ORBii.Academy
Module Formation · Secteur Bancaire · 2026
Chapitre
Gouvernance Data
& Conformité
Gouverner la donnée comme un actif stratégique. Maîtriser le cadre réglementaire numérique. Construire une organisation data conforme, auditée et résiliente.
Gouvernance Data
DORA
EU AI Act
RGPD
NIS 2
Bâle III/IV
Sommaire
1 · La donnée comme actif stratégique
2 · Stratégie & cadre de gouvernance
3 · Rôles : Data Owner, Steward, DPO, CDO
4 · Processus de gestion de la donnée
5 · Qualité des données : critères & DQI
6 · Sécurisation & CIA
7 · Conformité réglementaire numérique
8 · DORA · EU AI Act · RGPD · NIS 2
9 · IA & gouvernance : les nouvelles obligations
10 · Plan de mise en conformité opérationnel
Formateur
Pejman Gohari · CDO · Chief AI Officer · ORBii
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202601
ORBii.Academy
Gouvernance Data & Conformité · 02
Section 1
La donnée comme actif stratégique
« Gouverner les données, c'est traiter un actif immatériel avec la même rigueur qu'un actif financier : le cartographier, le valoriser, le protéger et en rendre compte. »
— Pejman Gohari · "Data & IA : stratégie, gouvernance et mise en œuvre" · DUNOD 2020
Pourquoi la donnée est un actif
Dans un contexte bancaire, la donnée alimente chaque processus critique : scoring crédit, détection de fraude, reporting prudentiel, connaissance client (KYC), conformité RGPD. Sa mauvaise gestion entraîne des risques opérationnels, financiers et réglementaires directs.
- →Un actif qui se détériore si non entretenu (données obsolètes, doublons, erreurs)
- →Un actif qui crée de la valeur s'il est bien structuré et accessible
- →Un actif soumis à des obligations légales (RGPD, DORA, Bâle III)
- →Un actif dont la direction générale est responsable de la stratégie
- →Un actif exposé aux risques IA : hallucinations, biais, décisions induites
Les enjeux du Vecteur Données & IA
Valeur
Exploiter les données pour développer de nouveaux produits et services, renforcer la différenciation concurrentielle et permettre une prise de décision éclairée.
Confiance
Instaurer et maintenir la confiance dans l'utilisation des données internes et externes. Garantir leur intégrité vis-à-vis des clients, des régulateurs et des partenaires.
Menaces à maîtriser
Perte de compétitivité, perturbation d'activité, perte financière, divulgation non souhaitée d'informations sensibles, dévalorisation du patrimoine immatériel.
Les 5 bonnes pratiques fondamentales — Vecteur Données & IA
BP 1
Stratégie & Gouvernance
BP 2
Processus de gestion
BP 3
Valorisation des données
BP 4
Sécurisation des données
BP 5
Intelligence Artificielle
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202602
ORBii.Academy
Gouvernance Data & Conformité · 03
Section 2 · Bonne pratique n°1
Stratégie & Cadre de Gouvernance des Données
Principe fondamental : L'organisation dispose d'une stratégie claire pour la gestion des données et d'un cadre de gouvernance associé visant à traiter les données comme un actif majeur. Cette stratégie intègre explicitement l'usage de l'IA.
Les 5 critères de la bonne pratique
CRITÈRE 1 · Niveau 1 — Initialisé
L'organisation cartographie les données et identifie leur contribution à sa chaîne de valeur (a minima pour les obligations légales et réglementaires).
CRITÈRE 2 · Niveau 2 — Partiellement maîtrisé
L'organisation documente une politique de gouvernance des données intégrant les exigences réglementaires et contractuelles applicables.
Contenu : rôles & responsabilités, critères, niveaux de risques acceptables.
CRITÈRES 3 & 4 · Niveau 4 — État de l'art
Stratégie cohérente pour l'utilisation et la valorisation des données. La direction générale est responsable de l'exécution de la stratégie.
S'applique à tous types de données : stratégiques, commerciales, industrielles, personnelles et critiques. L'IA est intégrée dans la stratégie.
CRITÈRE 5 · Niveau 5 — Amélioration continue
Un bilan évaluant le respect de la politique de gouvernance est présenté à la direction générale pour identifier les axes de progression.
Fréquence recommandée : annuelle.
