Combien de banques mutualistes régionales ou mutuelles sont certifiées ISO 42001 en France ?

L'observatoire Audaria a passé en revue les principaux acteurs français du secteur bancaire mutualiste régional, des mutuelles santé/prévoyance et des assurances régionales : aucun ne figure dans les registres publics des organismes certificateurs accrédités (IAF CertSearch, Bureau Veritas, AFNOR Certification, BSI) à la date du recensement, et aucun n'a publiquement communiqué sur une démarche en cours. Cette absence se lit à l'échelle du marché : publiée fin 2023, la norme ISO/IEC 42001:2023 ne compte qu'environ 2 400 organisations certifiées dans le monde, tous secteurs confondus, et une poignée en France.

La certification ISO 42001 est-elle obligatoire pour une banque ou une mutuelle ?

Non. ISO/IEC 42001:2023 est une norme volontaire : aucun texte n'impose sa certification. L'absence de certification ne constitue donc pas un manquement réglementaire. La norme reste un référentiel de structuration : elle organise la gouvernance des systèmes d'IA et recouvre une large part des exigences procédurales du règlement (UE) 2024/1689 et de la supervision ACPR, ce qui en fait un appui utile pour préparer l'échéance d'application de l'AI Act.

Une banque mutualiste régionale est-elle concernée par l'AI Act ?

Oui dès lors qu'elle utilise un système d'IA pour le scoring de crédit, la tarification IA en assurance vie ou santé, ou d'autres usages classés à haut risque. L'Annexe III, points 5(b) et 5(c), du règlement (UE) 2024/1689 classe ces systèmes en haut risque. Un établissement qui mobilise un module de scoring algorithmique de la solvabilité, un moteur de tarification IA en assurance, ou un système d'évaluation automatisée des dossiers devient déployeur au sens de l'Article 3 §4 et relève des obligations de l'Article 26.

Comment l'observatoire a-t-il vérifié l'absence de certification ?

Chaque entité examinée a fait l'objet de quatre vérifications : consultation des registres publics des organismes certificateurs accrédités (IAF CertSearch, Bureau Veritas, AFNOR Certification, BSI, LNE), examen des communiqués officiels et rapports RSE/ESG 2024-2026, examen des pages institutionnelles 'innovation', 'IA responsable' et 'gouvernance des données', et recherche moteur dédiée. Le statut retenu est celui constaté dans ces sources publiques à la date du recensement.

Quand les obligations AI Act s'appliquent-elles aux banques et mutuelles ?

L'Article 113 du règlement (UE) 2024/1689 prévoit l'application générale, dont les obligations haut risque de l'Annexe III, au 2 août 2026. Un accord trilogue provisoire conclu le 7 mai 2026 dans le cadre du Digital Omnibus on AI prévoit un report au 2 décembre 2027 ; tant qu'il n'est pas formellement adopté et publié au Journal officiel de l'Union européenne, la date du 2 août 2026 demeure juridiquement en vigueur.

Cas d'usage · Observatoire

Banques mutualistes, mutuelles et assurances régionales face à l'ISO 42001 : l'observatoire 2026

Q: Quel rôle joue l'ACPR dans l'application de l'AI Act au secteur bancaire ?

L'ACPR — Autorité de contrôle prudentiel et de résolution — supervise déjà la gouvernance des modèles et les pratiques internes des établissements bancaires, y compris sur la gestion des biais et la traçabilité algorithmique. L'AI Act ne se substitue pas à cette supervision : il s'y ajoute. L'articulation concrète entre les obligations Article 26 et les exigences prudentielles reste à construire au niveau de chaque établissement. La logique économique est d'éviter la duplication des reportings, tout en documentant spécifiquement les exigences AI Act que la supervision ACPR ne couvre pas.

Publiée fin 2023, l'ISO/IEC 42001:2023 — première norme internationale de management de l'intelligence artificielle — ne compte encore qu'environ 2 400 organisations certifiées dans le monde, et une poignée en France. Le recensement mené par Audaria auprès des principales banques mutualistes régionales, mutuelles et assurances régionales françaises n'en identifie aucune. Méthode, sources et lecture de ce constat au regard du règlement (UE) 2024/1689 et de la supervision ACPR.

