ChatGPT Finances et Super App OpenAI : ce qu’il faut savoir en mai 2026

Le 15 mai 2026, OpenAI a branché ChatGPT Finances sur les comptes bancaires de ses abonnés Pro américains via Plaid.

Plus de 12 000 institutions sont couvertes, en lecture seule des soldes, transactions, investissements et passifs.

La même semaine, Codex passe sur mobile, Hiro est racheté en acqui-hire, le partenariat Intuit est chiffré à plus de 100 millions de dollars.

La question utile n’est pas de savoir si OpenAI bâtit une super app financière, c’est ce qu’il faudrait pour répliquer la pile en Europe sans heurter un mur réglementaire.

Cet article cartographie les annonces, croise DSP2, PSD3, DORA, AI Act et RGPD, et propose un blueprint pour un copilote de trésorerie PME EU-compatible.

Ce qu’OpenAI a annoncé entre Hiro, Codex mobile et ChatGPT Finances

La séquence démarre le 13 avril 2026 avec le rachat de Hiro, startup d’Ethan Bloch ex-Digit.

TechCrunch et Finextra qualifient l’opération d’acqui-hire : montant non divulgué, app fermée le 20 avril, données serveur effacées le 13 mai, équipe Bloch intégrée à OpenAI.

Hiro tournait sur données déclaratives, pas sur connexion bancaire réelle.

Le 14 mai 2026, Codex est devenu disponible sur iOS et Android dans l’application ChatGPT, tous plans inclus.

La connexion au Codex desktop macOS se fait par QR code.

L’audience est passée de 3 à 4 millions d’utilisateurs hebdomadaires en deux semaines, source Neowin.

Le 15 mai 2026, OpenAI a lancé ChatGPT Finances en preview Pro US, web et iOS, via Plaid.

Plus de 12 000 institutions couvertes : Chase, Citi, Schwab, Fidelity, Robinhood, American Express, Capital One, Affirm.

ChatGPT lit balances, transactions, holdings et passifs.

Il ne voit pas les numéros de compte complets et ne peut initier aucun paiement.

Les données synchronisées sont supprimées sous 30 jours après déconnexion.

Le moteur est GPT-5.5, avec un nouveau type de mémoire nommé Financial Memories.

Plus de 200 millions de personnes posent chaque mois des questions de finance personnelle à ChatGPT, et Plaid branche ces conversations sur les flux bancaires réels, source blog Plaid du 15 mai 2026.

OpenAI a aussi confirmé un partenariat Intuit à plus de 100 millions de dollars sur plusieurs années.

TurboTax, Credit Karma, QuickBooks et Mailchimp deviennent des apps actionnables dans ChatGPT, capables de chiffrer l’impact fiscal d’une vente d’actions ou la probabilité d’approbation d’une carte de crédit.

Ces apps ne sont pas encore déployées au grand public à la mi-mai 2026.

La séquence dessine la super app ChatGPT comme système d’exploitation IA : ChatGPT raisonne, Atlas navigue côté macOS, Codex code, Hiro fournit l’angle finance, Intuit branche la fiscalité.

La pile vise un bureau financier intégré, pas un chatbot.

Pourquoi ChatGPT Finances ne peut pas atterrir tel quel en Europe

Le rollout est explicitement US-Pro à la mi-mai 2026.

OpenAI n’a donné aucune date d’extension internationale.

La raison tient à un empilement réglementaire que la presse francophone analyse rarement de manière croisée.

DSP2 et PSD3-PSR : statut AISP obligatoire pour lire un compte

La directive DSP2 (2015/2366) encadre depuis 2018 l’accès aux données bancaires en Europe.

Lire balances et transactions d’un client requiert le statut AISP (Account Information Service Provider), obtenu auprès de l’autorité nationale compétente.

En France, c’est l’ACPR.

L’AISP ne demande pas de capital initial mais impose une assurance responsabilité professionnelle de 5 millions d’euros par sinistre et l’usage de certificats eIDAS (QWAC et QSealC).

La licence vaut ensuite dans toute l’EEE par passporting.

Le PSD3 et le règlement PSR ont obtenu un accord politique le 27 novembre 2025, avec adoption formelle attendue au premier ou deuxième trimestre 2026 et 21 mois de transition.

