ACPR priorités 2026 : quels enjeux pour les assureurs et les banques ?
ACPR priorités de supervision 2026, quels enjeux pour les assureurs et les banques, la question résume l’essentiel : en 2026, le superviseur français met l’accent sur la résilience numérique, l’intelligence artificielle et la tokenisation, tout en renforçant l’analyse des vulnérabilités financières et la qualité de la gouvernance. Le programme de travail présenté par l’Autorité de contrôle prudentiel et de résolution expose une lecture des risques qui combine les tensions macro financières, l’évolution des modèles d’affaires et la transformation technologique du secteur.
Le programme de travail 2026, un signal de supervision à décrypter
Ce que dit le superviseur
Le programme de travail 2026 est construit à partir de l’évaluation des risques du système financier français menée avec la Banque de France, et il intègre aussi les priorités européennes de supervision. Il décrit une année 2025 marquée par des incertitudes géopolitiques, des valorisations élevées sur les marchés, et la montée en puissance d’acteurs non bancaires, notamment dans le crédit privé. Dans le même temps, la transition numérique est décrite comme un point de bascule, où des acteurs innovants et des modèles d’affaires digitaux deviennent centraux, alors que les acteurs traditionnels accélèrent leur transformation. Enfin, l’essor des stablecoins et de la finance tokénisée est présenté comme une rupture technologique dont le développement doit être sécurisé et mis au service de l’amélioration du système financier.
Pour les directions générales et les fonctions de conformité, ce document joue le rôle d’une grille de lecture pragmatique : il annonce les thèmes qui seront davantage observés sur pièces, et ceux susceptibles de déclencher des contrôles sur place. Pour les organismes de formation, il offre un matériau utile pour transformer des obligations réglementaires en compétences opérationnelles, en ciblant les pratiques, la gouvernance, et la capacité d’exécution des équipes.
Cinq axes, une même logique : supervision par les risques et proportionnalité
Pourquoi ces axes se répondent
Le collège de supervision retient cinq axes qui structurent l’action en 2026 : identifier les vulnérabilités et surveiller les risques avec une approche proportionnée, renforcer la gouvernance et les fonctions clés, mettre en œuvre DORA sur les risques cyber et opérationnels, préparer la supervision de l’intelligence artificielle et prendre en compte la tokenisation, puis mettre en œuvre des actions de simplification pour une supervision plus efficace. La logique annoncée est cohérente : mieux cibler les risques majeurs propres à chaque établissement, tout en tenant compte des enjeux de compétitivité et de simplification.
Une lecture transversale permet de comprendre que ces axes ne sont pas indépendants. La résilience numérique renvoie à la gouvernance et à l’externalisation. L’intelligence artificielle renvoie à la qualité des données et à la maîtrise des modèles. La tokenisation renvoie à la protection de la clientèle, à la lutte contre le blanchiment et aux infrastructures techniques. Pour les assureurs et les banques, l’enjeu est donc d’éviter une approche en silos et de relier les exigences entre elles.
Identifier les vulnérabilités, marchés, souverain, NBFI et valorisation des actifs
Ce qui est explicitement cité
Sur le premier axe, l’Autorité annonce qu’elle portera une attention particulière aux expositions aux risques de marché et souverain, dans un contexte de finances publiques en tension. Les contrôles sur place sont annoncés sur des sujets précis : le calcul des ratios prudentiels sous CRR3 pour les établissements de crédit, la protection des fonds pour les établissements de paiement et de monnaie électronique, et pour les organismes d’assurance la gestion actif passif, le risque de taux, ainsi que la valorisation des actifs, notamment ceux jugés moins liquides.
Cette orientation souligne un point essentiel : la recherche de rendement et la diversification des portefeuilles ne peuvent plus être séparées de la capacité à justifier la valorisation, la liquidité et la cohérence actif passif. Dans une logique de supervision, la question n’est pas seulement la performance mais la robustesse de l’allocation d’actifs, l’adéquation avec les engagements, et la qualité des analyses internes. Pour des équipes techniques, cela implique des compétences renforcées en gestion du risque de taux, en scénarios, et en documentation.
Le superviseur ajoute qu’il surveillera la maîtrise des risques liés aux interconnexions au sein du système financier, notamment avec les intermédiaires financiers non bancaires. Un stress test conduit avec la Banque de France et l’Autorité des marchés financiers à l’échelle de l’ensemble du système financier, impliquant les principaux acteurs des secteurs de la banque, de l’assurance et des sociétés de gestion, doit être finalisé en 2026, avec la publication d’un rapport de synthèse conjoint à l’issue des travaux. L’Autorité indique aussi qu’elle analysera les risques liés au développement du crédit privé par les acteurs non bancaires.