L'équipe Audaria Publié le 18 mai 2026 10 min de lecture

I. Le constat : aucune certification ISO 42001 dans le secteur bancaire mutualiste régional

L'intelligence artificielle s'est diffusée massivement dans le secteur bancaire et mutualiste régional français : scoring de crédit, détection de fraude, segmentation tarifaire en assurance, lutte contre le blanchiment, analyse des dossiers de prêt, parcours client automatisés. Ces fonctions, intégrées aux outils du quotidien des établissements, relèvent du périmètre haut risque défini par l'Annexe III du règlement (UE) 2024/1689 — notamment ses points 5(b) (évaluation de la solvabilité, scoring de crédit) et 5(c) (tarification IA pour les assurances vie et santé).

Audaria a souhaité mesurer un signal simple : les principales banques mutualistes régionales, mutuelles et assurances régionales françaises ont-elles publiquement engagé une démarche de management structuré de l'intelligence artificielle, en prenant la certification ISO/IEC 42001:2023 comme indicateur observable ? Ce choix d'indicateur appelle une mise en perspective : la norme est récente — publiée fin 2023 — et encore peu diffusée. Mi-2026, on dénombre environ 2 400 organisations certifiées dans le monde, tous secteurs confondus, et une poignée en France. L'absence d'acteurs bancaires régionaux parmi elles doit se lire à cette échelle.

Le constat

Aucun des principaux acteurs bancaires mutualistes régionaux, mutuelles santé/prévoyance et assurances régionales français recensés ne figure dans les registres publics des organismes certificateurs accrédités comme détenteur d'une certification ISO/IEC 42001:2023, et aucun n'a rendu publique une démarche en cours, à la date du recensement.

Ce constat appelle une précision immédiate, développée plus loin : l'absence de certification ISO 42001 n'est pas un manquement réglementaire. La norme est volontaire. Le recensement ne décrit donc pas un défaut de conformité ; il décrit un état de maturité — observé sur les acteurs les plus visibles du secteur — en matière de gouvernance de l'IA, à un peu plus d'un an de l'échéance d'application de l'AI Act.

II. Méthodologie de l'observatoire

La valeur d'un observatoire tient à la transparence de sa méthode. Celle-ci repose sur deux étapes : la constitution du périmètre, puis la vérification du statut de certification.

Constitution du recensement

L'observatoire a passé en revue les principaux acteurs français des sous-secteurs suivants :

Banques mutualistes régionales — caisses régionales du Crédit Agricole, fédérations du Crédit Mutuel, Banques Populaires régionales, Caisses d'Épargne régionales.
Mutuelles santé et prévoyance — Macif, MAIF, Groupama, MMA, Harmonie Mutuelle, AÉSIO, Apicil et autres acteurs de référence du marché français.
Assurances régionales — compagnies et acteurs régionaux d'assurance non-vie.

Une précision de méthode s'impose : le secteur bancaire et mutualiste régional français compte plusieurs dizaines d'entités. L'observatoire ne prétend pas mesurer l'ensemble du marché — il analyse les acteurs les plus visibles et les plus établis, ceux dont la communication publique (rapports RSE, publications ESG, pages institutionnelles innovation, communiqués) est traçable. Le résultat doit se lire à l'aune de ce périmètre.

Vérification du statut de certification

Chaque entité examinée a fait l'objet de quatre vérifications indépendantes :

Registres des organismes certificateurs accrédités — consultation d'IAF CertSearch, du registre Bureau Veritas, d'AFNOR Certification, de BSI et du LNE. C'est la source la plus fiable : une certification ISO 42001 valide y est nécessairement répertoriée.
Communiqués officiels et rapports RSE / ESG 2024-2026, à la recherche d'une mention ISO 42001 ou d'une démarche AIMS (AI Management System) déclarée.
Pages institutionnelles « innovation », « IA responsable », « gouvernance des données » des sites des principales fédérations et établissements.
Recherche moteur dédiée — requête nominative associant le nom de l'entité et la norme.

