Risque fournisseur IA : la leçon JPMorgan–Anthropic

Par /
8ab5defe 8213 44d0 87a5 68074afe3989

JPMorgan–Anthropic : la gouvernance IA à l’épreuve

PMorgan aurait retiré les modèles Claude de la liste des outils d’intelligence artificielle autorisés pour ses salariés de Hong Kong. L’incident ne révèle pas seulement une tension entre les États-Unis et la Chine.

Il montre surtout qu’une gouvernance IA fondée sur une simple liste d’outils approuvés peut devenir obsolète dès qu’un contrat, une politique fournisseur ou une restriction territoriale évolue.

Une intelligence artificielle peut donc être autorisée aujourd’hui, puis devenir inaccessible demain, sans panne, sans cyberattaque et sans décision de l’entreprise utilisatrice.

La question n’est plus seulement de savoir quels outils sont autorisés. Elle est de pouvoir démontrer qui en dépend, sous quelles conditions et comment l’activité continue lorsqu’ils disparaissent.

Une IA approuvée peut devenir indisponible sans incident technique

Le 18 juin 2026, Reuters a relayé une information du Financial Times selon laquelle JPMorgan Chase avait cessé de permettre à ses salariés de Hong Kong d’accéder aux modèles d’intelligence artificielle d’Anthropic.

Selon le quotidien britannique, le libellé des conditions d’utilisation figurant dans l’accord de licence entre Anthropic et JPMorgan aurait conduit la banque à retirer Claude d’une liste déroulante interne regroupant les grands modèles de langage autorisés.

Reuters précise ne pas avoir pu vérifier indépendamment l’information. JPMorgan et Anthropic n’avaient pas répondu à ses demandes de commentaire au moment de la publication.

Source :

https://www.reuters.com/business/finance/jpmorgan-chase-cuts-off-anthropic-access-its-hong-kong-staff-ft-reports-2026-06-18

https://www.ft.com/content/de83d303-6a03-456b-bfb9-7b11dd502ab3

Ce point de prudence est important. Il ne s’agit pas d’extrapoler à partir d’une clause contractuelle qui n’a pas été rendue publique.

Le fait opérationnel reste néanmoins significatif : un modèle figurant dans un environnement interne d’outils approuvés aurait été retiré pour une catégorie déterminée de collaborateurs et dans une zone géographique précise.

L’événement intervient après une décision comparable prise par Goldman Sachs. En avril 2026, la banque avait déjà supprimé l’accès à Claude pour ses équipes de Hong Kong, tandis que d’autres modèles, notamment ChatGPT et Gemini, restaient disponibles sur sa plateforme interne.

https://www.reuters.com/world/china/goldman-sachs-bars-hong-kong-bankers-anthropic-ai-use-ft-reports-2026-04-29

La répétition du scénario dans deux grandes banques montre que le sujet ne peut plus être réduit à un incident isolé ou à un simple problème d’accès utilisateur.

Il concerne désormais directement la gouvernance des fournisseurs d’IA.

La gouvernance IA ne s’arrête pas à une liste d’outils autorisés

Une liste d’outils approuvés est nécessaire.

Elle permet notamment de réduire le recours à des solutions non contrôlées, de préciser les usages permis et de limiter les risques liés à la confidentialité, aux données personnelles ou à la cybersécurité.

Mais cette liste ne constitue qu’un instantané de la décision prise à un moment donné.

Elle indique généralement qu’un outil a été examiné et qu’il peut être utilisé dans certaines conditions. Elle ne prouve pas nécessairement que l’organisation maîtrise :

  • l’évolution des conditions contractuelles ;
  • les restrictions applicables selon les pays ;
  • les différences entre les versions d’un même modèle ;
  • les sous-traitants et infrastructures mobilisés ;
  • les conséquences d’une suspension ;
  • la procédure de retrait ;
  • la capacité de remplacement ;
  • les preuves permettant de reconstituer la décision.

Une gouvernance IA réellement opérationnelle doit donc gérer l’ensemble du cycle de vie de l’autorisation :

évaluation, admission, utilisation, surveillance, restriction, suspension, remplacement et archivage des preuves.

Sans cette continuité, l’approbation initiale risque de créer un faux sentiment de maîtrise.

