’est une accountability chain.
Cette chaîne commence par inventory et classification. Elle continue avec ownership, data governance, human review, literacy, monitoring, exceptions et decision rights. Elle se termine par une board-level evidence montrant que l’institution peut expliquer comment l’IA est utilisée et comment elle reste controlled.
La bonne board question n’est donc pas de savoir si l’IA est utilisée.
Elle est de savoir si le board peut se fier à la réponse qu’il reçoit.
Et la reliance exige une evidence.