Le PSR introduit le Verification of Payee obligatoire, la SCA double facteur d’inhérence, et une responsabilité PSP sur les fraudes d’usurpation.

Il interdit explicitement le screen scraping : toute lecture de compte doit passer par l’API XS2A dédiée.

SCA et FAPI : l’agent ne touche jamais le token

L’authentification forte du client s’applique depuis septembre 2019.

Deux facteurs indépendants parmi connaissance, possession et inhérence sont obligatoires pour initier une session bancaire en EEE.

Dans une architecture conforme, le LLM ne voit jamais le token d’accès.

Le profil 2 d’OpenID Financial-grade API (FAPI) sépare le canal d’auth du canal de données : un backend garde les secrets, l’agent reçoit uniquement les champs filtrés.

L’agent IA fait office de comptable junior : il lit vos relevés, alerte sur une dépense anormale, suggère un budget, mais il ne signe pas un chèque à votre place.

C’est la frontière AIS contre PIS.

DORA depuis janvier 2025 : OpenAI devient sous-traitant TIC critique

Le Digital Operational Resilience Act s’applique depuis le 17 janvier 2025 aux institutions financières de l’UE.

DORA encadre les contrats avec les fournisseurs de TIC tiers, LLM externes inclus.

Une banque qui brancherait son SI sur ChatGPT verrait OpenAI requalifié en prestataire critique : audits annuels, droit de regard des superviseurs, plans de sortie, tests de résilience.

Le rapport Accenture Banking Top Trends 2026 pointe le triangle DORA, PSD3, AI Act comme le nouveau centre de gravité de la conformité bancaire.

L’audit trail hash-chaîné fonctionne comme une chaîne de garde judiciaire : chaque action de l’agent est signée, horodatée, irréversible, et c’est ce que DORA exige sans le formuler dans ces mots.

AI Act Annexe III : scoring crédit haut risque, deadline repoussée

L’Annexe III point 5(b) de l’AI Act classe tout système IA destiné à évaluer la solvabilité ou à établir un score de crédit comme haut risque.

L’EBA a confirmé en novembre 2025 que l’AI Act se cumule avec CRD, CRR, CCD, MCD et PSD sans contradiction directe.

Le déployeur déclenche automatiquement l’Article 27 FRIA et la cascade Article 26.

L’accord trilogue du Digital Omnibus signé le 7 mai 2026 a repoussé les obligations Annexe III du 2 août 2026 au 2 décembre 2027, soit 16 mois de marge.

L’Article 50 transparence et l’Article 55 GPAI à risque systémique restent au 2 août 2026.

Anthem Creation a documenté ce cadre dans son analyse de la régulation de l’IA en France via l’AI Act et la CNIL.

RGPD et transferts transatlantiques de données bancaires

Le RGPD impose une base légale et un encadrement des transferts vers les États-Unis.

L’arrêt SCHUFA (CJUE C-634/21) a jugé que le scoring crédit constitue une décision automatisée individuelle au sens de l’article 22 RGPD, même quand un humain valide ex post.

Le droit à explication interlock avec l’AI Act Article 26 paragraphe 11.

Les amendes RGPD plafonnent à 4 % du chiffre d’affaires mondial.

Ce que font déjà les acteurs européens

L’Europe n’a pas attendu OpenAI pour mettre des assistants IA bancaires en production.

Revolut a lancé son Money Intelligence AI Assistant en 2025, intégré directement dans son application mobile, avec accès aux flux de comptes Revolut sous licence.

N26 utilise l’IA pour la détection de fraude et la catégorisation.

Société Générale documente publiquement son approche IA pour clients et employés.

Crédit Mutuel Alliance Fédérale a accéléré le déploiement d’IA générative en partenariat avec IBM watsonx en 2024.

BNP Paribas s’est appuyé sur Kantox pour l’automatisation des opérations de change.

Le rapport Oliver Wyman d’avril 2026 donne la mesure du marché : 40 % des clients européens se disent ouverts au conseil financier généré par IA, et 38 % prêts à déléguer l’exécution.

Le marché est mûr.

Ce qui manque, c’est l’orchestration entre couche bancaire régulée et couche conversationnelle IA grand public.