L’entreprise sait que l’outil a été autorisé. Elle ne sait pas toujours si les conditions qui avaient justifié cette autorisation sont encore valables.

Le contrat devient une composante du risque opérationnel

Dans les systèmes d’information traditionnels, le risque fournisseur est déjà connu. Il couvre notamment les pannes, les évolutions tarifaires, la qualité de service, la sécurité, la réversibilité ou la défaillance financière du prestataire.

L’intelligence artificielle ajoute une couche supplémentaire.

Un même modèle peut être accessible dans un pays et indisponible dans un autre. Son utilisation peut dépendre de l’adresse de l’utilisateur, de la localisation de l’entreprise, de sa structure de propriété, de son secteur d’activité ou de règles imposées au fournisseur par une autorité publique.

Anthropic publie une liste des pays et territoires dans lesquels Claude.ai et son API commerciale sont officiellement proposés. Hong Kong ne figure pas dans cette liste.

https://www.anthropic.com/supported-countries

L’entreprise précise également se réserver, dans les limites prévues par le droit applicable, la possibilité de ne pas fournir ses services à certaines entités en fonction de leur contrôle ou de leur rattachement à des régions non prises en charge.

En septembre 2025, Anthropic avait déjà renforcé ses restrictions concernant les entreprises liées à des pays ou territoires non soutenus, en invoquant des considérations juridiques, réglementaires et de sécurité nationale.

https://www.anthropic.com/news/updating-restrictions-of-sales-to-unsupported-regions

Cela ne permet pas de déduire automatiquement le contenu du contrat conclu avec JPMorgan. Cela démontre toutefois que la disponibilité d’un modèle d’IA ne dépend pas uniquement de sa performance technique.

Elle dépend aussi d’un ensemble de règles extérieures au système utilisé :

  • conditions de licence ;
  • politiques commerciales ;
  • restrictions territoriales ;
  • contrôle des exportations ;
  • décisions souveraines ;
  • exigences de sécurité ;
  • interprétation du contrat par le client.

Le contrat n’est donc plus seulement un document juridique conservé par les achats ou la direction juridique. Il devient une composante active de la continuité opérationnelle.

Ce que disent les faits

18 juin 2026 : Reuters relaie l’information du Financial Times selon laquelle JPMorgan a retiré Claude de la liste des modèles autorisés pour ses équipes de Hong Kong.

29 avril 2026 : Reuters rapporte que Goldman Sachs avait déjà supprimé l’accès à Claude pour ses salariés de Hong Kong, tout en maintenant l’accès à d’autres modèles.

Territorialité : Hong Kong ne figure pas dans la liste officielle des pays et régions pris en charge par Anthropic pour Claude.ai ou son API commerciale.

Cause rapportée chez JPMorgan : le retrait aurait été motivé par le libellé des conditions d’utilisation contenues dans l’accord de licence.

Limite de la preuve disponible : le contrat n’est pas public et Reuters n’a pas confirmé indépendamment l’information initiale du Financial Times.

Ces éléments suffisent néanmoins à établir un constat : l’autorisation interne d’un outil ne garantit ni son maintien, ni son accessibilité dans toutes les implantations de l’entreprise.

Cinq preuves devraient accompagner chaque outil IA approuvé

Le problème n’est pas d’utiliser Anthropic, OpenAI, Google, Mistral ou un autre fournisseur. Toute organisation dépend nécessairement de technologies, de prestataires et d’infrastructures qu’elle ne contrôle pas entièrement.

Le problème commence lorsque cette dépendance n’est ni mesurée, ni documentée, ni réévaluée.

Pour chaque outil ou modèle approuvé, une organisation devrait pouvoir produire au minimum cinq familles de preuves.

1. La preuve du périmètre d’autorisation

L’entreprise doit savoir précisément :

  • quelle solution a été validée ;
  • quelle version ou famille de modèles est concernée ;
  • pour quels usages ;
  • pour quelles équipes ;
  • dans quels pays ;
  • avec quelles catégories de données ;
  • sous quelles restrictions.

Dire « Claude est autorisé » ou « ChatGPT est approuvé » est trop imprécis pour constituer une règle exploitable.

