Clauses IA — Supervision obligatoire

Section 1 — Définitions

Aux fins des présentes clauses, et sauf contexte contraire, les termes suivants désignent :

1.1 « Plateforme » : l'application SaaS FYNEO Hub (hub.fyneo.org), éditée par la société FYNEO GROUP (ci-après « FYNEO »), permettant aux membres CGP d'accéder à des outils de gestion patrimoniale, de conformité et d'assistance à la décision.

1.2 « Système d'intelligence artificielle » ou « IA » : tout outil logiciel fondé sur des modèles de langage à grande échelle (LLM) ou sur des techniques d'apprentissage automatique, intégré à la Plateforme aux fins d'assistance à l'analyse, à la rédaction ou à la structuration d'informations patrimoniales. Sont notamment visés : les assistants génératifs (Claude — Anthropic, Mistral AI), les systèmes de recherche par similarité sémantique (RAG — Retrieval-Augmented Generation), et les outils d'extraction documentaire (OCR assisté par IA).

1.3 « Outil d'assistance » : la fonction exercée par les systèmes IA au sein de la Plateforme, définie comme la production de suggestions, de synthèses, d'analyses ou de projections à titre indicatif, soumises à la validation obligatoire du CIF Superviseur avant toute utilisation ou transmission à un client.

1.4 « CIF » (Conseil en Investissements Financiers) : professionnel habilité et enregistré auprès de l'ORIAS, exerçant sous l'autorité de l'AMF, disposant d'une assurance de Responsabilité Civile Professionnelle (RCP) en cours de validité, membre du réseau FYNEO Patrimoine.

1.5 « CIF Superviseur » : le CIF membre de la Plateforme qui, dans le cadre de son activité professionnelle réglementée, exerce la supervision obligatoire de tout résultat produit par les systèmes IA avant validation, transmission ou utilisation à des fins de conseil. Le CIF Superviseur est la personne physique ou morale qui assume la responsabilité décisionnelle finale.

1.6 « Conseil patrimonial » : toute recommandation personnalisée relative aux investissements, à la gestion de patrimoine, aux produits financiers, d'assurance ou immobiliers, adressée à un client identifié en tenant compte de sa situation personnelle, au sens de l'article L. 321-1 du Code monétaire et financier et de MiFID II.

1.7 « Anonymisation » : procédé technique irréversible ou fortement pseudonymisant consistant à supprimer, masquer ou remplacer toute donnée à caractère personnel avant transmission à un système IA en nuage, de sorte que la ré-identification soit impossible ou nécessite des moyens disproportionnés.

1.8 « Trace d'audit IA » : enregistrement horodaté et non-répudiable des interactions entre l'utilisateur Membre et les systèmes IA de la Plateforme, conservé aux fins de contrôle de conformité et d'auditabilité par les autorités compétentes.

1.9 « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

1.10 « AI Act » : Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle, entré en vigueur le 1er août 2024. Les obligations de transparence (Article 50) sont applicables à compter du 2 août 2026.

Section 2 — Périmètre d'utilisation de l'intelligence artificielle

2.1 Nature exclusive de l'IA : outil d'assistance, jamais de conseil autonome

Les systèmes IA intégrés à la Plateforme FYNEO Hub sont conçus et exploités exclusivement en qualité d'outils d'assistance au bénéfice du CIF Superviseur.

En aucun cas, les systèmes IA de la Plateforme ne constituent :

• un système de conseil automatisé en investissement au sens de l'article L. 321-1 du Code monétaire et financier ;
• un système de gestion discrétionnaire automatisée ;
• un substitut au devoir de conseil réglementé du CIF ;
• un dispositif prenant des décisions finales sans validation humaine préalable.

Clause de supervision humaine — l'IA suggère, le CIF Superviseur évalue, contrôle et assume la responsabilité décisionnelle. Aucun résultat produit par un système IA ne peut être transmis à un client ou utilisé comme fondement d'une recommandation sans validation expresse du CIF Superviseur.