• Revolut Money Intelligence : assistant intégré, comptes natifs, expérience verticale.
• N26 fraud AI : back-end, peu exposé en surface utilisateur.
• Société Générale : approche IA cadrée, conseil clients et productivité interne.
• Crédit Mutuel watsonx : agents internes avant déploiement client.
• BNP Paribas Kantox : automatisation FX, pas conversationnel grand public.

Blueprint d’un copilote de trésorerie PME compatible Europe

Plutôt que d’attendre qu’OpenAI ouvre ChatGPT Finances en France, un studio IA peut bâtir aujourd’hui un copilote de trésorerie PME avec des briques EU-compatibles.

L’architecture tient en quatre couches, chacune choisie pour passer DSP2, DORA et AI Act.

Couche données : choisir un agrégateur AISP licencié

Trois agrégateurs AISP couvrent la majorité du marché EEE.

Tink est filiale de Visa, large couverture et tarification orientée enterprise.

Powens propose une offre orientée fintech française avec une connectivité solide sur les banques tier 2 et tier 3.

GoCardless combine open banking et prélèvement SEPA via son produit Bank Account Data.

Brancher l’un de ces middleware évite de demander sa propre licence ACPR : la responsabilité AISP reste chez l’agrégateur, qui expose une API standardisée au studio.

Couche orchestration : agents spécialisés et audit trail hash-chaîné

Un copilote de trésorerie n’a pas besoin d’un LLM monolithique.

Un agent prévision, un agent alerte, un agent reporting et un agent recommandation cadrent mieux la responsabilité métier qu’un prompt unique.

Chaque appel produit une trace journalisée, hashée et chaînée.

La référence FinQub décrit ce pattern d’orchestration fintech : chaîne de garde par hash, signature horodatée, archivage immuable.

Ce niveau de journalisation préfigure ce que DORA exigera des superviseurs en cas d’audit.

Couche IA : LLM généraliste ou FinGPT et FinRobot self-hosted

Deux options coexistent pour le moteur de raisonnement.

Le LLM généraliste hébergé en Europe (Mistral, Claude via Bedrock UE) couvre la conversation, à condition d’isoler le token bancaire dans un backend FAPI.

L’alternative open source est la stack AI4Finance Foundation : FinGPT pour la compréhension financière, FinRobot pour l’agentique multi-tâche, agentic-tlm pour la gestion de portefeuille.

Ce choix devient pertinent pour les acteurs souverains, les banques mutualistes, les fintech qui veulent garder le modèle on-premise.

Garde-fous : lecture vs écriture, co-signature humaine, journalisation

Quatre garde-fous tiennent l’ensemble.

La séparation lecture-écriture est non négociable : le copilote lit via AISP, jamais en initiation paiement.

La co-signature humaine s’impose sur tout virement, tout engagement contractuel, tout reporting fiscal.

La journalisation hash-chaînée nourrit l’audit DORA.

Les explications côté article 22 RGPD et article 26 AI Act doivent être générées pour chaque recommandation susceptible d’influencer une décision de crédit.

Pour un studio IA francophone : où se positionner

La chaîne de valeur d’un copilote bancaire IA compte cinq maillons : licence AISP, agrégation data, orchestration agents, modèle IA, expérience utilisateur.

Un studio francophone n’a aucun intérêt à se battre frontalement avec OpenAI sur le modèle, ni avec Tink sur la licence.

Le milieu de chaîne est l’espace exploitable.

Trois positionnements valent la peine.

Premier positionnement, l’intégrateur métier : connecter Powens, FinGPT et un client (cabinet expert-comptable, ETI, association) avec un agent spécialisé.

Marge typique : 30 à 50 % sur le coût d’intégration.

Deuxième positionnement, l’orchestrateur de garde-fous : vendre la brique FRIA, le hash-chain audit, la journalisation explicable comme service à des fintech qui veulent passer DORA sans construire le module en interne.

Troisième positionnement, le vertical sectoriel : trésorerie associative, trésorerie syndic de copropriété, trésorerie restaurants, où le LLM généraliste est mal calibré.

OpenAI a déjà ouvert la voie côté pricing avec ses agents OpenAI Workspace tarifés au crédit.