2. La preuve contractuelle

La décision doit pouvoir être reliée :

  • au contrat applicable ;
  • à l’entité juridique contractante ;
  • aux conditions d’utilisation ;
  • aux engagements de disponibilité ;
  • aux restrictions géographiques ;
  • aux modalités de notification ;
  • aux clauses de suspension et de résiliation ;
  • aux règles de restitution ou d’effacement des données.

Une capture d’écran d’une liste interne ne remplace pas cette documentation.

. La preuve de dépendance métier

L’organisation doit savoir quels processus seraient affectés si l’outil disparaissait.

Il peut s’agir d’un simple assistant de rédaction sans conséquence critique. Il peut aussi s’agir d’un modèle intégré dans :

  • le traitement des demandes clients ;
  • la rédaction contractuelle ;
  • la génération de code ;
  • la détection de fraude ;
  • l’analyse documentaire ;
  • la cybersécurité ;
  • l’évaluation de dossiers ;
  • l’automatisation d’une décision métier.

La criticité ne se mesure donc pas au prestige du modèle, mais aux conséquences de son interruption.

4. La preuve de substituabilité

Posséder plusieurs abonnements ne signifie pas qu’un modèle peut en remplacer un autre.

Les interfaces, les prompts, les connecteurs, les règles de sécurité, les performances, les mécanismes de supervision et les formats de sortie peuvent différer.

La preuve attendue n’est pas la déclaration « nous sommes multi-modèles ».

C’est le résultat d’un test démontrant :

  • le temps nécessaire à la bascule ;
  • les fonctionnalités perdues ;
  • les écarts de performance ;
  • les données transférables ;
  • les contrôles à refaire ;
  • les validations requises ;
  • les risques résiduels.

5. La preuve de décision

Enfin, l’entreprise doit pouvoir expliquer :

  • qui a autorisé l’outil ;
  • sur quels critères ;
  • à quelle date ;
  • qui surveille l’évolution des conditions ;
  • qui peut suspendre l’accès ;
  • comment les utilisateurs sont informés ;
  • quand la décision sera réexaminée.

Sans responsable, sans date et sans dossier de preuves, la gouvernance reste déclarative.

Le NIST ne recommande pas seulement d’approuver les fournisseurs

Le profil du NIST consacré aux risques de l’intelligence artificielle générative fournit un point de comparaison particulièrement pertinent.

Le document recommande notamment aux organisations :

  • d’inventorier les tiers ayant accès aux contenus de l’organisation ;
  • d’établir des listes de technologies et de fournisseurs approuvés ;
  • d’intégrer le risque IA aux processus d’achats et de due diligence ;
  • de surveiller les systèmes d’IA tiers ;
  • de documenter les dépendances ;
  • d’identifier des solutions de repli ;
  • de préparer des plans de réponse aux incidents ;
  • de tester les technologies de bascule ;
  • d’examiner les clauses contractuelles et les niveaux de service.

https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf

La logique est claire : la liste des outils approuvés constitue un contrôle parmi d’autres, et non l’aboutissement de la gouvernance.

La logique est claire : la liste des outils approuvés constitue un contrôle parmi d’autres, et non l’aboutissement de la gouvernance.

Elle doit être complétée par la surveillance, la documentation, la gestion des incidents et la préparation d’une solution alternative.

Le cas JPMorgan illustre exactement la différence entre ces deux niveaux.

Le premier niveau consiste à rendre un outil accessible dans une interface interne.

Le second consiste à savoir comment et pourquoi il peut en être retiré, puis comment l’entreprise poursuit son activité.

DORA place déjà la substituabilité au niveau du risque

Pour les entités financières européennes relevant de son champ d’application, le règlement DORA formalise une partie de cette logique dans la gestion du risque lié aux prestataires TIC.

Son article 29 demande aux entités financières d’examiner si un service soutenant une fonction critique ou importante repose sur un prestataire difficilement substituable, ou si plusieurs contrats créent une concentration excessive auprès d’un même fournisseur ou de prestataires étroitement liés.

Le texte demande également de mettre en balance les coûts et les bénéfices de solutions alternatives.

https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng

DORA n’explique pas la décision prise par JPMorgan à Hong Kong. Il ne faut pas confondre les juridictions ni les cadres applicables.