Niveaux de maturité
Niv. 1 · Initialisé
Cartographie des données réalisée. Contribution à la chaîne de valeur identifiée.
Niv. 2 · Partiellement maîtrisé
Politique de gouvernance documentée. Exigences réglementaires intégrées.
Niv. 3 · Maîtrisé
Stratégie data cohérente. IA intégrée. Direction générale impliquée.
Niv. 4 · État de l'art
Stratégie couvrant tous types de données. Pilotage DG. Valorisation mesurée.
Niv. 5 · Optimisé
Bilan annuel présenté à la DG. Axes de progression formalisés et suivis.
Composantes d'une politique de gouvernance
| Composante | Contenu attendu |
|---|
| Périmètre | Données couvertes (stratégiques, personnelles, critiques) |
| Rôles & RACI | Data Owner, Steward, DPO, CDO, DSI, Métiers |
| Risques acceptables | Critères de classification, seuils de tolérance |
| Réglementation | RGPD, DORA, NIS 2, AI Act, Bâle III, Data Act |
| IA | Principes d'usage, éthique, conformité IA intégrée |
| Gouvernance | Comités, fréquence, reporting DG, indicateurs |
💡
Point clé bancaire : La stratégie data doit s'intégrer dans le volet numérique du plan stratégique de l'organisation. Elle ne peut pas être cantonnée à la DSI — elle engage la direction générale et l'ensemble des métiers, notamment dans un contexte de réglementation DORA et EU AI Act.
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202603
ORBii.Academy
Gouvernance Data & Conformité · 04
Section 3
Les rôles clés de la gouvernance data
La gouvernance des données repose sur des acteurs identifiés avec des responsabilités précises et non superposables. L'absence de clarté sur ces rôles est la première cause d'échec des dispositifs de gouvernance.
Chief Data Officer
CDO · Direction exécutive
- →Définit et porte la stratégie data de l'organisation
- →Rend compte à la direction générale
- →Pilote la politique de gouvernance et ses bilans
- →Arbitre les conflits entre domaines de données
Data Owner
Propriétaire de données · Côté Métier
- →Responsable d'un domaine de données métier (ex : clients, crédit)
- →Valide le dictionnaire de données de son périmètre
- →Décide des droits d'accès aux données
- →Participe aux comités de gouvernance
Data Steward
Gestionnaire de données · Opérationnel
- →Gère opérationnellement le référentiel et le dictionnaire
- →Contrôle la qualité des données dans son périmètre
- →Interface entre métiers et DSI
- →Remonte les anomalies et incidents data
Data Protection Officer
DPO · Délégué à la protection des données
- →Garantit la conformité RGPD de l'organisation
- →Interlocuteur de la CNIL
- →Supervise les analyses d'impact (AIPD)
- →Gère les violations de données et notifications
RACI simplifié — Gouvernance des données
| Activité | CDO | Data Owner | Data Steward | DPO | DSI |
|---|
| Politique de gouvernance data | R | C | I | C | I |
| Dictionnaire des données | A | R | R | I | C |
| Droits d'accès aux données | A | R | C | C | R |
| Qualité des données (DQI) | A | C | R | I | C |
| Conformité RGPD & data protection | C | C | I | R | C |
| Reporting DG sur la gouvernance data | R | C | I | C | I |
R = Responsable · A = Approbateur · C = Consulté · I = Informé
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202604
ORBii.Academy
Gouvernance Data & Conformité · 05
Section 4 · Bonne pratique n°2
Processus de gestion de la donnée
Principe : L'organisation dispose d'un processus de gestion de la donnée couvrant l'ensemble du cycle de vie — de la collecte à la destruction — animé par une instance désignée rendant compte à la direction générale.
Cycle de vie de la donnée
1
Collecte
Identification, sourcing, ingestion
2
Stockage
Classification, droits d'accès, durée de conservation
3
Utilisation
Exploitation métier, IA, reporting réglementaire
4
Partage
Transferts, tiers, cloud, API
5
Archivage
Conservation légale, audit, lignage
6
Destruction
Purge conforme, traçabilité
Composantes du dispositif (7 critères)
C1 — Référentiel des données
Maintenir un référentiel cartographié incluant : applications associées, droits d'accès, durée de conservation, niveau de sécurité.
Référentiels : clients, organisation, produits, entités. Données structurées et non structurées. Classification selon sécurité et conformité réglementaire.