La grille à l’usage va devenir la norme : les studios qui pricent au siège ou au projet basculeront sur un modèle hybride, abonnement plus crédit.

Mieux vaut anticiper que subir.

Le piège est de chercher à concurrencer ChatGPT Finances sur son terrain, alors que le studio gagne quand il intègre la pile EU-régulée que ChatGPT Finances ne peut pas servir.

Le copilote bancaire EU n’est qu’un cas d’usage parmi d’autres d’une thèse plus large : l’agent IA gagne au contact des contraintes métier, pas dans l’abstraction générale.

La fenêtre 2026-2027 est ouverte avant que les grandes banques européennes ne déploient leurs propres assistants natifs intégrés.

FAQ

Que contient exactement la preview ChatGPT Finances lancée le 15 mai 2026 ?

La preview est réservée aux abonnés ChatGPT Pro aux États-Unis, sur web et iOS.

Elle permet de connecter via Plaid des comptes bancaires, cartes et portefeuilles d’investissement parmi plus de 12 000 institutions, en lecture seule.

Pourquoi le rachat de Hiro est-il un acqui-hire et pas une acquisition de produit ?

Hiro fonctionnait sur données déclaratives saisies par l’utilisateur, sans connexion bancaire réelle.

OpenAI voulait l’équipe d’Ethan Bloch ex-Digit, pas la stack technique : l’app a été fermée le 20 avril et les données serveur effacées le 13 mai 2026.

Quelle est la différence concrète entre AISP et PISP ?

L’AISP lit les informations de compte sans pouvoir initier de paiement, tandis que le PISP initie des paiements pour le compte de l’utilisateur.

ChatGPT Finances tomberait du côté AISP en Europe et devrait obtenir cette licence ou passer par un agrégateur licencié.

Pourquoi DORA complique-t-il le déploiement d’IA externe en banque européenne ?

DORA, applicable depuis le 17 janvier 2025, encadre les contrats avec les sous-traitants TIC critiques.

Un LLM externe utilisé en production bancaire entre dans ce périmètre : audits, droit de regard des superviseurs, plans de sortie et tests de résilience deviennent contractuels.

Quand un copilote IA bancaire bascule-t-il en haut risque AI Act ?

Dès que l’IA évalue la solvabilité ou établit un score de crédit pour une personne physique, l’Annexe III point 5(b) s’applique et active l’Article 27 FRIA automatique.

L’échéance a été repoussée au 2 décembre 2027 par le Digital Omnibus du 7 mai 2026.

Existe-t-il déjà un équivalent européen de ChatGPT Finances en grand public ?

Revolut Money Intelligence est le plus avancé sur le segment B2C natif.

Société Générale, Crédit Mutuel via watsonx, BNP Paribas via Kantox déploient des assistants IA en interne ou sur un périmètre vertical, sans concurrence frontale avec un assistant généraliste type ChatGPT.

Quels agrégateurs open banking évitent de demander sa propre licence ACPR ?

Tink (Visa), Powens et GoCardless sont licenciés AISP et exposent des API standardisées sur l’EEE.

Un studio peut bâtir un copilote sans déposer de dossier ACPR, à condition de rester strictement en lecture seule.

Comment isoler le LLM du token bancaire ?

Le profil 2 d’OpenID Financial-grade API (FAPI) sépare le canal d’authentification du canal de données.

Le backend technique garde le token, l’agent IA reçoit uniquement les champs filtrés, et les logs hash-chaînés tracent chaque accès.

Que contient le partenariat OpenAI-Intuit annoncé ?

Plus de 100 millions de dollars sur plusieurs années couvrant TurboTax, Credit Karma, QuickBooks et Mailchimp dans ChatGPT, avec analyses fiscales et probabilité d’approbation de carte.

Le déploiement grand public n’a pas encore eu lieu à la mi-mai 2026.

Quelle est la position des grandes banques françaises ?

BNP Paribas, Société Générale et Crédit Mutuel investissent l’IA générative en interne, surtout sur la productivité collaborateurs et la détection de fraude.

Aucune n’a ouvert l’accès de ses comptes clients à un assistant IA tiers généraliste, et le mouvement est attendu sur les fintech challengers avant les acteurs systémiques.