Limites assumées

L'observatoire mesure un statut public et déclaratif à une date donnée : une entité ayant engagé une démarche strictement confidentielle n'y apparaîtrait pas. Le périmètre exclut les filiales françaises de grands groupes internationaux cotés, dont la gouvernance relève d'un cadre distinct. Le constat se lit comme la photographie d'un signal public sur les acteurs les plus établis du secteur, non comme un audit individuel.

III. Pourquoi le secteur bancaire régional est un secteur « déployeur » au sens de l'AI Act

Le règlement (UE) 2024/1689 repose sur une approche par les risques. Sa liste des systèmes d'IA à risque élevé figure à l'Annexe III. Le point 5(b) de l'Annexe III vise expressément les « systèmes d'IA destinés à être utilisés pour évaluer la solvabilité de personnes physiques ou pour établir leur score de crédit ». Le point 5(c) vise les « systèmes d'IA destinés à être utilisés pour la tarification et la souscription en matière d'assurance vie et d'assurance santé ».

Une banque mutualiste régionale, une mutuelle ou une assurance régionale qui utilise un tel système — module de scoring intégré à son logiciel de gestion, moteur de tarification fourni par un prestataire, outil de détection de fraude ou de lutte anti-blanchiment — n'en est pas le concepteur : elle en est le déployeur, au sens de l'Article 3 §4 du règlement. Cette qualification déclenche les obligations de l'Article 26 : usage conforme à la notice d'utilisation du fournisseur, supervision humaine effective des décisions, conservation des journaux pendant six mois au minimum, information des représentants du personnel (Article 26 §7), et information des personnes concernées lorsque le système prend une décision les affectant (Article 26 §11). Ce régime est détaillé dans notre guide Conformité AI Act pour les RH — la logique des obligations Article 26 y est exposée, et reste transposable aux déployeurs bancaires.

Articulation avec l'ACPR

Le secteur bancaire est déjà supervisé par l'ACPR — Autorité de contrôle prudentiel et de résolution — qui suit de longue date la gouvernance des modèles, y compris les questions de biais algorithmiques, de robustesse et de traçabilité. L'AI Act ne se substitue pas à cette supervision : il s'y ajoute. L'articulation concrète entre les obligations Article 26 (registre des systèmes, supervision humaine, journaux, information des personnes) et les exigences prudentielles (gouvernance interne, stress tests, audit interne, contrôle permanent) reste à construire au niveau de chaque établissement. La logique est claire : éviter la duplication des reportings là où ils se recoupent, tout en documentant spécifiquement les exigences Article 26 que la supervision ACPR ne couvre pas — notamment l'information des personnes concernées par une décision automatisée, qui relève spécifiquement de l'AI Act et du RGPD.

Articulation avec le RGPD

L'AI Act se combine également au RGPD. L'Article 22 du règlement (UE) 2016/679 encadre déjà les décisions fondées exclusivement sur un traitement automatisé — typiquement une demande de crédit refusée par un algorithme. L'AI Act ne remplace pas cet édifice : il le complète avec des obligations spécifiques aux systèmes à haut risque (registre, supervision humaine, transparence, robustesse). Une banque mutualiste régionale qui aurait déjà documenté son scoring crédit au titre de l'Article 22 RGPD trouvera un socle utile pour répondre à l'Article 26 AI Act, sans repartir de zéro.

IV. ISO 42001 absente — mais une conscience progressive

La norme ISO/IEC 42001:2023, publiée fin 2023, est la première norme internationale dédiée au management de l'intelligence artificielle. Elle décrit un système de management — politique, analyse des risques, rôles, contrôle, amélioration continue — applicable aux organisations qui développent ou utilisent des systèmes d'IA. Sa certification, délivrée par un organisme accrédité, est un signal clair de structuration de la gouvernance.

