L'AI Act s'applique à toute organisation qui utilise des systèmes d'IA dans ses processus, y compris les équipes finance et contrôle de gestion. Depuis le 2 février 2025, l'article 4 impose une obligation de formation à l'IA pour tous les collaborateurs qui utilisent ces outils. Et selon les usages, certains systèmes IA en finance peuvent relever de catégories de risque spécifiques.
Voici ce que ça change concrètement pour un contrôleur de gestion en 2026.
1. L'article 4 : obligation de culture IA
Depuis le 2 février 2025, tout collaborateur qui utilise un système d'IA dans son travail doit avoir été formé à son utilisation responsable. Pour un contrôleur de gestion qui utilise Copilot for Finance, Claude ou tout autre outil IA dans son workflow, l'entreprise doit pouvoir démontrer qu'il a suivi une formation adaptée.
En pratique, cela signifie : documenter les outils IA utilisés dans les processus financiers, former les collaborateurs concernés et conserver les justificatifs. La certification Qualiopi des formations Nikita répond directement à cette exigence.
2. La classification des risques pour les usages finance
Risque minimal (grande majorité des usages) : rédaction de commentaires d'analyse, mise en forme de reporting, génération de synthèses. Aucune obligation spécifique au-delà de la culture IA.
Risque limité : systèmes de recommandation qui proposent des décisions financières (optimisation de trésorerie, suggestions d'arbitrages budgétaires). Obligation de transparence : le décideur doit savoir qu'une recommandation vient d'un système IA.
Risque élevé potentiel : les systèmes d'IA qui participent à des décisions de crédit, de notation financière ou d'évaluation de solvabilité sont explicitement classés « risque élevé » dans l'AI Act. Si votre contrôle de gestion intègre des outils d'évaluation automatisée de la performance financière de partenaires ou filiales qui conditionnent des décisions contractuelles, une analyse de conformité spécifique s'impose.
3. Les forecasts automatisés
Un agent qui génère des forecasts à partir de données historiques et les communique directement à la direction comme base de décision relève du risque limité : la direction doit savoir que ces projections sont générées par IA et comprendre leurs limites (notamment la capacité limitée à intégrer des événements discontinus ou des ruptures de tendance). Le contrôleur reste l'interprète obligatoire entre le modèle et la décision.
4. Les données financières et leur confidentialité
Les données financières d'une entreprise sont par nature confidentielles. L'utilisation d'un LLM via API (Claude, ChatGPT) pour analyser des données financières implique que ces données transitent par les serveurs du fournisseur. Il faut s'assurer que le fournisseur ne réentraîne pas ses modèles sur vos données (option disponible chez Anthropic et OpenAI en version entreprise) et que l'hébergement est conforme aux exigences de souveraineté de votre entreprise. Les solutions hébergées en France ou en mode local sont disponibles pour les cas sensibles.
5. La documentation des systèmes utilisés
L'AI Act incite à documenter les systèmes d'IA utilisés dans les processus à impact, ce qui inclut les outils qui alimentent les décisions de direction. Cette documentation (quel outil, pour quoi, avec quelles données, quelle supervision humaine) est une bonne pratique qui protège aussi en cas d'audit.
Ce que ça change dans votre organisation
Pour la plupart des équipes contrôle de gestion en PME/ETI, l'AI Act impose trois choses simples :
- Former les contrôleurs aux outils IA qu'ils utilisent (article 4), finançable OPCO.
- Documenter les outils IA intégrés dans les processus de reporting et de forecast.
- Maintenir une validation humaine sur toutes les recommandations financières issues de l'IA.
La réglementation ne freine pas l'adoption, elle la structure. Les équipes qui documentent leurs usages et forment leurs collaborateurs sont en conformité et protégées. Celles qui déploient sans cadre s'exposent à des risques croissants.