Mettre en œuvre une surveillance efficace de l’IA dans le secteur financier

La règlementation du secteur financier est neutre technologiquement : les objectifs qu’elle énonce – en particulier la bonne maîtrise des risques et, plus largement, la préservation de la stabilité financière – s’appliquent quels que soient les outils concrètement utilisés par les établissements pour mettre en œuvre leurs processus. C’est donc naturellement que la règlementation bancaire et assurantielle s’applique aux algorithmes d’IA du secteur financier, même si, en pratique, ils sont aujourd’hui peu surveillés.

Ainsi, en matière de résilience opérationnelle numérique, le paquet « DORA » du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur³, les orientations de l’Autorité bancaire européenne (ABE) de 2019 sur les risques de technologie de l’information et de la communication (TIC)⁴ et la notice de l’ACPR relative à la gestion du risque informatique de 2021 permettent d’encadrer le risque cyber lié à l’IA.

En matière prudentielle, le règlement CRR⁵et la directive CRD⁶, dans le domaine bancaire, ainsi que la directive Solvabilité II⁷, pour l’assurance, permettent de prendre en compte les risques liés à l’IA dans les calculs de modèles internes et les ratios prudentiels. Ces textes traitent les risques informatiques tels que les risques liés à l’IA comme des risques opérationnels, dont la gestion peut avoir un impact sur les fonds propres des établissements⁸.

Au contraire, le Règlement IA (RIA) affiche un objectif bien différent : concilier la protection de la santé, de la sécurité et des droits fondamentaux des citoyens européens avec le développement d’un marché européen de l’« IA de confiance ». En outre, contrairement aux réglementations spécifiques du secteur financier, qui portent sur les établissements, leur activité, leur fonctionnement et leur organisation, ce nouveau règlement est bâti sur une logique de sécurité des produits, et constitue un texte « horizontal », posant des principes valables pour l’ensemble des secteurs économiques et des services publics. Il concernera le secteur financier principalement pour deux cas d’usage à « haut risque » : l’évaluation de la solvabilité pour l’octroi de crédit à des personnes physiques, et l’évaluation des risques et la tarification en assurance santé et en assurance-vie. L’ACPR devrait se voir confier un rôle d’autorité de surveillance du marché, chargée de veiller à la surveillance des systèmes à haut risque du secteur financier.

La coexistence de deux ensembles de réglementation dont les objectifs et la présentation diffèrent largement pose naturellement la question de l’articulation juridique et pratique entre ces deux ensembles.

1.2 L’encadrement « horizontal » des systèmes d’IA, introduit par le Règlement IA, nécessite une articulation avec les textes déjà en vigueur

La première conséquence vraisemblable de l’adoption du Règlement IA est que les autorités de supervision devront veiller à la conciliation entre les droits et libertés fondamentaux et le respect des exigences prudentielles des entreprises pour la préservation de la stabilité financière. Ces différentes perspectives peuvent en effet amener à des évaluations différenciées des risques. Sur ce point, l’ACPR concilie déjà différents objectifs au titre de ses missions prudentielles, de protection de la clientèle et de LCB-FT.

En outre, la mise en œuvre du Règlement IA nécessite de trouver une articulation, au sens strict, entre cette nouvelle règlementation « horizontale » et les règles sectorielles (« verticales ») existantes, et ce alors que cette articulation n’est pas explicitement prévue par le Règlement IA, en dehors de certaines dispositions spécifiques aux institutions financières, avec notamment l’intégration de certaines exigences dans les processus existants de contrôle interne⁹. Ce travail de cartographie des exigences respectives de la règlementation sectorielle et du Règlement IA a commencé, au sein des Autorités européennes de supervision, en particulier l’ABE (Autorité Bancaire Européenne) et l’AEAPP (Autorité européenne des assurances et des pensions professionnelles)¹⁰. Ces travaux ne sont pas achevés, mais les premiers résultats tendent pour l’heure à souligner la grande proximité entre les principes applicables aux systèmes d’IA en vertu de la réglementation sectorielle et les exigences du règlement IA – même si les objectifs affichés et la présentation diffèrent¹¹.