Pour les établissements, ces éléments signalent une attente de meilleure compréhension des expositions indirectes. Les interconnexions ne se limitent pas aux liens capitalistiques : elles recouvrent les dépendances de marché, les chaînes de financement, et les liens opérationnels. Sur le terrain, cela se traduit par une exigence de cartographies plus fines, et par une meilleure articulation entre risk management, ALM, investissements, et contrôle interne.
Protection de la clientèle, pratiques commerciales et rapport qualité prix
Ce que change la logique rapport qualité prix
Le programme de travail rappelle que l’Autorité demeure vigilante face aux risques induits par certains produits et pratiques commerciales pour les clients des secteurs de la banque et de l’assurance. Elle poursuit ses travaux en faveur du Value For Money, ou rapport qualité prix, qui exige des professionnels des produits pertinents et utiles pour les clients. Elle précise que les discussions avec la place sur l’intégration des frais de gestion des contrats d’assurance vie dans le dispositif national de Value For Money, initiées en février, se poursuivront en 2026.
Cette thématique a un impact direct sur les fonctions distribution, marketing produit, conformité et réseaux. Elle replace la question des frais, des bénéfices attendus, de l’adéquation du produit et du service associé au centre de la supervision. Pour les formations, c’est un point d’entrée naturel pour relier exigences réglementaires et compétences relation client : capacité à expliquer les caractéristiques et les coûts, pédagogie commerciale, maîtrise des documents, et cohérence entre promesse commerciale et valeur délivrée.
Dans une logique de revue de presse professionnelle, il est utile de noter que l’approche du superviseur ne se limite pas à sanctionner des cas extrêmes : elle cherche à installer des standards de conception et de gouvernance produit. Cela renforce l’importance des comités produits, des validations ex ante, et des boucles de retour client. Les soft skills prennent ici une dimension de maîtrise du risque : l’écoute, la reformulation, et la transparence deviennent des éléments de prévention des litiges et des non conformités.
LCB FT, cryptoactifs et harmonisation européenne
Le fil conducteur, approche par les risques
Toujours dans le premier axe, l’Autorité indique qu’en matière de supervision des dispositifs de lutte contre le blanchiment et le financement du terrorisme, elle restera attentive, conformément à son approche par les risques, à l’adaptation des dispositifs internes des organismes les plus exposés. Elle mentionne sa participation à la finalisation et à l’application de la Recommandation 16 du GAFI sur la transparence des paiements internationaux applicable aux cryptoactifs, et sa contribution à la mise en œuvre opérationnelle de la nouvelle Autorité européenne de lutte contre le blanchiment, AMLA.
Le lien avec la transformation numérique est direct. Plus les flux deviennent rapides, internationaux et technologiques, plus les dispositifs doivent conjuguer données, détection, gouvernance et capacité d’investigation. La référence aux cryptoactifs souligne que la frontière entre finance traditionnelle et nouveaux actifs n’est plus théorique. Les acteurs doivent donc préparer des équipes capables de comprendre les typologies de risques, les obligations de vigilance, et l’intégration de nouveaux canaux.
Pour la formation, l’enjeu consiste à proposer des parcours qui relient LCB FT, cybersécurité et connaissance client. Les compétences attendues sont à la fois techniques, compréhension des scénarios, maîtrise des outils, qualité de la documentation, et comportementales, capacité à alerter, à escalader, à coopérer entre métiers. Les superviseurs insistent régulièrement sur l’importance de réserver une part d’analyse aux contrôleurs humains lorsque des outils avancés sont utilisés, ce qui met en avant la compétence de jugement.
Gouvernance, fonctions clés, externalisation et délégations
Externalisation et délégation, un point d’attention
Le deuxième axe porte sur la soutenabilité des modèles d’activité et sur la qualité du système de gouvernance. L’Autorité rappelle que l’implication des fonctions clés joue un rôle capital, car la stratégie doit s’appuyer sur une vision étayée des risques et des opportunités pour rester pertinente. Elle indique qu’elle analysera et surveillera particulièrement la maîtrise des fonctions externalisées, le recours aux intermédiaires et délégataires, et qu’elle renforcera son suivi des risques liés au modèle d’affaires, notamment l’impact sur la rentabilité, la solvabilité et la liquidité.
