Pendant des années, les établissements financiers européens ont externalisé leurs infrastructures technologiques vers des acteurs extra-européens, au nom de l'efficacité et de la réduction des coûts. Cette logique, compréhensible à l'époque, n’est plus tenable dans un monde où les tensions géopolitiques se durcissent, où l'extraterritorialité des législations étrangères s'étend, et où la donnée est devenue le principal actif stratégique d'une banque, dépendre d'infrastructures dont on ne maîtrise pas la gouvernance n'est plus acceptable.

La question n'est pas de savoir si un incident surviendra, mais quand, et si les banques seront en mesure d'y faire face seules.

Une banque qui ne contrôle pas ses données ne contrôle pas grand-chose. Les flux de paiements instantanés, les décisions de crédit, les mécanismes de détection de fraude : tout cela repose sur des données sensibles, traitées en temps réel, à grande échelle. Si ces données transitent par des systèmes opaques, hébergés dans des juridictions étrangères soumises à des obligations légales contradictoires avec le droit européen, la résilience opérationnelle devient une fiction.

Ce n'est pas seulement un enjeu pour les banques. Les États eux-mêmes ont un intérêt direct à ce que les systèmes financiers restent sous contrôle européen. La maîtrise des infrastructures bancaires est une composante de la souveraineté nationale, au même titre que l'énergie ou la défense.

L'intelligence artificielle est depuis longtemps utilisée au sein des processus bancaires. Scoring de crédit, détection d'anomalies, optimisation des risques : les modèles algorithmiques prennent des décisions qui affectent directement des millions de clients. Pourtant, beaucoup de ces modèles fonctionnent encore en boîte noire. On connaît le résultat, rarement le raisonnement.

C'est un problème réglementaire et l'AI Act européen l'a bien compris. Mais c'est surtout un problème de confiance. Une banque qui ne peut expliquer à son client pourquoi son dossier de crédit a été refusé, ni démontrer à son régulateur que le modèle est exempt de biais, n'est pas en situation de contrôle. Elle est à la merci de sa propre technologie.

L'IA doit être explicable, traçable, auditable et compréhensible par un être humain.  Ce n'est pas un luxe réservé à quelques grandes institutions, c'est la condition minimale d'un usage responsable de l'intelligence artificielle dans un secteur aussi régulé et aussi stratégique que la banque.

Certains objecteront que la souveraineté a un coût, et que les grandes plateformes cloud américaines offrent une scalabilité et une puissance de calcul difficiles à égaler. L'argument mérite d'être entendu, mais il ne tient pas sur le fond.

Des architectures modulaires, déployables en cloud privé ou hybride, permettent aujourd'hui de concilier performance technologique et maîtrise opérationnelle. Ce n'est pas une question de renoncement à l'innovation : c'est une question d'exigence. Les banques européennes peuvent bénéficier des avantages du cloud computing sans pour autant déléguer le contrôle de leurs systèmes critiques à des tiers étrangers.

La vraie modernité, ce n'est pas d'adopter les dernières technologies sans discernement. C'est de les intégrer dans un cadre où l'on reste maître de ses choix, qu’ils soient technologiques, réglementaires ou stratégiques.

Les prochains mois seront déterminants. La mise en application de DORA, le déploiement de l'AI Act, les tensions persistantes sur les chaînes d'approvisionnement technologiques : autant de signaux qui appellent les banques à réexaminer leurs dépendances et à reprendre l'initiative.

La souveraineté bancaire n'est pas un retour en arrière. C'est un impératif stratégique pour un secteur qui, par nature, doit inspirer confiance à ses clients, à ses régulateurs, et aux États dont il assure la stabilité économique.