2.2 Cas d'usage autorisés

Les systèmes IA peuvent être mobilisés pour :

1. La synthèse d'informations patrimoniales préalablement anonymisées ou dépourvues de données à caractère personnel ;
2. La proposition de structurations patrimoniales types (non personnalisées), soumises à adaptation et validation par le CIF Superviseur ;
3. L'assistance à la rédaction de documents internes de travail (notes de synthèse, projets de compte-rendu), sous réserve de relecture et de validation ;
4. La recherche documentaire et réglementaire dans les corpus d'informations internes à la Plateforme ;
5. L'extraction et la structuration d'informations issues de documents patrimoniaux (relevés, actes) après anonymisation préalable.

2.3 Cas d'usage interdits

Il est strictement interdit d'utiliser les systèmes IA de la Plateforme pour :

1. Transmettre une recommandation personnalisée à un client sans validation préalable du CIF Superviseur ;
2. Constituer ou simuler un dossier d'adéquation (DER/questionnaire MIF) sans contrôle humain effectif ;
3. Produire une analyse de risque servant de fondement exclusif à une souscription, un arbitrage ou un désinvestissement ;
4. Traiter des données à caractère personnel non anonymisées dans les invites (prompts) soumises aux LLM en nuage ;
5. Contourner les procédures de friction volontaire (points de validation humaine) intégrées aux flux de travail de la Plateforme.

Section 3 — Supervision humaine obligatoire

3.1 Principe de responsabilité décisionnelle exclusive du CIF

Conformément aux obligations réglementaires découlant de MiFID II, du cadre AMF et des priorités de supervision AMF 2026, le CIF Superviseur est et demeure seul responsable :

• de la pertinence et de l'adéquation de tout conseil ou recommandation transmis à un client ;
• de la conformité réglementaire des opérations réalisées pour le compte d'un client ;
• de la véracité et de l'exactitude des informations communiquées ;
• du respect du devoir de conseil, d'information et de mise en garde.

Cette responsabilité est inaliénable et non-transférable aux systèmes IA, à FYNEO en qualité d'éditeur de la Plateforme, ou à tout tiers fournisseur de technologie.

3.2 Friction volontaire aux points de responsabilité

La Plateforme intègre des mécanismes de friction volontaire aux étapes critiques du flux de conseil. Ces points de validation comprennent notamment :

• la validation de toute recommandation personnalisée avant transmission au client ;
• la signature électronique de tout document d'adéquation (DER) ;
• la confirmation de tout ordre ou instruction de souscription, d'arbitrage ou de rachat ;
• l'envoi de tout document contractuel généré avec assistance IA.

3.3 Qualification du CIF Superviseur

FYNEO réserve l'accès aux fonctionnalités IA de la Plateforme aux seuls membres disposant :

1. d'un numéro ORIAS en cours de validité couvrant l'activité de Conseil en Investissements Financiers ;
2. d'une attestation d'assurance de Responsabilité Civile Professionnelle (RCP) en cours de validité ;
3. d'une attestation de formation continue valide (SFAF, IEFP ou équivalent reconnu).

3.4 Impossibilité de délégation à un tiers non habilité

Le Membre s'engage à ne pas déléguer l'utilisation des fonctionnalités IA à une personne non habilitée sans mise en place d'un dispositif de supervision effective et documentée. La validation finale des résultats IA doit être effectuée par le CIF Superviseur habilité.

Section 4 — Transparence vis-à-vis des clients finaux (AI Act — Article 50)

4.1 Obligation d'information du client final

Conformément à l'Article 50 du Règlement (UE) 2024/1689 (AI Act), applicable aux obligations de transparence à compter du 2 août 2026, le Membre CIF est tenu d'informer ses clients finaux de l'utilisation de systèmes d'intelligence artificielle dans la préparation des conseils et documents qui leur sont transmis.

Cette information doit être :

• préalable à toute utilisation des résultats IA dans la relation client ;
• claire et compréhensible, formulée dans un langage accessible à un client non-expert ;
• distincte des autres informations précontractuelles.