Le rapprochement est néanmoins utile : dans le secteur financier, la capacité à identifier une dépendance, à évaluer la substituabilité d’un prestataire et à préparer une sortie n’est plus un simple sujet d’architecture informatique.

Elle devient une question de résilience et de gouvernance.

L’AI Act européen suit une logique différente, centrée sur les systèmes d’IA et leur niveau de risque. Pour les systèmes à haut risque relevant de son champ d’application, il impose notamment une gestion continue des risques et différentes exigences de traçabilité et de journalisation.

https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

Il serait toutefois inexact d’affirmer que l’AI Act impose à toute entreprise de disposer d’un modèle de remplacement.

La continuité des usages IA doit donc être traitée comme un sujet transversal, à l’intersection de la gouvernance IA, de la gestion des tiers, de la cybersécurité, du juridique et de la continuité d’activité.

La norme ISO 22301 fournit, sur ce dernier point, un cadre général pour préparer, maintenir et améliorer la capacité de l’organisation à faire face aux interruptions.

https://www.iso.org/standard/75106.html

Un retrait mal géré peut recréer du Shadow AI

Lorsqu’un outil apprécié des collaborateurs disparaît brutalement, un autre risque apparaît.

Les utilisateurs peuvent chercher à retrouver les mêmes capacités par leurs propres moyens :

  • compte personnel ;
  • version grand public ;
  • VPN ;
  • outil gratuit non validé ;
  • transfert manuel de documents ;
  • copie de prompts ou de données vers une autre plateforme.

Il ne s’agit pas d’affirmer que cela s’est produit chez JPMorgan. C’est un scénario de risque prévisible dans toute organisation où la décision de retrait n’est pas accompagnée.

Une politique de gouvernance cohérente doit donc répondre simultanément à trois questions :

Pourquoi l’outil est-il retiré ?

Quelle solution est proposée à la place ?

Comment vérifier que les utilisateurs ne contournent pas la décision ?

La gouvernance IA rejoint ici directement la cybersécurité. Un retrait contractuellement justifié peut produire un risque de fuite de données ou de contournement s’il est mal expliqué et mal supervisé.

La décision juridique, la mesure technique et l’accompagnement des équipes doivent être coordonnés.

Analyse stratégique : l’autorisation doit devenir un processus réversible

Pour les dirigeants, l’enseignement du cas JPMorgan–Anthropic est simple : l’autorisation d’un outil IA ne doit jamais être considérée comme définitive.

Elle doit avoir :

  • un propriétaire ;
  • un périmètre ;
  • une justification ;
  • une durée de validité ;
  • des conditions de maintien ;
  • des critères de suspension ;
  • une procédure de remplacement ;
  • un historique vérifiable.

Pour la direction juridique et les achats, cela suppose de relier les clauses contractuelles aux usages réels. Une restriction territoriale n’a pas la même conséquence pour une entreprise implantée dans un seul pays que pour un groupe international.

Pour la DSI, cela impose d’identifier les processus qui dépendent techniquement du modèle, de ses API, de ses connecteurs et de ses formats propriétaires.

Pour le RSSI, il faut anticiper les contournements et contrôler les solutions de remplacement.

Pour le DPO, il faut vérifier que la bascule vers un nouvel outil ne modifie pas les conditions de traitement des données.

Pour les directions métiers, il faut enfin distinguer l’inconfort de perdre un assistant de la paralysie d’un processus essentiel.

La gouvernance ne consiste donc pas à supprimer toute dépendance. Cet objectif serait irréaliste.

Elle consiste à rendre la dépendance visible, mesurable, assumée et réversible lorsque cela est nécessaire.

Ce que Svar-IA peut mettre en évidence

Cette actualité confirme la nécessité d’une gouvernance fondée sur des preuves plutôt que sur des déclarations générales.

Le Svar-IA Risk Scan permet d’identifier les premiers signaux de fragilité : absence d’inventaire, responsabilités imprécises, règles d’usage incomplètes, dépendances non documentées ou manque de preuves.