Cet angle renvoie à une réalité opérationnelle : l’externalisation est devenue un choix stratégique, mais elle crée des dépendances. Les intermédiaires et délégataires peuvent améliorer l’efficacité commerciale, mais ils modifient la chaîne de responsabilité et multiplient les points de contrôle. Le superviseur attend des dispositifs capables de démontrer qui fait quoi, comment les risques sont suivis, et comment les incidents ou dysfonctionnements remontent.
L’Autorité indique aussi qu’elle veillera au renforcement de l’intégration des enjeux de durabilité dans la gouvernance des risques. Sans entrer dans des prescriptions détaillées, cette mention souligne que la gouvernance n’est plus seulement une question de conformité formelle : elle recouvre la capacité à piloter des risques de long terme et à articuler stratégie, appétence au risque et contrôle interne.
Dans les programmes de formation, cette priorité peut se traduire par un triptyque : gouvernance et rôles des instances, pilotage de l’externalisation et des tiers, et culture du risque. Les managers de proximité, souvent au contact direct de la distribution et des opérations, doivent être outillés pour comprendre les exigences et animer une culture de vigilance.
DORA, cyber et risque TIC, de la conformité à la preuve de résilience
Les trois priorités de contrôle annoncées
Le troisième axe est consacré à la mise en œuvre de DORA. L’Autorité annonce qu’elle intensifiera le suivi des risques opérationnels, notamment IT et cyber, ainsi que des risques liés à l’externalisation dans ce domaine. Trois priorités de contrôle sont identifiées pour 2026 : la gestion des incidents, la mise en place des cadres de gestion du risque TIC, et la conformité des contrats avec les prestataires informatiques. Elle précise qu’elle renforcera la supervision et procédera à des contrôles sur place ciblant spécifiquement les entités les plus exposées, tout en étant attentive à la réalisation régulière de tests d’intrusion.
Ces attentes s’inscrivent dans le cadre plus général du règlement européen 2022/2554, dont l’entrée en application est indiquée au 17 janvier 2025. La page dédiée à DORA rappelle que les exigences concernent la gestion du risque informatique, le reporting des incidents, les tests de résilience et la gestion du risque de tiers porté par les prestataires de services informatiques. Elle mentionne également des instructions nationales de l’Autorité relatives aux déclarations d’incidents majeurs et à la remise de registres d’informations sur les accords contractuels portant sur l’utilisation de services TIC.
Le passage d’une conformité documentaire à une conformité opérationnelle est un fil conducteur. DORA met l’accent sur la capacité à maintenir des fonctions critiques face à des perturbations TIC. En pratique, cela renforce la nécessité d’une gouvernance claire, de processus d’escalade, de scénarios de crise, et d’une documentation cohérente entre métiers. La conformité des contrats avec les prestataires devient une question de résilience : clauses d’audit, continuité, localisation, droits d’accès, responsabilités en cas d’incident.
La supervision annoncée cible aussi les tests. Lorsque le superviseur évoque des tests d’intrusion réguliers, cela signale une attente de vérification active, et pas seulement de contrôles de conformité. Les organismes devront être capables d’expliquer la stratégie de tests, leur périmètre, et la manière dont les résultats alimentent un plan d’amélioration.
Le dispositif de reporting est un autre enjeu concret. La page DORA liste des remises attendues, dont une remise des registres d’information au 31 mars 2026 au format CSV, ainsi que des déclarations d’incidents et de cyber menaces au fil de l’eau. Même sans entrer dans des détails techniques, ce rappel illustre que la qualité de la donnée et la capacité à produire des remises fiables fait partie de la résilience.
Intelligence artificielle, vers une supervision des algorithmes et des usages à haut risque
Usages à haut risque et contrôle humain
Le quatrième axe annonce la préparation à la supervision de l’intelligence artificielle et la prise en compte de la tokenisation. Sur l’intelligence artificielle, le programme de travail indique que l’Autorité devrait être désignée autorité de surveillance du marché et de la bonne application du règlement IA pour les secteurs de la banque et de l’assurance. Il est précisé qu’elle travaillera en coopération avec les établissements sur des méthodologies d’évaluation des systèmes d’IA, qu’ils soient utilisés en interne pour maîtriser les risques ou audités par le superviseur.