4.2 Formulation type recommandée

« Dans le cadre de la préparation de cette analyse/recommandation, votre conseiller a utilisé des outils d'intelligence artificielle à titre d'assistance. Ces outils ont produit des propositions préliminaires qui ont été intégralement revues, vérifiées et validées par votre conseiller avant transmission. L'intelligence artificielle ne se substitue pas au jugement professionnel de votre conseiller, qui assume seul la responsabilité des recommandations qui vous sont adressées. »

4.3 Documentation de l'information

Le Membre documente l'information délivrée à ses clients dans le dossier client. Cette documentation peut prendre la forme :

• d'une mention dans la lettre de mission ou la convention de gestion ;
• d'un paragraphe dédié dans le Document d'Entrée en Relation (DER) ;
• d'un accusé de réception signé par le client (fortement recommandé en cas de première utilisation).

4.4 Interdiction de se présenter comme un service entièrement automatisé

Le Membre s'interdit de décrire ou de commercialiser son service de conseil en utilisant des formulations laissant entendre que les recommandations sont produites de manière entièrement automatisée ou sans intervention humaine.

Section 5 — Protection des données personnelles (RGPD)

5.1 Architecture de traitement et rôles

• Le Membre CGP agit en qualité de responsable de traitement au sens de l'article 4(7) du RGPD pour les données de ses clients finaux.
• FYNEO agit en qualité de sous-traitant au sens des articles 4(8) et 28 du RGPD. Un Accord de Traitement des Données (DPA) est conclu séparément entre FYNEO et le Membre CGP.
• Les fournisseurs LLM en nuage (Anthropic pour Claude, Mistral AI pour Mistral) agissent en qualité de sous-traitants ultérieurs, dans les conditions décrites à l'article 5.3.

5.2 Principe de minimisation et d'anonymisation

Règle absolue et non-négociable : aucune donnée à caractère personnel identifiante ou identifiable d'un client final ne doit être transmise dans les invites (prompts) soumises aux systèmes LLM en nuage.

Le Membre s'engage à respecter les protocoles d'anonymisation suivants :

1. Remplacement des noms et prénoms par des identifiants anonymes ou des alias neutres ;
2. Suppression ou remplacement des numéros d'identification (numéro fiscal, NIR, numéro de compte, IBAN) ;
3. Suppression ou remplacement des adresses postales et coordonnées de contact ;
4. Suppression ou remplacement de toute combinaison de données permettant la ré-identification indirecte.

5.3 Conditions de recours aux LLM en nuage

1. Anthropic (Claude API) : absence d'utilisation des données transmises via API pour l'entraînement des modèles (garantie contractuelle) ; conservation limitée à 30 jours maximum via API ; certification ISO 27001, ISO 42001.
2. Mistral AI : fournisseur européen basé en France, soumis au droit de l'UE ; hébergement UE ; DPA Art. 28 disponible.
3. Localisation des données : les données traitées via la Plateforme sont hébergées en Europe. Aucun transfert hors UE n'est réalisé sans garanties adéquates au sens du Chapitre V du RGPD.

5.4 Droits des personnes concernées

FYNEO met en place les mécanismes permettant aux clients finaux des Membres d'exercer leurs droits au titre du RGPD : droit d'accès (Art. 15), droit de rectification (Art. 16), droit à l'effacement (Art. 17), droit à la limitation (Art. 18), droit à la portabilité (Art. 20) et droit d'opposition (Art. 21).

5.5 Notification des violations de données

En cas de violation de données à caractère personnel impliquant les systèmes IA de la Plateforme, FYNEO notifie le Membre sans délai indu et au plus tard dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD.

Section 6 — Traçabilité et auditabilité

6.1 Conservation des traces d'audit IA

FYNEO conserve une trace d'audit horodatée de toute interaction significative entre un Membre et les systèmes IA de la Plateforme. Cette trace comprend :

1. L'identifiant du Membre utilisateur ;
2. La date, l'heure et la durée de l'interaction ;
3. Le type de fonctionnalité IA mobilisée (synthèse, analyse, extraction, etc.) ;
4. L'indication de la validation ou du rejet du résultat par le CIF Superviseur ;
5. Tout événement de contournement de friction ou d'alerte de conformité.

