Mars 2026. Un comité d'audit d'une banque cantonale suisse, séance ordinaire. Le directeur des risques présente la cartographie d'usage GenAI. Trois cents collaborateurs ont accès à un assistant interne. Cinq cents autres utilisent ChatGPT depuis leur navigateur. La FINMA a annoncé l'intensification de sa supervision IA. Le président du conseil pose la question simple : « Sommes-nous capables de produire, en quinze jours, la liste exhaustive des systèmes IA utilisés, par qui, pour quoi, avec quelles données ? » Silence. La gouvernance n'avait pas anticipé que ce serait la première question posée.
Le cadre s'est densifié vite, et durablement
Janvier 2025 : DORA entre en application. Le règlement européen sur la résilience opérationnelle numérique s'impose à environ 22 000 entités financières. Il ne se contente pas d'exiger un registre des prestataires TIC. Il engage personnellement les organes de direction, exige des tests d'intrusion fondés sur la menace, et organise la supervision directe des prestataires critiques. Le 18 novembre 2025, les ESAs publient la première liste officielle des Critical Third-Party Providers - dix-neuf entreprises dont les cinq hyperscalers américains.
Décembre 2024 : la FINMA publie sa Guidance 08/2024 sur la gouvernance et la gestion des risques liés à l'utilisation de l'IA. Technologiquement neutre, fondée sur des principes, mais structurée en quatre piliers - gouvernance et responsabilités, inventaire et classification, qualité des données, tests et explicabilité avec monitoring continu. Ce n'est pas une loi. C'est le standard supervisoire de référence. L'enquête publiée en avril 2025 sur près de 400 institutions précise les attentes. 91 % des utilisateurs d'IA suisses recourent à la GenAI ; seule la moitié dispose d'une stratégie IA explicite.
Août 2024 - août 2026 : l'AI Act se déploie par paliers. Pratiques interdites depuis février 2025. Modèles GPAI depuis août 2025. Systèmes haut risque visés au 2 août 2026 - incluant explicitement le scoring crédit des personnes physiques et la tarification d'assurance vie-santé. La proposition de Digital Omnibus on AI déposée le 19 novembre 2025 par la Commission pourrait reporter ce dernier palier au 2 décembre 2027, mais à la date de cet article, la publication au JOUE n'est pas confirmée. Les obligations courent.
Ce que ça engage pour les COMEX et les conseils
Le déplacement est moins technique que juridique. DORA et la Guidance FINMA 08/2024 ne portent plus principalement sur l'outil ; elles portent sur le cadre de décision. Un conseil d'administration ne peut plus déléguer à la DSI. Il doit pouvoir produire, sur demande, le document écrit qui établit qui décide, sur quels critères, avec quelles données, et selon quelle procédure de revue. C'est ce document - la doctrine de gouvernance IA - qui devient l'instrument de protection des dirigeants.
L'exposition est sectorielle et croissante. La FINMA dans son Risk Monitor 2025 rapporte que 30 % des incidents cyber reportés en 2024 proviennent d'attaques sur des prestataires externes. Les externalisations cloud public ont bondi : 83 banques et 50 assurances suisses en 2024 contre 60 et 46 un an plus tôt. La SBA, dans ses Cloud Guidelines 3e édition de novembre 2025, reconnaît l'hébergement étranger sous conditions de TOMs et introduit un chapitre dédié au foreign lawful access - CLOUD Act, FISA 702. Le cadre suisse formalise ce que VEIA appelle la gouvernance de la dépendance.
Côté France, l'ACPR a créé en octobre 2025 la Direction de l'Innovation, des Données et des Risques Technologiques (DIDRIT), qui fusionne le suivi DORA et la supervision IA. Le signal est clair : un seul interlocuteur, une seule lecture, une responsabilité dirigeante unifiée. Les institutions binationales - groupes français présents en Suisse romande, groupes suisses avec filiales UE - sont soumises à une double conformité de facto qui se gère doctrinalement.
« La souveraineté technique couche par couche est hors d'atteinte. La souveraineté décisionnelle, elle, est à construire. C'est précisément ce que le standard supervisoire reconnaît désormais. »
L'angle family offices et gestion de patrimoine
Les Big Four occupent le terrain des banques Tier 1. Le segment qui concentre pourtant les enjeux les plus aigus - family offices romands, banques privées hors top 5, gestionnaires de fortune indépendants - reste sous-couvert. Selon la FINMA, environ 1 500 GFI sont autorisés en Suisse, avec un effectif médian de 3 à 4 ETP et un AUM médian autour de CHF 100 M. Ces structures portent des données équivalemment sensibles à celles des Tier 1, sans disposer des équipes de gouvernance correspondantes.
L'écart s'est creusé. L'UBS Global Family Office Report 2025 identifie l'IA comme premier thème d'investissement de la catégorie. BlackRock 2025 indique que seuls 33 % des family offices déploient l'IA en interne pour leurs propres processus. L'écart entre l'appétit d'investissement externe et l'adoption opérationnelle interne traduit moins une réticence qu'une absence de cadre de gouvernance acceptable. L'étude Accenture de fin 2025 le confirme : 64 % des organisations suisses prévoient d'augmenter substantiellement leurs investissements dans des technologies d'IA souveraine.
L'asymétrie côté conseil est structurelle. Pour un conseil d'administration qui engage sa responsabilité personnelle face à un régulateur, mandater un cabinet financièrement imbriqué avec les mêmes hyperscalers qu'il faudrait auditer constitue une vulnérabilité de la chaîne de diligence raisonnable. L'indépendance vérifiable devient un critère opérationnel, pas seulement déclaratif.
Ce que la gouvernance doit couvrir
Six chantiers structurent une gouvernance IA défendable dans le secteur financier. Une cartographie des usages réels, incluant le Shadow IA, sans laquelle aucune supervision n'est crédible. Une cartographie des dépendances de premier et second rang, qui distingue ce que l'institution contracte directement et ce qu'elle hérite via ses éditeurs. Une doctrine de décision écrite, signée par la direction, fixant les principes d'arbitrage et les critères de réversibilité. Un dispositif de revue périodique au COMEX et au conseil, documenté. Une articulation explicite avec les fonctions compliance, RSSI et DSI, qui clarifie où s'arrête la gouvernance et où commence la conformité réglementaire. Et la traçabilité opposable au régulateur - FINMA, ACPR, BCE - qui transforme une posture interne en argument supervisoire.
Aucun de ces chantiers ne se traite par l'outil. Tous se traitent par la décision documentée. C'est ce déplacement que la doctrine VEIA - « Décider avant d'intégrer » - vise précisément à structurer pour les COMEX et les conseils du secteur.