C2 — Dictionnaire & Politique
Dispositif conforme à la politique : référentiel documentaire, cartographie, liste des contrôles, dictionnaire des données, dictionnaire des flux, data lignage.
C3 — Instance désignée
Le processus est animé par une personne ou une instance désignée qui rend compte à la direction générale.
C4 — Plan de sensibilisation
Déploiement d'un plan de sensibilisation et de communication au sein de l'organisation. Charte d'utilisation des données incluse.
C5 — Intégration dans les projets
Point de contrôle vérifiant que les référentiels et dictionnaires sont utilisés dans les nouveaux projets et tout au long du cycle de vie des applications.
C6 — Indicateurs de qualité (DQI)
Processus de vérification soutenus par des indicateurs de qualité. Comitologie régulière incluant toutes les parties prenantes. Comptes-rendus systématiques.
C7 — Audit du dispositif
Le dispositif est audité régulièrement et évolue en intégrant les préconisations issues des audits.
Le dictionnaire des données
Le dictionnaire des données est l'outil central de la gouvernance. Il doit être partagé et compris par les métiers et la DSI, avec une identification claire des propriétaires.
| Attribut | Description | Exemple bancaire |
|---|
| Nom | Libellé officiel de la donnée | Taux_Endettement_Client |
| Définition | Description métier précise | Ratio mensualités/revenus nets |
| Data Owner | Responsable métier | Direction Retail Banking |
| Classification | Niveau de sensibilité | Confidentiel Copyright @ORBii SAS. Contact info@orbii.tech · Données financières |
| Source | Application/système source | Système de scoring crédit |
| Réglementation | Texte applicable | RGPD Art.22 · Bâle III BCBS 239 |
| Rétention | Durée de conservation légale | 10 ans (obligations bancaires) |
⚠️
Erreur fréquente : Le dictionnaire est souvent un document statique non maintenu. Sa valeur dépend de sa mise à jour continue, de son intégration dans les projets et de l'appropriation par les métiers — pas seulement par la DSI.
Critères de qualité des données
Traçabilité
Origine et transformations connues
Intégrité
Non altération, cohérence
Fraîcheur
Mise à jour régulière
Exactitude
Conformité à la réalité
Exhaustivité
Absence de lacunes
Disponibilité
Accessibilité au bon moment
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202605
ORBii.Academy
Gouvernance Data & Conformité · 06
Section 6 · Bonne pratique n°4
Sécurisation des données — Le modèle CIA
C — Confidentialité
Confidentiality
Garantir que les données ne sont accessibles qu'aux personnes autorisées. Gestion des habilitations, chiffrement, contrôle d'accès.
I — Intégrité
Integrity
Garantir que les données ne sont pas altérées de manière non autorisée. Contrôles embarqués dans les applications, checksums, audit logs.
A — Authenticité
Authenticity
Garantir la traçabilité et l'origine des données. Qui a créé, modifié, supprimé quoi et quand. Fondamental pour l'audit DORA et Bâle III.
Les 5 critères de sécurisation (BP n°4)
C1 — Cartographie des risques data
Élaborer une cartographie des risques en fonction de la criticité des données. Méthodologie de gestion des risques connue et partagée au sein de l'organisation.
C2 — Conformité réglementaire globale
Assurer la conformité avec l'ensemble des réglementations relatives aux données : Data Act, RGPD, DORA, NIS 2, AI Act et toutes réglementations sectorielles spécifiques.
C3 — Dispositifs de couverture des risques
Dispositifs mis en place en fonction de la criticité et de l'évaluation des menaces. Plan d'action ou de remédiation disponible et maintenu.
C4 — Sensibilisation des collaborateurs
L'organisation sensibilise ses collaborateurs, y compris la direction générale, à la protection des données et aux dispositifs de couverture de risques.
C5 — Sécurité dans le cloud
Prise en compte des aspects de sécurité et conformité des données quelle que soit leur localisation : sauvegarde, propriété, contractualisation, type de cloud, réversibilité, localisation.
C BONUS — Risques IA sur la donnée
Un dispositif de gouvernance supervise les risques liés aux usages IA : hallucinations, biais, décisions induites. Des dispositifs de suivi de la qualité des données sont utilisés.