6.2 Durée de conservation

Les traces d'audit IA sont conservées pendant une durée de cinq (5) ans à compter de leur création, conformément aux obligations de traçabilité applicables aux CIF (articles 314-17 et suivants du Règlement général AMF).

6.3 Accessibilité aux autorités compétentes

En cas de contrôle ou d'enquête menés par l'AMF, l'ACPR, la CNIL ou toute autre autorité compétente, les traces d'audit IA sont mises à disposition dans les délais légaux applicables.

6.4 Obligation de documentation interne du Membre

Le Membre tient à jour un registre interne documentant :

1. Les fonctionnalités IA de la Plateforme effectivement utilisées dans son activité ;
2. Les procédures de supervision mises en place pour chaque usage IA ;
3. Les incidents ou anomalies constatés dans les résultats IA, et les mesures correctives prises.

6.5 Registre des traitements RGPD

Conformément à l'article 30 du RGPD, le Membre, en qualité de responsable de traitement, tient un registre des traitements incluant les traitements réalisés avec l'assistance des systèmes IA de la Plateforme.

Section 7 — Limitation de responsabilité

7.1 Statut de l'IA : outil, non partie contractante

Les systèmes IA intégrés à la Plateforme sont des outils logiciels mis à disposition du Membre. Ils ne sont pas parties au contrat de conseil conclu entre le Membre CGP et ses clients finaux.

7.2 Responsabilité de FYNEO limitée à l'outil

La responsabilité de FYNEO en qualité d'éditeur de la Plateforme est strictement limitée à la mise à disposition d'outils d'assistance conformes aux spécifications décrites dans les CGV. FYNEO ne saurait être tenu responsable :

1. de l'exactitude, de la complétude ou de la pertinence des résultats produits par les systèmes IA, lesquels sont de nature statistique et probabiliste ;
2. de l'utilisation que le Membre fait des résultats IA, notamment en l'absence de validation par le CIF Superviseur ;
3. des conseils, recommandations ou décisions prises par le Membre sur la base des résultats IA ;
4. de tout préjudice subi par un client final du Membre, résultant directement ou indirectement d'une utilisation des systèmes IA non conforme aux présentes clauses.

7.3 Responsabilité exclusive du Membre

Le Membre reconnaît et accepte qu'il est seul responsable de l'utilisation qu'il fait des systèmes IA de la Plateforme dans le cadre de son activité professionnelle réglementée.

7.4 Limitation quantitative

La responsabilité de FYNEO au titre d'un dommage causé par un système IA de la Plateforme est limitée, tous chefs de préjudice confondus, au montant des sommes effectivement versées par le Membre à FYNEO au titre de son abonnement durant les douze (12) mois précédant la survenance du dommage.

Section 8 — Droit d'opposition du client final

8.1 Droit d'opposition à l'utilisation de l'IA

Tout client final d'un Membre a le droit de s'opposer à l'utilisation de systèmes d'intelligence artificielle dans la préparation de son dossier et des conseils qui lui sont adressés. Ce droit d'opposition est exercé auprès du Membre CGP.

8.2 Absence de discrimination

Le Membre s'engage à ne pas traiter différemment, au détriment de ses intérêts patrimoniaux, un client qui exercerait son droit d'opposition à l'utilisation de l'IA. Un client qui s'oppose à l'utilisation de l'IA bénéficie du même niveau de service que les autres clients.

8.3 Droit à l'explication des décisions assistées par IA

Conformément au principe de transparence algorithmique, le client final peut demander à son Membre CGP une explication des facteurs ayant conduit à une recommandation produite avec l'assistance d'un système IA, formulée dans un langage accessible à un client non-expert.

8.4 Droit à une décision purement humaine

Le Membre s'engage à garantir à tout client qui en ferait la demande que la décision finale concernant son patrimoine est prise par une personne physique habilitée, sans délégation exclusive à un système automatisé.

Annexe A — Fournisseurs IA tiers : garanties contractuelles

Annexe B — Références réglementaires