Banques régionales, compagnies d'assurance, mutuelles, family offices et gestionnaires de patrimoine indépendants - France et Suisse romande. Le cadre vient de se refermer : DORA appliqué depuis janvier 2025, FINMA Guidance 08/2024, AI Act haut risque attendu en 2026. La gouvernance de l'IA est devenue une charge de COMEX et de conseil.
L'adoption de l'IA dans le secteur financier français et suisse romand a basculé en 18 mois. L'enquête FINMA d'avril 2025 sur près de 400 institutions établit qu'environ la moitié d'entre elles utilisent ou développent l'IA, 91 % des utilisateurs recourent à la GenAI, mais seule la moitié dispose d'une stratégie IA explicite. EY Banking Barometer 2026 rapporte 78 % des banques suisses engagées dans des projets IA contre 53 % un an plus tôt. La FINMA crée un AI Desk dédié dans sa stratégie 2025-2028, l'ACPR a formé en octobre 2025 une Direction de l'Innovation, des Données et des Risques Technologiques (DIDRIT) qui fusionne supervision DORA et IA.
En parallèle, la dépendance technologique s'est officialisée. Les 19 premiers prestataires critiques désignés par les ESAs le 18 novembre 2025 au titre de DORA comprennent les cinq hyperscalers américains - AWS, Microsoft, Google, IBM, Oracle. La FINMA, dans son Risk Monitor 2025, recense 83 banques et 50 assurances suisses externalisées en cloud public en 2024, contre 60 et 46 un an plus tôt. La SBA dans ses Cloud Guidelines 3e édition de novembre 2025 reconnaît officiellement la possibilité de l'hébergement étranger sous conditions de mesures techniques et organisationnelles.
Reste la souveraineté décisionnelle. C'est-à-dire la capacité d'un COMEX et d'un conseil à savoir ce qui est intégré, pourquoi, à quel coût de dépendance, et avec quelle réversibilité. Cette capacité n'est pas une question d'outil. C'est une question de gouvernance.
DORA engage personnellement les organes de direction sur le cadre de gestion des risques TIC et les tests TLPT. L'AI Act haut risque, à compter du 2 août 2026 sur le calendrier de référence, impose documentation, supervision humaine et gestion du cycle de vie pour le scoring crédit et la tarification vie-santé.
En Suisse, l'article 47 de la Loi sur les banques pénalise la révélation à un tiers, même par négligence. Une saisie dans un outil IA grand public peut constituer une révélation. La nLPD ajoute des sanctions pénales jusqu'à CHF 250 000 contre les personnes physiques. En France, le RGPD sanctionne la personne morale.
BNP Paribas a signé en juillet 2024 un partenariat structurant avec Mistral AI, renouvelé pour trois ans en février 2026. Société Générale a abandonné son LLM interne SoGPT fin 2025 au profit de Microsoft Copilot. UBS exploite 50 000 licences Microsoft 365 Copilot et a nommé un CAIO au 1er janvier 2026. La carte change vite.
AWS, Microsoft et Google captent environ 70 % du marché cloud infrastructure européen en 2024. Les éditeurs cœur du secteur - Temenos, Avaloq, Murex, Sopra Banking - dépendent tous d'au moins un hyperscaler américain. Aucun partenariat équivalent avec OVHcloud, S3NS, Bleu ou Outscale n'a été noué à grande échelle au 15 mai 2026.
La panne AWS us-east-1 du 20 octobre 2025 a duré environ 15 heures, généré plus de 6,5 millions de signalements Downdetector et affecté plus de 1 000 services. Quatrième panne majeure us-east-1 en cinq ans. L'incident CrowdStrike du 19 juillet 2024 a coûté environ 1,15 Md USD au seul secteur bancaire selon Parametrix.
OpenAI et Azure OpenAI imposent des retraites de modèles avec auto-upgrade dans certaines régions et certains plans tarifaires. La retraite de gpt-4o versions 2024-05-13 et 2024-08-06 est planifiée au 31 mars 2026 avec bascule automatique vers gpt-5.1 dans certaines configurations Standard. Risque opérationnel direct pour les workflows critiques.
Le Microsoft Work Trend Index 2024 établit que 78 % des utilisateurs d'IA en entreprise apportent leurs propres outils et 52 % cachent leur usage à la hiérarchie. Cyberhaven (avril 2025) rapporte que 34,8 % des données partagées avec l'IA sont sensibles, contre 10,7 % deux ans plus tôt. Pour une banque privée suisse ou un family office, l'exposition est pénale au titre de l'article 47 LB.