Un article institutionnel consacré à l’impact de l’intelligence artificielle pour le superviseur éclaire la philosophie générale. Il rappelle que l’IA est à la fois source d’opportunités et vecteur de risques, pour les institutions et pour les consommateurs, mais aussi au niveau macro prudentiel. Il souligne que le règlement européen sur l’IA distingue plusieurs niveaux de risque, et que des systèmes dits à haut risque concernent le secteur financier, notamment l’évaluation de la solvabilité pour l’octroi de crédit à des personnes physiques, ainsi que l’évaluation et la tarification en assurance maladie et en assurance vie. Il est indiqué que ces systèmes à risque élevé devront respecter des exigences telles que l’entraînement sur des données de haute qualité, la transparence, et le contrôle humain.
Pour les acteurs de terrain, ces éléments déplacent le centre de gravité du contrôle. Il ne s’agit plus seulement de vérifier des règles métier, mais de comprendre comment un modèle est conçu, entraîné, mis à jour, surveillé et documenté. La question des biais, de l’explicabilité et de l’équité devient centrale dès lors que des décisions sensibles sont assistées par des algorithmes.
L’Autorité explicite aussi une dimension de supervision augmentée. Elle décrit une démarche SupTech visant à tirer parti des avancées technologiques pour augmenter ses capacités d’analyse et gagner en efficacité. Elle cite des projets tels que la détection avancée d’anomalies dans les reportings, et l’outil LUCIA, utilisé pour évaluer la performance des modèles de lutte contre le blanchiment et le financement du terrorisme via l’analyse de grands volumes d’opérations. Le même article mentionne un SupTech Sprint organisé avec le lab de la Banque de France, destiné à explorer ce que l’IA générative peut apporter aux métiers du superviseur, avec huit prototypes et des approfondissements prévus pour plusieurs projets.
Cette perspective a une implication pratique : si le superviseur modernise ses méthodes, les établissements devront s’adapter à des contrôles plus exigeants en matière de données, de traçabilité et de documentation. Dans les formations, il devient pertinent de combiner culture IA, gouvernance des modèles, contrôle interne et gestion des risques. Les fonctions commerciales et relation client sont aussi concernées : l’utilisation de l’IA générative dans les interactions impose de maîtriser la confidentialité, la qualité de réponse, et la supervision humaine.
Tokenisation, stablecoins, DeFi et révision de MiCA
DeFi et smart contracts, une supervision en construction
Sur la tokenisation, le programme de travail indique que l’Autorité suivra les enjeux de la finance désintermédiée et contribuera aux travaux visant au développement d’une réglementation propre à la finance décentralisée, combinant finance traditionnelle et mécanismes issus d’autres secteurs. Elle mentionne aussi que, face à la montée des risques liés à la transformation rapide du secteur des cryptoactifs et à l’utilisation accrue de stablecoins émis par des acteurs extra européens, elle s’engagera dans une revue stratégique en vue de la révision du règlement MiCA, avec l’objectif de renforcer la protection des détenteurs de cryptoactifs et d’anticiper les défis posés par ces nouveaux actifs.
Dans ce paysage, la tokenisation ne se réduit pas à un sujet technologique. Elle interroge la gouvernance des infrastructures, la sécurité des smart contracts, la gestion des risques opérationnels, et la protection du client final. Les institutions traditionnelles peuvent être tentées d’expérimenter des cas d’usage, mais elles devront démontrer une maîtrise équivalente de la sécurité, de la conformité et de la continuité.
Les travaux conduits dans le cadre du forum Fintech conjoint entre l’Autorité des marchés financiers et l’Autorité de contrôle prudentiel et de résolution illustrent cette trajectoire. Une publication de l’Autorité des marchés financiers indique que les deux autorités ont publié des conclusions d’un groupe de travail sur la certification des smart contracts dans la finance décentralisée et ouvert une consultation publique. Le texte précise que le groupe a rassemblé des représentants du secteur des crypto actifs, des experts techniques et des autorités concernées, et qu’il visait à contribuer aux réflexions européennes sur les suites de MiCA et sur le développement éventuel d’un cadre adapté aux réalités de la finance décentralisée.
Pour les assureurs et les banques, la conséquence est double. D’une part, la tokenisation accroît le besoin de compétences hybrides, mêlant compréhension du produit, maîtrise des risques et culture technique. D’autre part, elle exige une vigilance accrue sur les tiers et les prestataires technologiques, ce qui rejoint directement DORA. Les formations peuvent aider à transformer la nouveauté en repères : risques liés aux smart contracts, gouvernance des clés, surveillance opérationnelle, et gestion des incidents.