La comparaison des deux ensembles de règlementation tend également à souligner que le champ des systèmes à « haut risque » dans le Règlement IA est assez restreint dans le secteur financier. De nombreux domaines ne sont ainsi pas concernés par ce texte, quand bien même l’utilisation de systèmes d’IA pourrait poser des risques significatifs pour le système financier dans son ensemble (systèmes de trading automatisé par exemple), pour les différentes entités financières (octroi de crédit aux entreprises, LCB-FT, lutte contre la fraude etc.) ou encore pour la clientèle (assurance habitation, assurance automobile etc.). L’ACPR a ainsi vocation à surveiller un ensemble de systèmes d’IA plus vaste que celui des « hauts risques » du Règlement IA.

De ce point de vue, le relatif alignement des exigences découlant du Règlement IA et de la règlementation spécifique du secteur financier devrait permettre de constituer une activité de surveillance des systèmes d’IA relativement unifiée, et par conséquent plus aisée à mettre en oeuvre. L’ACPR s’appuiera sur deux principes d’organisation pour contribuer à cette unification : d’abord, une approche basée sur les risques, visant à garantir la proportionnalité des moyens mis en œuvre aux résultats attendus ; ensuite, l’utilisation maximale des synergies avec les activités habituelles de contrôle de l’autorité. Ce dernier point correspond à la volonté du législateur européen, qui a souhaité confier le rôle « d’autorité de surveillance du marché » aux superviseurs financiers nationaux. C’est aussi le meilleur moyen de ne pas ajouter de la complexité règlementaire, en ces temps où l’objectif commun de tous les acteurs doit être celui de la simplification.

2. Surveillance de l’IA : la préparation opérationnelle de l’ACPR

2.1 L’évaluation des systèmes d’IA présente des questions nouvelles pour les autorités de supervision

Dans la perspective des nouvelles activités de surveillance des systèmes d’IA qui découleront du Règlement IA comme de la réglementation sectorielle, l’ACPR s’est dotée d’une Task force interne, réunissant l’ensemble de ses métiers, qui a été chargée de travailler à la préparation de l’autorité sur au moins quatre grands sujets (aspects juridiques, organisation interne, coopération européenne et nationale, audit). L’un des enjeux majeurs de ce travail de préparation consiste à développer une méthodologie pour l’évaluation des systèmes d’IA du secteur financier. Cette méthodologie devra permettre d’évaluer la gouvernance d’un système d’IA, mais aussi certaines caractéristiques du système lui-même, comme sa performance, sa robustesse, ou encore sa cyber-sécurité. Certains de ces éléments apparaissent relativement classiques dans un secteur dont nombre de processus reposent, de longue date, sur des modélisations, même s’ils pourraient faire appel à des techniques nouvelles. D’autres dimensions présentent en revanche un caractère résolument nouveau.

Deux exemples illustrent bien cet aspect. Le premier c’est l’explicabilité : au fur et à mesure des progrès dans le domaine, les algorithmes d’IA sont devenus de plus en plus opaques, au point qu’il est souvent difficile, voire impossible, de comprendre et d’expliquer certains résultats proposés par la machine ou d’identifier leurs sources – même si certains outils et dispositifs proposent des solutions pour lutter contre ce défaut. Dans le secteur financier, cette question est naturellement cruciale et elle se pose à tous les niveaux : il faut en effet que les utilisateurs au quotidien des systèmes d’IA, dans les établissements, en comprennent suffisamment le fonctionnement et les limites pour en faire un usage approprié et éviter les deux écueils symétriques que sont la défiance systématique et la confiance aveugle dans la machine. Il faut que les contrôleurs qui surveillent le fonctionnement des systèmes d’IA et, surtout, les auditeurs qui les passeront en revue, disposent d’explications techniques et fonctionnelles plus avancées pour juger de leur performance, de leur fiabilité et de leur conformité. Il faut enfin assurer au client final – en contact direct avec un algorithme d’IA – le droit à une explication de la décision prise ou de la proposition commerciale qui lui est faite.

