Lettre réglementaire | Quel impact de l’IA sur les procédures et la réglementation des banques ?

Le 13 juin 2024 a été adopté le règlement UE 2024/1689¹, dit IA Act, qui établit des normes harmonisées pour l’utilisation de l’intelligence artificielle au sein de l'UE. Outil clé d’innovation, l’IA a notamment vocation à transformer les processus des banques, et à avoir un impact significatif sur son pilotage, avec notamment une complète revue des notations de crédit. L’Intelligence Artificielle est donc porteuse d’opportunités pour les banques, mais aussi de risques, que ce soit en termes de gouvernance, de la bonne utilisation des sources de données (ce qui renferme un risque opérationnel), mais aussi de protection des données personnelles. Cela conduit à la nécessité d’une supervision renforcée, mais également à une correcte intégration dans les processus bancaires. Cet article s’interroge donc sur l’impact opérationnel et l’état des lieux de l’intégration pour les banques de l’IA, ainsi que l’impact sur la supervision et les exigences réglementaires qui en découle.

"La productivité augmenterait de 1,5 point de pourcentage plus rapidement par an si l’IA est largement adoptée au cours de la prochaine décennie. La capacité de l’Europe à réaliser de tels gains de productivité dépendra de notre capacité à améliorer l’environnement de l’innovation et de la diffusion de l’IA.".

Christine Lagarde, présidente de la BCE

Contenu de l’IA Act et gestion des risques

Contenu de l’IA Act et gestion des risques
L’IA Act est entré en vigueur en août 2024, et verra une mise en application progressive jusqu’en aout 2027. Il vise à optimiser le fonctionnement du marché intérieur en mettant en place des règles uniformes pour le développement, la commercialisation, la mise en service et l'utilisation des systèmes d'IA au sein de l'UE. Le règlement vise à la libre circulation des biens et services fondés sur l'IA au sein de l'UE, en garantissant le libre développement, la commercialisation et l’utilisation de systèmes d’IA, sauf autorisation expresse du règlement, et détermine un cadre juridique uniforme en précisant notamment :

• Les systèmes d’IA considérés à risque : le règlement détaille que ces derniers doivent respecter des exigences strictes en matière de gestion des risques, de transparence, de documentation technique, de surveillance humaine, et de robustesse. 
• Les devoirs des fournisseurs et utilisateurs, avec une bonne documentation des usages du système, une mise en conformité préalable à la commercialisation et une bonne gestion des risques côté fournisseur, une application éthique et un signalement de tout disfonctionnement constaté du côté des établissements bancaires
• Une nécessité de transparence auprès du public sur le contenu généré par IA
• Dans quel cas un système d’IA représente un risque systémique au sens large (c’est-à-dire en cas d’impact et d’utilisation élevé), en prenant notamment en compte les paramètres du modèle, l’impact sur le marché, la quantité de données exploitées
• Une supervision dédiée, avec un comité européen de l'intelligence artificielle pour faciliter la coopération entre les autorités nationales dédiées à la surveillance de l’IA, et l’assurance d’une application cohérente du règlement à travers l'Union Européenne. 

En outre, l’interdiction relative aux systèmes d’IA présentant des risques inacceptables est entré en vigueur en février 2025, les règles sur les modèles d‘IA à usage général rentrent en vigueur en août. Les règles sur les systèmes d’IA à risque limité ou minimal entrent en vigueur en 2026, et ceux à haut risque rentreront en vigueur en 2027. La classification des risques d’utilisation de l’IA, de « faible » à « inacceptable »,  entraine pour les établissements des obligations renforcées en termes de gestion des risques, de transparence et de responsabilité des décisions prises pour les systèmes d’IA, et s’inscrit dans la logique de plusieurs réglementations européennes bancaires prônant une meilleure maitrise des risques et une gouvernance plus claire, notamment CRR3-CRD6². L’IA Act s’inscrit donc dans une continuité de maitrise des risques.

Mise en conformité des banques et impact opérationnel

L’industrie bancaire pourrait être particulièrement consommatrice de système d’IA afin d’améliorer son expérience client, ses procédures et ces exigences réglementaires. Les banques utilisent de plus en plus l’IA notamment pour :

• Les services clients (risque limité) :  L'intelligence artificielle personnalise les services bancaires et offre un support client disponible en continu, avec des services de chat IA pour assister à la gestion des comptes.
• La détection de la fraude (risque élevé) : celle-ci reposant notamment sur l'identification des comportements suspects, l’IA aide les établissements à détecter des habitudes inhabituelles susceptibles d’indiquer une fraude.
• La notation de crédit (risque élevé) : l’IA aide à identifier la solvabilité des emprunteurs en utilisant notamment les historiques de crédit, revenus, habitudes de consommation, voire des données comportementales issues des réseaux sociaux ou de l’activité en ligne.