Données clés & données sensibles
La définition des « données clés » est réalisée conjointement par la DSI et les métiers. Cette liste permet d'adapter au mieux les dispositifs de maîtrise des risques.
| Catégorie | Exemples bancaires | Niveau CIA |
|---|
| Données personnelles clients | IBAN, revenus, scoring crédit | Critique |
| Données financières | Positions, expositions, réserves | Critique |
| Données opérationnelles | Transactions, flux, historiques | Élevé |
| Données RH | Contrats, salaires, habilitations | Élevé |
| Données de marché | Cotations, indices, benchmarks | Modéré |
🔴
Responsabilité partagée : En tant que propriétaire des données, le métier reste responsable des informations qu'il traite et partage avec la DSI la responsabilité des contrôles — qu'ils soient manuels ou automatisés. La sécurité des données n'est pas uniquement une affaire de la DSI.
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202606
ORBii.Academy
Gouvernance Data & Conformité · 07
Section 7 — Conformité réglementaire
Le cadre réglementaire numérique en 2026
Principe : La DSI assure la conformité aux réglementations numériques et apporte sa contribution aux dispositifs de gestion de la conformité réglementaire, contractuelle ou relative aux référentiels internes de l'organisation.
| Texte | Périmètre principal | Obligations clés pour la banque | Entrée en vigueur |
|---|
| DORA |
Résilience opérationnelle numérique des entités financières |
Gestion du risque ICT, tests de résilience, gestion des tiers, reporting d'incidents |
Janv. 2025 |
| EU AI Act |
Classification, obligations et interdictions des systèmes IA |
Inventaire IA, classification des risques, supervision humaine, documentation technique, droit à l'explication |
Août 2024 – 2026 |
| RGPD |
Protection des données personnelles et droits des personnes |
Licéité des traitements, minimisation, AIPD, notification violations, DPO désigné |
Mai 2018 |
| NIS 2 |
Cybersécurité des entités essentielles et importantes |
Mesures de sécurité, signalement incidents sous 24h, chaîne de sous-traitance sécurisée |
Oct. 2024 |
| Bâle III/IV |
Adéquation des fonds propres, qualité des données de risque |
BCBS 239 : agrégation des données de risque, reporting prudentiel, gouvernance des données financières |
Janv. 2025 |
| Data Act |
Accès et partage des données industrielles |
Portabilité des données, contrats de partage, accès des autorités publiques |
Sept. 2025 |
| CSRD |
Reporting de durabilité (ESG) |
Publication d'informations environnementales, sociales et de gouvernance normalisées |
2024–2026 |
Les 7 critères de la conformité (BP n°8)
C1 · Veille réglementaire structurée
La DSI assure une veille juridique et réglementaire structurée, pilotée par un responsable identifié, à travers un processus documenté et contrôlé.
C2 · Charte de conformité
Un dispositif de conformité structuré permet à la DSI de définir ses objectifs et d'évaluer les risques de non-conformité à travers une charte validée par la DG.
C3 · Plan formation & acculturation
Plan structuré de communication, formation et acculturation aligné sur les objectifs de conformité. Concerne aussi les prestataires externes.
C4 · Identification & correction des écarts
La DSI identifie les écarts de conformité, les corrige et documente ses actions. Bilan annuel ajusté aux évolutions réglementaires.
C5 · Compliance by design
Les exigences de conformité sont prises en compte dès la conception des solutions (Privacy by Design, Security by Design, AI Compliance by Design).
C6 · Plan de contrôle des tiers
Plan de contrôle de la conformité incluant la gestion des tierces parties : fournisseurs cloud, éditeurs, prestataires ICT (obligation DORA).
C7 · Communication & reporting réglementaire
Communication régulière sur les risques. Validation des reportings réglementaires avant diffusion. Processus de communication de crise (ex : fuite de données).
