Maîtriser l’IA dans le secteur financier : relevons collectivement le défi !

Mesdames et Messieurs,

Je souhaite remercier tout d'abord les organisateurs pour leur invitation à cet événement de place consacré à l'intelligence artificielle (IA) : ils me donnent l'occasion de poursuivre le dialogue que nous entretenons à la Banque de France et à l'ACPR avec les acteurs du secteur financier sur ce sujet majeur pour l'industrie.

Je serai bref sur le constat : l'IA est l'un des moteurs les plus puissants de la transformation actuelle du secteur financier. Son adoption s'est accélérée avec l'arrivée de l'IA générative, qui a rendu plus accessibles - et perceptibles à tous - les opportunités en termes de productivité, d'interaction avec les clients, de gestion de la conformité…etc. En tant que superviseur, mais aussi en tant qu'utilisateur de ces nouvelles technologies, nous mesurons tous les jours la rapidité et le potentiel du phénomène à l'œuvre.

Naturellement, ces technologies peuvent être source de nombreux risques, pour chacun des acteurs du système financier, et pour la stabilité d'ensemble de celui-ci. Il est indispensable de les gérer : la table-ronde qui va suivre nous éclairera sur ces risques et les défis opérationnels qu'ils représentent. Je n'en citerai qu'un, en passant, mais pas le moindre, le risque cyber. Il illustre bien, selon moi, les questions complexes auxquelles nous devons faire face. L'IA est un facteur d'amplification des risques cyber notamment parce qu'elle est utilisée par les attaquants pour augmenter leur efficacité ; l'IA présente aussi des vulnérabilités spécifiques (comme le risque d'empoisonnement des données). À l'inverse, l'IA peut fournir le contrepoison, et améliorer la gestion de la sécurité informatique, par exemple, en aidant à la détection des comportements inhabituels ou de nouvelles menaces. En la matière, une coopération accrue entre data scientists et spécialistes de la cyber-sécurité est nécessaire, pour révéler tout le potentiel de l'IA pour la cybersécurité.

Je voudrais maintenant en venir aux aspects de règlementation et de contrôle, qu'un superviseur a naturellement à l'esprit quand on évoque les opportunités et les risques de l'IA. L'Union Européenne s'est montrée pionnière en la matière, avec le règlement sur l'IA. Celui-ci concernera le secteur financier principalement pour deux cas d'usage : l'évaluation de la solvabilité pour l'octroi de crédit à des personnes physiques, l'évaluation des risques et la tarification en assurance santé et en assurance-vie. L'ACPR devrait être chargée de faire respecter ce règlement, dans le rôle d'autorité de surveillance du marché.

Ce nouveau règlement, et plus largement les enjeux liés à l'IA, suscitent des interrogations légitimes de la part du secteur financier : de quel poids les nouvelles exigences vont-elles peser sur les acteurs ? N'y a-t-il pas un risque de freiner l'innovation au motif de maîtriser les risques ? Sans apporter une réponse d'ensemble à ces questions, je souhaiterais remettre le débat en perspective pour ce qui concerne le secteur financier, avec deux messages simples : i) il n'y pas lieu de s'alarmer, car les risques liés à l'IA peuvent pour l'essentiel être traités dans le cadre des dispositifs existants de maîtrise des risques ; ii) pour autant, il ne faut pas non plus sous-estimer certains défis techniques nouveaux liés à l'IA.

Pour ce qui est de la maîtrise des risques dans le secteur financier, il n'y a pas de révolution copernicienne à attendre du règlement IA.

Les institutions financières disposent d'une solide culture de la maîtrise des risques ainsi que de dispositifs de gouvernance et de contrôle interne. Tout récemment, le règlement DORA est venu compléter le corpus règlementaire traditionnel par des règles spécifiques sur la résilience opérationnelle et la gestion des risques informatiques. Le secteur financier est donc bien outillé pour relever le défi de la conformité au nouveau règlement.

Certes, les objectifs du règlement IA, à savoir la protection des droits fondamentaux, et ceux de la règlementation prudentielle - la stabilité financière, la capacité à respecter les engagements vis-à-vis des clients - diffèrent. Mais, opérationnellement, quand le règlement IA exige pour les « systèmes à haut risque » un processus de gestion des risques, une gouvernance des données, de la traçabilité et de l'auditabilité, des mesures pour garantir la robustesse, l'exactitude et la cyber-sécurité tout au long du cycle de vie, est-on vraiment en terrain inconnu ? Je ne le crois pas.

Je pense au contraire que les principes de saine gestion des risques et de gouvernance en vigueur dans le secteur financier demeurent valables pour le règlement IA. Ils constitueront ainsi la boussole de l'ACPR pour évaluer la conformité des systèmes quand elle sera appelée à exercer son rôle d'autorité de surveillance du marché. Plus précisément, notre vision de cette nouvelle mission peut se résumer par quelques principes : (i) la mise en place d'une « surveillance de marché » au sens du règlement, c'est-à-dire principalement destinée à identifier les systèmes susceptibles de poser des problèmes de conformité ; (ii) une approche basée sur les risques pour garantir la proportionnalité des moyens mis en œuvre aux résultats attendus et (iii) l'utilisation maximale des synergies avec le contrôle prudentiel. C'est, me semble-t-il, la volonté du législateur européen, puisqu'il a confié le rôle « d'autorité de surveillance du marché » aux superviseurs financiers nationaux. C'est aussi le meilleur moyen de ne pas ajouter de la complexité règlementaire, en ces temps où notre objectif commun doit être celui de la simplification.