Bien que l’IA facilité ainsi de nombreux processus, le contenu de l’IA Act impose aux banques de mettre en place des systèmes de gouvernance des données robustes, garantissant la transparence, la sécurité, et le respect des droits des utilisateurs. Une mise en conformité pour les banques nécessite donc :

• Une cartographie des systèmes d'IA utilisés: cela implique que les banques soient en mesure de  correctement identifier les fournisseurs de systèmes (développés en interne ou en externe), et de cartographier les procédures opérationnelles concernées.
• Une évaluation et classification des niveaux de risque : Chaque système doit être évalué en fonction de son niveau de risque, qui recouvrera différentes exigences.
• Une mise en conformité des systèmes à haut risque, avec notamment :
  • La mise en place d’un système de gestion des risques.
  • La garantie d’un bon niveau de cybersécurité.
  • Un contrôle humain.
  • Une obligation d'information et de transparence.

Les banques, qui sont en train de se mettre en conformité avec le règlement IA Act, sont dès lors confrontées à de nombreux défis.

Tout d’abord, le coût engendré. En effet, les établissements doivent non seulement investir massivement pour se doter de systèmes IA robustes à même de garantir leur compétitivité, mais également dédier des ressources à la surveillance continue de ces systèmes, avec des audits dédiés. Les établissements doivent également se doter de systèmes robustes pour gérer les risques liés à l’IA. Les principes de l’IA Act en termes de gestion des risques faisant écho à d’autres grandes réglementations bancaires, une bonne gouvernance est nécessaire afin d’éviter de faire doublon. Enfin, l’usage de l’IA implique, au même titre que les risques climatiques depuis quelques années, une acculturation de l’ensemble des parties prenantes de l’établissement pour en maitriser les enjeux.

Vers une supervision toujours plus présente

L’un des points clés du texte est notamment de rendre les ANC responsables de veiller à la correcte utilisation de l’intelligence artificielle. Ainsi, l’ACPR se retrouve chargée de contrôler l'application du règlement sur l'IA dans le secteur financier. Cela nécessite de développer une bonne maîtrise de la technologie, de se doter des compétences adaptées et de créer une méthodologie spécifique pour l'audit des systèmes d'IA.

En outre, le pilotage de l’intelligence artificielle se retrouve dans les priorités 2025 de l’ACPR³. l’ACPR surveillera ainsi les risques opérationnels liés aux applications ayant recours à l’intelligence artificielle ou les risques liés à une qualité des données insuffisante. 

Ainsi l’ACPR est en train de développer un programme d’audit global des algorithmes des systèmes d’IA. Les banques devront dès lors s’attendre à des inspections sur site dans les années à venir pour le contrôle de la correcte exploitation de leurs systèmes d’IA⁴. 

Impacts de l’IA et de sa réglementation

L’utilisation de l’IA reflète plusieurs avantages pour les établissements bancaires, mais qu’en est-il de ses clients ? Si la mise à disposition d’un service en temps réel 24h/24 7j/7 constitue un véritable gain dans l’expérience client, l’utilisation de l’IA dans la décision d’octroi de crédit pourrait accentuer les disparités d’accès au financement. Ainsi, les algorithmes peuvent reproduire ou amplifier des biais présents dans les données historiques utilisées. Par ailleurs, les décisions de financement dépendent également de l’appréciation par les conseillers bancaires de la pertinence du projet concerné, chose que ne peut reproduire l’intelligence artificielle. Une utilisation systématique de tels systèmes en premier filtre pourrait dès lors conduire à des décisions de crédit injustes ou discriminatoires, où certains groupes de personnes se verraient refuser l'accès au crédit de façon systématique. Tout comme le fait d’orienter l’investissement sur seule base de performances historiques sans tenir compte de l’actualité pourrait conduire des consommateurs à placer leur épargne sur des produits inadéquats.

L’IA Act a ainsi vocation, en exigeant de dévoiler la nature du résultat des algorithmes, à corriger ce genre de biais, en reposant sur des pratiques déjà courantes en termes de pilotage des risques. Les établissements bancaires doivent ainsi poursuivre l’utilisation de l’IA tout en maintenant un niveau de conformité adéquat, mais également en anticipant les recommandations de l'entité de surveillance.

Sources

¹Règlement - UE - 2024/1689 - FR - EUR-Lex

²De Bâle III au paquet bancaire (CRR3/CRD6) : un accord final pour renforcer la résilience | ACPR

³L’Autorité de contrôle prudentiel et de résolution présente son programme de travail pour l’année 2025 | ACPR

⁴Gouvernance des algorithmes d’intelligence artificielle dans le secteur financier | Autorité de contrôle prudentiel et de résolution
 

Votre newsletter évolue ! Abonnez vous à Banque Insights pour ne rien rater de la suite de nos publications pour le secteur bancaire.

Rédacteur : 

David CIOLFI - SENIOR MANAGER • CONSULTING - FSI BANQUE