Focus DORA — Banques & DSI
Digital Operational Resilience Act
- →Gestion du risque ICT : cadre documenté, mis à jour annuellement
- →Gestion des incidents : classification, notification au régulateur sous 4h (critiques)
- →Tests de résilience : TLPT (Threat-Led Penetration Testing) pour entités significatives
- →Risque tiers (ICT TPP) : inventaire des fournisseurs critiques, contrats DORA-compliant
- →Partage d'information : participation aux échanges sectoriels sur les menaces cyber
Focus EU AI Act — Systèmes IA haut risque en banque
Annexe III — Systèmes IA classifiés haut risque
Les systèmes IA suivants sont explicitement classifiés haut risque selon l'EU AI Act :
- ⚠Scoring et évaluation de la solvabilité des personnes physiques
- ⚠Évaluation et classification des risques dans le cadre de l'assurance vie et santé
- ⚠Vérification de l'authenticité des documents d'identité (KYC)
- ⚠Systèmes de détection de fraude sur données comportementales
Obligations : Documentation technique · Supervision humaine · Tests de robustesse · Registre d'incidents · Droit à l'explication client · Enregistrement au registre européen.
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202607
ORBii.Academy
Gouvernance Data & Conformité · 08
Section 9 · Bonne pratique n°5
Gouvernance de l'IA — La politique IA de l'organisation
Principe : L'organisation maîtrise l'exploitation de ses données par l'IA pour atteindre ses objectifs stratégiques. Elle dispose d'une politique IA formalisée, partagée et mise à jour régulièrement.
Les 7 critères de la politique IA
C1 · Niveau 3 — Politique IA définie
L'organisation a défini une politique concernant l'utilisation de l'IA (générative et agentique). Cette politique établit les principes d'usage des outils, des données et des contextes. Elle intègre des dimensions d'éthique et de conformité.
C2 · Niveau 3 — Partage avec les métiers
La politique est partagée avec les métiers et utilisée pour la sensibilisation des utilisateurs à l'usage de l'IA.
C3 & C4 · Niveau 4 — Mise à jour & Investissement
La politique est régulièrement mise à jour sur la base de la veille réglementaire et technologique. Des critères IA spécifiques sont intégrés dans les processus de décision d'investissement.
C5 · Niveau 4 — Promotion & REX
Des actions de promotion de l'IA sont menées auprès des collaborateurs, avec des retours d'expérience (REX) et des sessions de partage pour promouvoir les bons usages.
C6 · Niveau 2 — Compétences IA
Les compétences en IA sont valorisées et gérées au sein de l'organisation à travers des plans de formation spécifiques.
C7 · Niveau 5 — Feuille de route IA à l'échelle
Une feuille de route pour le passage à l'échelle de l'IA a été élaborée et déployée. Elle couvre les dimensions organisationnelles, techniques et réglementaires.
Contenu d'une politique IA bancaire
| Volet | Ce qu'il doit couvrir |
|---|
| Périmètre | IA discriminante, générative, agentique — tous systèmes concernés |
| Usages autorisés | Cas d'usage validés par le management et la conformité |
| Usages interdits | IA émotionnelle sur clients, notation sociale, manipulation |
| Données autorisées | Données pouvant être soumises à un LLM (hors données sensibles) |
| Éthique & biais | Principes, comité éthique, revue des modèles |
| Traçabilité | Audit trail, explicabilité, supervision humaine |
| Conformité EU AI Act | Classification, enregistrement, documentation technique |
| Gouvernance | Instance de décision IA, escalade, revue périodique |
Risques IA spécifiques aux données
🤖
Hallucination : Un LLM peut générer des informations fausses présentées comme vraies. Dans un contexte bancaire (scoring, reporting), cela crée un risque de décision fautive non détectable sans supervision humaine.
⚖️
Biais algorithmique : Un modèle entraîné sur des données historiques peut reproduire et amplifier des discriminations (genre, origine, zone géographique) dans les décisions d'octroi de crédit. Obligation de test et de documentation sous EU AI Act.
🔴
Décision induite : Un système IA qui influence indirectement une décision sans que l'opérateur humain en soit conscient. Constitue une violation de l'obligation de supervision humaine (EU AI Act Art. 14).
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202608
ORBii.Academy
Gouvernance Data & Conformité · 09
Section 10
Plan de mise en conformité opérationnel
La conformité ne s'improvise pas. Elle se construit par étapes, sur la base d'un diagnostic honnête des écarts, d'un plan priorisé et d'une gouvernance continue. Voici la démarche structurée recommandée.
Les 4 phases du plan de conformité
PHASE 1
Diagnostic
Inventaire des systèmes IA. Cartographie des données. Évaluation des écarts de conformité par texte réglementaire.
Durée : 4 à 8 semaines
PHASE 2
Priorisation
Classement des écarts par risque et urgence réglementaire. Définition du plan d'action triennal. Arbitrage des ressources.