Simplification, qualité des données et efficacité des contrôles
Simplifier en renforçant la qualité
Le cinquième axe vise la mise en œuvre d’actions de simplification identifiées en 2025. L’Autorité indique qu’elle prendra part aux mesures décidées par l’Autorité bancaire européenne et la Banque centrale européenne, et qu’elle contribuera aux travaux prévus par la Commission européenne et les autres autorités de supervision. L’objectif est de renforcer l’approche par les risques en se concentrant sur l’identification et la gestion des risques majeurs propres à chaque établissement, et de renforcer les synergies entre contrôles sur place et sur pièces pour cibler plus efficacement les vulnérabilités spécifiques.
Le programme mentionne le réexamen de certains états réglementaires dans cette perspective, dont ceux exigés dans le cadre de l’article 29 de la loi Énergie Climat. Il indique aussi qu’en 2026 l’Autorité veillera à ce que les établissements intensifient leurs efforts pour renforcer la qualité de leurs données, tout en soulignant que cette qualité constitue également un enjeu interne pour améliorer les outils de contrôle.
La simplification ne signifie donc pas un relâchement. Elle suppose une meilleure hiérarchisation des risques et une donnée plus fiable, plus cohérente et plus exploitable. Cela rejoint l’enjeu IA, car un modèle n’est robuste que si les données le sont. Cela rejoint l’enjeu DORA, car la résilience dépend de la qualité des inventaires, des registres, et des capacités de reporting.
Pour les organisations, cette orientation plaide pour des investissements dans la gouvernance des données, la clarification des responsabilités, et des processus de contrôle qualité. Sur le plan pédagogique, cela ouvre des modules très concrets : dictionnaires de données, contrôles de cohérence, traçabilité, et articulation entre production de reporting et contrôle interne.
Impacts opérationnels et besoins de compétences, une feuille de route pour la formation
Transformer la supervision en compétences
Pris ensemble, les axes de supervision décrivent une montée en puissance de la preuve. Les établissements devront non seulement déclarer mais démontrer : démontrer qu’un dispositif de gestion des incidents fonctionne, démontrer que la gouvernance des modèles d’IA existe et qu’un contrôle humain est effectif, démontrer que les contrats d’externalisation couvrent les risques, démontrer que les données sont fiables.
Les impacts se lisent par métiers. Pour les directions risques, la priorité est l’intégration : relier les risques financiers, opérationnels et technologiques. Pour les directions conformité, l’enjeu est la capacité à traduire des textes en contrôles et en exigences contractuelles. Pour les directions systèmes d’information, l’enjeu est la résilience et la gestion des tiers. Pour les directions distribution, l’enjeu est la protection de la clientèle, la transparence, et la qualité des pratiques.
Les soft skills deviennent une composante de la maîtrise des risques. La gestion de crise suppose communication claire et coordination. La gouvernance suppose capacité à challenger et à documenter. La relation client suppose pédagogie et transparence sur le rapport qualité prix. Le management suppose conduite du changement et appropriation des exigences.
Une approche formation structurée peut s’organiser autour de trois parcours complémentaires. Un parcours technique centré sur DORA, cybersécurité, gestion des incidents, tests de résilience et gouvernance des tiers. Un parcours IA et données centré sur AI Act, usages à haut risque, gouvernance des modèles, qualité des données, et contrôle interne. Un parcours distribution et management centré sur pratiques commerciales, rapport qualité prix, culture de conformité, et pilotage des délégations.
L’objectif n’est pas de former des spécialistes de tout, mais de bâtir une compétence collective. Les superviseurs insistent sur la nécessité de réserver une part d’analyse à des contrôleurs humains lorsque des outils avancés sont utilisés. Cela rejoint la formation au jugement professionnel, à l’esprit critique, et à la capacité à remonter une alerte.
Sources
L’Autorité de contrôle prudentiel et de résolution présente son programme de travail pour l’année 2026, 19 janvier 2026
Digital Operational Resilience Act, DORA, mise à jour le 28 janvier 2026
Intelligence artificielle : quel impact à l’ACPR ?, mise à jour le 4 septembre 2025
https://acpr.banque-france.fr/fr/actualites/intelligence-artificielle-quel-impact-lacpr
L’ACPR et l’AMF publient les conclusions du groupe de travail sur la certification des smart contracts et ouvrent une consultation publique, 3 février 2025