AXA Secure GPT, déployé à 140 000-150 000 employés, tourne sur Azure OpenAI dans un tenant dédié, avec une intégration Mistral exécutée sur la même infrastructure Azure. Le narratif souveraineté ne change pas la couche d'exécution. Le cas appelle une cartographie honnête des dépendances, distincte de la communication de marque.
Les family offices romands et les gestionnaires de patrimoine indépendants occupent un point de tension singulier. Ils gèrent des stratégies patrimoniales, des structurations fiscales et des plans successoraux d'une sensibilité absolue, et opèrent dans un écosystème de petite taille où la confiance est l'actif principal. Selon l'UBS Global Family Office Report 2025, l'IA est devenue le premier thème d'investissement de la catégorie, mais l'adoption opérationnelle interne reste minoritaire - 33 % seulement déploient l'IA en interne selon BlackRock 2025.
La FINMA a publié au début 2024 son bilan d'autorisation des gestionnaires de fortune indépendants. L'écosystème compte environ 1 500 GFI autorisés, avec un effectif médian de 3 à 4 ETP et un AUM médian autour de CHF 100 M. Ces structures portent des données équivalemment sensibles à celles d'une banque privée Tier 1 sans disposer ni des budgets, ni des équipes de gouvernance correspondantes. Les Big Four ne les couvrent pas. L'espace est vacant.
L'attente est claire et documentée par l'étude Accenture de fin 2025 : 64 % des organisations suisses prévoient d'augmenter leurs investissements dans des technologies d'IA souveraine pour protéger leurs opérations critiques. La demande ne porte pas sur l'outil, elle porte sur la doctrine et la gouvernance.
Tous portés au plus haut niveau du cabinet. Aucun accord commercial avec un éditeur, un hyperscaler ou un intégrateur.
Audit en deux temps. Cartographie des usages réels - y compris Shadow IA - et des dépendances actuelles. Analyse de l'exposition réglementaire DORA, FINMA Guidance 08/2024, AI Act. Restitution écrite au COMEX. Livrable : note de cadrage, matrice de criticité, plan d'action priorisé.
Session de travail avec le comité de direction ou le conseil. Cadrage des principes décisionnels propres à l'institution. Choix de modèles, plans B européens, critères de réversibilité, périmètres d'usage. Production d'un document de référence interne, signé par la direction, opposable en interne et en audit.
Engagement récurrent. Présence trimestrielle au COMEX. Préparation des arbitrages, instruction des dossiers IA stratégiques, interface avec la DSI, le RSSI, le service compliance et les fournisseurs. Format adapté aux ETI bancaires régionales, mutuelles, family offices et compagnies d'assurance de taille moyenne.
Les usages réels, y compris ceux qui ne remontent pas, sont identifiés. Les dépendances de premier et de second rang sont tracées. La carte du terrain remplace la déclaration d'intention.
Un document court, dense, signé par la direction. Il fixe les principes de décision et les critères d'arbitrage. Il sert de référence en interne, en comité d'audit, en supervision FINMA ou ACPR.
DORA, FINMA 08/2024 et AI Act exigent la traçabilité de la gouvernance. Une doctrine écrite, datée et tenue à jour change la nature des échanges supervisoires.
La responsabilité personnelle des organes de direction est désormais directement engagée. La gouvernance documentée est l'instrument de cette protection.
Aucun lien commercial avec un éditeur, un hyperscaler, un intégrateur. C'est la condition même de l'autorité de la recommandation. Pour un conseil d'administration qui engage sa responsabilité, faire appel à un cabinet financièrement imbriqué avec les mêmes hyperscalers qu'il faut auditer est une vulnérabilité de la chaîne de diligence raisonnable. VEIA refuse ce conflit par construction.
Séance de cadrage - identifier le format adapté à votre contexte.
VEIA est un cabinet de conseil stratégique indépendant en gouvernance IA. Aucun partenariat commercial avec un éditeur, un hyperscaler ou un intégrateur. La doctrine se lit dans le document de référence VEIA et le diagnostic de gouvernance IA.
Voir aussi les pages sectorielles : Notaires · Avocats · Experts-comptables.