Naturellement, les principes de bonne gouvernance et de contrôle interne s'appliquent aussi aux algorithmes qui ne seraient pas considérés comme à haut risque par le règlement IA, dès lors qu'ils font peser des risques, par exemple de nature prudentielle, aux organismes concernés : dans ce domaine, l'expérience tirée de la mise en œuvre du règlement IA et les bonnes pratiques qui en résulteront seront précieuses tant pour les superviseurs que pour les organismes contrôlés.

La culture de la maîtrise des risques est, je l'ai dit, un atout. Pour autant, il ne faudrait pas sous-estimer les défis posés par l'utilisation de l'intelligence artificielle.

Certaines questions posées par cette technologie présentent un caractère résolument nouveau. Je prendrai deux exemples.

En premier lieu, l'explicabilité : les algorithmes d'intelligence artificielle - au fur et à mesure des progrès dans ce domaine - sont devenus de plus en plus opaques au point qu'il est souvent difficile, voire impossible, de comprendre et d'expliquer certains résultats proposés par la machine ou d'identifier leurs sources, même si certains outils font un effort pour lutter contre ce défaut. Dans un secteur règlementé comme le secteur financier, cette question est naturellement cruciale et elle se pose à tous les niveaux : il faut que les utilisateurs au quotidien des outils d'intelligence artificielle en comprennent suffisamment le fonctionnement et les limites pour en faire un usage approprié et éviter ces deux écueils : la défiance systématique ou la confiance aveugle dans la machine. Il faut que les contrôleurs qui surveillent le fonctionnement des systèmes d'IA et, surtout, les auditeurs qui les passeront en revue, disposent d'explications techniques et fonctionnelles plus avancées pour juger de leur performance, de leur fiabilité et de leur conformité. Sans oublier le client final qui, s'il est en contact direct avec un algorithme d'IA, a le droit à une explication des ressorts de la décision prise ou de la proposition commerciale qui lui est faite.

Deuxième exemple, l'équité. Dès 2016, le chatbot Tay, devenu « raciste » en quelques heures, nous avait tous sensibilisés à cette question ; les biais repérés plus récemment dans les outils grand public tels que ChatGPT nous le rappellent : l'intelligence artificielle est particulièrement sensible aux biais présents dans les données et elle est susceptible de les renforcer. C'est précisément l'un des objectifs du règlement IA de détecter et prévenir ces biais avant qu'ils ne causent préjudice aux citoyens. Cette question est techniquement complexe car il ne suffit pas d'interdire l'usage de certaines variables protégées pour garantir l'innocuité des algorithmes ; elle l'est d'autant plus dans des activités comme l'octroi de crédit ou la tarification d'assurance, où la segmentation de la clientèle fait partie, dans un contexte concurrentiel, des pratiques normales de conduite des affaires et de gestion des risques.

Les intervenants des tables-rondes qui vont suivre préciseront sans doute comment ils abordent concrètement ces défis. Je me contenterai de faire part d'une conviction. L'un des enjeux, pour ne pas dire l'enjeu principal, est de faire dialoguer et se comprendre des spécialistes venus d'horizons très différents : data scientists, juristes, spécialistes des interactions hommes-machines, auditeurs… J'évoquais tout à l'heure la coopération nécessaire entre data science et cyber-sécurité : vous voyez que le cercle des coopérations à mettre en place est en fait beaucoup plus large !

Pour traiter de ces aspects nouveaux, et pour apporter la preuve que les différentes exigences réglementaires sont respectées, les institutions financières devront donc monter en compétence, en se dotant de nouvelles capacités humaines et techniques. De fait, l'ACPR - en tant qu'autorité de surveillance du marché comme en tant qu'autorité de contrôle prudentiel - s'assurera que la maîtrise des risques est effective. Le respect du règlement IA ne peut évidemment se réduire à une démarche administrative de labellisation interne et le contrôleur ne pourra pas se contenter de « cocher des cases ». Il devra au contraire s'assurer que les algorithmes sont gérés et surveillés par des personnes compétentes qui en comprennent le fonctionnement profond.

Ce qui implique, naturellement, que le superviseur financier lui-même monte en compétences et adapte ses outils et des méthodes. Nous devrons nous doter, sans doute progressivement, d'une doctrine sur les sujets nouveaux, tels que l'explicabilité, sur laquelle l'ACPR a déjà publié dans le passé des éléments de réflexion, ou sur l'équité des algorithmes. Nous devrons aussi développer une méthodologie spécifique pour l'audit des systèmes d'IA.

Cette marche méthodologique, nous ne pouvons et nous ne devons pas la franchir seuls : il s'agira au contraire de construire des synergies avec l'ensemble des autres superviseurs de l'IA, en France et en Europe. Le règlement de l'IA est trans-sectoriel et les superviseurs n'échapperont pas à l'ardente obligation de coopérer sur ce sujet qui mobilise tant d'expertises diverses.

Cet appel à la coopération, je voudrais l'étendre aujourd'hui à l'ensemble du secteur financier. Articulation du règlement IA et des règlementations sectorielles, précisions des attentes, partage de bonnes pratiques, méthodologie d'audit à construire : superviseurs et supervisés, nous partageons de nombreux défis et nous les surmonterons d'autant plus facilement que nous aurons su avancer ensemble. L'ACPR se met aujourd'hui en ordre de marche pour préparer l'échéance de 2026 : comme elle l'a déjà fait dans le passé, elle sollicitera la contribution de l'ensemble de l'écosystème pour co-construire des méthodes pratiques de mise en œuvre - et de contrôle - du règlement IA. C'est pourquoi j'appelle aujourd'hui les entreprises volontaires du secteur financier à se signaler aux équipes de l'ACPR pour participer à nos travaux.

Pour la stabilité du secteur financier, nous devons collectivement maîtriser les usages de l'IA ; ensemble, relevons ce défi ! Je vous remercie pour votre attention.

Télécharger l'intégralité de la publication