Svar-IA Risk Scan

Le Svar-IA Resilience Scan prolonge cette analyse sur les dimensions de dépendance fournisseur, de disponibilité, de réversibilité, de conservation des journaux et de continuité.

Le Governance Evidence Pack permet ensuite de structurer les éléments justificatifs : fournisseurs, modèles, usages, contrats, territoires, responsables, décisions, dates de révision et solutions de remplacement.

L’objectif n’est pas de garantir qu’un fournisseur ne changera jamais ses règles.

Il est de permettre à l’entreprise de connaître l’impact de ce changement avant qu’il ne se transforme en crise.

Trois évolutions probables dans les prochains mois

Une première évolution pourrait être la multiplication des autorisations différenciées selon les pays. Un même groupe pourrait disposer de modèles distincts selon la localisation de ses collaborateurs, de ses données ou de ses clients.

Une deuxième évolution pourrait être le renforcement des clauses territoriales et des contrôles d’identité. L’accès aux modèles les plus avancés pourrait devenir plus fragmenté selon la nationalité, la juridiction, le secteur ou le niveau de confiance accordé à l’organisation.

Une troisième évolution pourrait être l’intégration systématique du risque fournisseur IA aux plans de continuité, aux cartographies de risques et aux politiques de cybersécurité.

Ces scénarios restent prospectifs. Mais le signal est déjà visible.

Deux grandes banques ont retiré l’accès au même fournisseur dans une implantation stratégique, alors même que les outils étaient intégrés à leurs environnements internes.

Conclusion : la gouvernance IA commence après l’approbation

Le cas JPMorgan–Anthropic montre qu’une liste d’outils autorisés est indispensable, mais insuffisante.

Elle dit ce que les salariés peuvent utiliser aujourd’hui. Elle ne démontre pas ce qui se passera demain si le contrat évolue, si une région devient non prise en charge ou si le fournisseur doit appliquer une décision extérieure.

La gouvernance IA commence donc réellement après l’approbation.

Elle suppose de surveiller les conditions, de documenter les dépendances, de tester les alternatives et de conserver la preuve des décisions.

Un outil autorisé n’est pas nécessairement un outil maîtrisé.

Il le devient lorsque l’entreprise sait répondre à quatre questions :

Qui l’utilise ?

De quoi dépend-il ?

Dans quelles conditions peut-il disparaître ?

Comment l’activité continue-t-elle sans lui ?

La question structurante n’est plus : « Avons-nous une liste d’IA approuvées ? »

Elle devient :

Pouvons-nous démontrer que chaque outil présent sur cette liste peut être surveillé, retiré et remplacé sans perdre le contrôle ?

Sources et références

Entreprises et sources primaires

Anthropic — Pays et régions officiellement pris en charge
https://www.anthropic.com/supported-countries

Anthropic — Restrictions applicables aux régions non prises en charge
https://www.anthropic.com/news/updating-restrictions-of-sales-to-unsupported-regions

Réglementation et normes

NIST — Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile
https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf

Union européenne — Règlement DORA, règlement (UE) 2022/2554
https://eur-lex.europa.eu/eli/reg/2022/2554/oj/eng

Union européenne — AI Act, règlement (UE) 2024/1689
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

ISO — ISO 22301, management de la continuité d’activité
https://www.iso.org/standard/75106.html

Médias de référence

Reuters — JPMorgan blocks Anthropic AI access for Hong Kong staff
https://www.reuters.com/business/finance/jpmorgan-chase-cuts-off-anthropic-access-its-hong-kong-staff-ft-reports-2026-06-18/

Financial Times — JPMorgan Chase cuts off Anthropic access for its Hong Kong staff
https://www.ft.com/content/de83d303-6a03-456b-bfb9-7b11dd502ab3

Reuters — Goldman cuts access to Anthropic’s Claude for Hong Kong bankers
https://www.reuters.com/world/china/goldman-sachs-bars-hong-kong-bankers-anthropic-ai-use-ft-reports-2026-04-29/

Analyse complémentaire Svar-IA

Dépendance fournisseur IA : la leçon du cas Anthropic
https://medium.com/@svaria.pro/d%C3%A9pendance-fournisseur-ia-la-le%C3%A7on-du-cas-anthropic-2d23d9e7423b

Retour en haut