Aucun des acteurs recensés ne détient cette certification. Mais l'observatoire relève d'autres signaux, qui nuancent le constat :

L'ACPR a publié, en 2023-2024, plusieurs analyses sur la gouvernance des modèles d'IA en banque et assurance — sur les biais algorithmiques, sur la traçabilité, sur la robustesse, sur la documentation des modèles. Cet engagement institutionnel ne se substitue pas à une démarche ISO 42001, mais il imprègne progressivement les pratiques internes des établissements supervisés.
Plusieurs grandes fédérations mutualistes ont mis en place des comités d'éthique ou des comités IA internes — instances de revue des projets utilisant de l'intelligence artificielle. Signal de conscience, sans formalisation normée pour autant.
Quelques acteurs ont publié des chartes « IA responsable » ou des principes d'éthique IA — engagements déclaratifs, sans dimension de système de management documenté.
Une part des établissements détient une certification ISO 27001 (sécurité de l'information). Une démarche de certification leur est donc familière — mais la sécurité informatique n'est pas la gouvernance de l'IA.

À retenir

Le secteur n'ignore pas le sujet : les publications ACPR et les chartes internes le prouvent. Ce qui manque n'est pas la conscience, mais la structuration — le passage d'un engagement de principe à un système de management documenté et vérifiable. ISO 42001 est précisément l'outil de ce passage.

V. Ce que l'ISO 42001 apporterait au secteur

Pour une banque mutualiste régionale ou une mutuelle, l'intérêt de la norme ne tient pas au logo de certification, mais à la méthode qu'elle impose. ISO/IEC 42001:2023 oblige à recenser les systèmes d'IA utilisés, à les classer par niveau de risque, à définir qui en assure la supervision humaine, à documenter les contrôles et à organiser leur révision périodique.

Cet ensemble recoupe une large part — de l'ordre de 80 % — des exigences procédurales attendues d'un déployeur par le règlement (UE) 2024/1689. Engager une démarche ISO 42001, même sans viser la certification immédiate, revient donc à construire l'ossature documentaire que l'Article 26 réclamera.

Le bénéfice est également opérationnel. Le registre des systèmes d'IA exigé par ISO 42001 alimente directement les contrôles internes : pilotage du modèle de scoring crédit, suivi de la lutte anti-blanchiment, documentation des moteurs de tarification, surveillance des indicateurs d'équité — notamment le disparate impact ratio dont l'Article 10 §2(f) du règlement encourage le suivi sur les systèmes haut risque. La même ossature alimente la documentation attendue côté ACPR. La marche à suivre est détaillée dans notre guide Obtenir la norme ISO 42001.

VI. Calendrier et lecture réglementaire

Le règlement (UE) 2024/1689 est entré en vigueur le 1^er août 2024 et s'applique de façon échelonnée. Les pratiques interdites (Article 5) et l'obligation de littératie en IA (Article 4) sont applicables depuis le 2 février 2025. L'application générale, qui inclut les obligations haut risque de l'Annexe III, est fixée au 2 août 2026 par l'Article 113.

Accord trilogue du 7 mai 2026

Le Parlement européen et le Conseil de l'Union européenne ont conclu le 7 mai 2026 un accord trilogue provisoire, dans le cadre du Digital Omnibus on AI, prévoyant le report de l'application des obligations Annexe III du 2 août 2026 au 2 décembre 2027. Tant que cet accord n'est pas formellement adopté par les co-législateurs et publié au Journal officiel de l'Union européenne, la date du 2 août 2026 demeure juridiquement en vigueur.

Reporté ou non, le calendrier laisse au secteur une fenêtre de préparation. L'observatoire 2026 en fixe le point de départ : un secteur qui utilise massivement l'IA dans ses opérations cœur — scoring de crédit, tarification, détection de fraude —, conscient du sujet à travers les publications ACPR depuis 2023, mais dont aucun des acteurs recensés n'a encore franchi le pas d'un management certifié. Audaria réitérera ce recensement pour mesurer l'évolution du signal.

Aller plus loin

Pour comprendre le cadre de référence, la page pilier ISO 42001 présente le périmètre et la logique de la norme, et le guide Obtenir la norme ISO 42001 en détaille les étapes. Côté réglementaire, le guide Conformité AI Act pour les RH expose les obligations de l'Article 26 applicables aux déployeurs — la logique est transposable au secteur bancaire mutualiste. Le texte de la norme est référencé sur le site de l'ISO, le règlement sur EUR-Lex, et les publications de supervision sur le site de l'ACPR.