Durée : 2 à 3 semaines
PHASE 3
Mise en œuvre
Déploiement des mesures : documentation, contrôles, formation, outils. Compliance by design pour les nouveaux projets.
Durée : 6 à 18 mois
PHASE 4
Pilotage continu
Tableau de bord conformité. Audit interne annuel. Veille réglementaire continue. Reporting au COMEX/DG.
Continu
Matrice de priorisation des écarts
| Texte | Écart type | Risque | Priorité |
|---|
| DORA | Absence d'inventaire fournisseurs ICT critiques | Critique | P0 |
| EU AI Act | Systèmes IA haut risque non documentés | Critique | P0 |
| RGPD | AIPD manquantes sur traitements sensibles | Élevé | P1 |
| NIS 2 | Processus de notification incidents non défini | Élevé | P1 |
| Bâle III | Qualité des données de risque non mesurée (DQI) | Élevé | P1 |
| Gouvernance data | Dictionnaire des données inexistant ou non maintenu | Modéré | P2 |
| Politique IA | Aucune politique IA formalisée et partagée | Modéré | P2 |
Livrables clés du plan de conformité
- ✓Inventaire des systèmes IA avec classification de risque (EU AI Act)
- ✓Registre des fournisseurs ICT critiques (DORA)
- ✓Politique de gouvernance des données validée par DG
- ✓Dictionnaire des données maintenu et partagé
- ✓RACI Gouvernance Data & IA
- ✓Politique IA formalisée et diffusée
- ✓Plan de formation et sensibilisation déployé
- ✓Tableau de bord conformité avec indicateurs (KCI)
- ✓Rapport annuel conformité présenté à la DG
- ✓Procédure de gestion des incidents data & cyber
💡
Compliance by design : Le principe le plus structurant pour 2026. Toute nouvelle solution numérique doit intégrer les exigences RGPD, DORA, EU AI Act et NIS 2 dès la phase de conception — pas comme une couche de vérification finale.
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202609
ORBii.Academy
Gouvernance Data & Conformité · 10
Synthèse du chapitre
Les 10 points essentiels à retenir
01 · Actif stratégique
La donnée doit être gérée avec la même rigueur qu'un actif financier. La direction générale est responsable de la stratégie data.
02 · Politique de gouvernance
Toute organisation doit documenter une politique de gouvernance intégrant les exigences réglementaires et les rôles (Data Owner, Steward, DPO, CDO).
03 · Dictionnaire des données
Un dictionnaire maintenu, partagé et intégré dès la conception des projets est la colonne vertébrale de la gouvernance opérationnelle.
04 · Cycle de vie complet
Le dispositif de gouvernance couvre l'ensemble du cycle de vie de la donnée : de la collecte à la destruction, en passant par le partage et l'archivage.
05 · CIA — Triptyque de sécurité
Confidentialité, Intégrité, Authenticité. La responsabilité de la sécurité des données est partagée entre le métier (Data Owner) et la DSI.
06 · Convergence réglementaire 2026
DORA, EU AI Act, NIS 2, RGPD, Bâle III entrent en vigueur simultanément. Leur articulation exige une approche de conformité intégrée, pas silotée.
07 · IA haut risque en banque
Le scoring crédit, le KYC, la détection de fraude sont des systèmes IA haut risque sous EU AI Act. Ils exigent documentation, supervision humaine et droit à l'explication.
08 · Politique IA formalisée
Toute organisation déployant de l'IA doit disposer d'une politique IA formalisée, partagée avec les métiers et mise à jour sur la base de la veille réglementaire.
09 · Compliance by design
Le principe le plus structurant : les exigences réglementaires doivent être intégrées dès la conception, et non ajoutées en bout de chaîne.
10 · Amélioration continue
La conformité n'est pas un projet fini. Un bilan annuel présenté à la direction générale, des audits réguliers et une veille active sont les seuls garants de la maturité dans le temps.
ORBii.Academy
academy.orbii.tech · 229 rue Saint-Honoré, 75001 Paris
Pejman Gohari · CDO · Chief AI Officer
pejman.gohari@orbii.tech
ORBii.Academy · Gouvernance Data & ConformitéConfidentiel Copyright @ORBii SAS. Contact info@orbii.tech · 202610