L’équité constitue un autre exemple important. L’IA est particulièrement sensible aux biais présents dans les données, et les modèles sont susceptibles de les renforcer. C’est précisément l’un des objectifs du Règlement IA de détecter et prévenir ces biais avant qu’ils ne causent préjudice aux citoyens. Cette question est toutefois techniquement complexe, car il ne suffit pas d’interdire l’usage de certaines variables protégées pour garantir l’innocuité des algorithmes. Elle l’est d’autant plus dans des activités comme l’octroi de crédit ou la tarification en assurance, où la segmentation de la clientèle fait partie, dans un contexte concurrentiel, des pratiques normales de conduite des affaires et de gestion des risques.

2.2 Pour faire face à ces nouveaux enjeux, l’ACPR va devoir monter en compétence et adapter ses méthodes

Pour traiter de ces aspects nouveaux, le superviseur financier devra monter en compétences et adapter ses outils et ses méthodes. L’ACPR avait déjà publié, par le passé, des éléments de réflexion¹² , mais elle devra progressivement se doter d’une véritable doctrine sur les sujets nouveaux, afin notamment de préciser ses principales attentes au secteur financier.

De fait, l’ACPR entend s’assurer que la maîtrise des risques liés à l’IA est effective : le respect du Règlement IA ou de la règlementation financière ne peut évidemment se réduire à une démarche administrative de labellisation interne, et les établissements ne pourront pas se contenter de « cocher des cases » ; ils devront au contraire s’assurer que les algorithmes sont gérés et surveillés par des personnes compétentes qui en comprennent le fonctionnement profond.

Pour franchir cette marche méthodologique, l’ACPR – comme d’ailleurs le secteur financier – aura probablement besoin d’appuis extérieurs. Dans le cadre du Règlement IA, l’État devrait ainsi mettre en place un « Socle de compétences techniques mutualisées » pour aider les autorités de surveillance du marché dans leurs missions d’évaluation des systèmes d’IA, en particulier pour traiter certaines questions méthodologiques de pointe¹³. De même, les autorités de supervision pourront utilement nouer diverses formes de partenariats avec des instituts de recherche spécialisés dans l’IA¹⁴. Enfin, le recours aux compétences des prestataires privés spécialisés dans les activités de conformité (« RegTech » pour regulatory technology) pourrait aussi se révéler nécessaire.

Plus généralement, l’ACPR entend construire des synergies avec l’ensemble des autres superviseurs de l’IA, en France et en Europe. Les superviseurs n’échapperont pas à l’ardente obligation de coopérer sur ce sujet qui mobilise tant d’expertises diverses, et dont l’un des enjeux est précisément de faire dialoguer et se comprendre des spécialistes venus d’horizons très différents : data scientists, juristes, spécialistes des interactions hommes-machines, informaticiens, auditeurs… Par ailleurs, comme elle l’a fait par le passé, l’ACPR sollicitera la contribution du secteur financier pour co-construire, autant que possible, des méthodes pratiques d’évaluation et de mise en œuvre des exigences liées à l’IA. En effet, superviseurs et supervisés partagent de nombreux défis et ils les surmonteront d’autant plus facilement qu’ils les aborderont dans la concertation.

2.3 L’ACPR utilise par ailleurs déjà l’IA pour ses besoins propres

En modifiant profondément les modalités d’interaction avec l’information, les technologies d’IA offrent aux autorités de supervision des leviers inédits pour renforcer l’efficacité, la réactivité et la granularité de leurs contrôles. L’ACPR, à l’instar d’autres autorités européennes et internationales, s’est engagée depuis plusieurs années dans une démarche proactive d’innovation technologique, connue sous le nom de « SupTech » (supervisory technology). Elle s’inscrit dans un mouvement plus large, porté notamment par le Mécanisme de Supervision unique (MSU) adossé à la Banque centrale européenne (BCE), qui a défini une feuille de route SupTech dès 2020, et par le réseau des centres d’innovation de la Banque des règlements internationaux (BRI).

Cette stratégie repose sur une conviction forte : l’innovation technologique ne doit pas être subie, mais intégrée de manière maîtrisée dans les pratiques de supervision. Cette démarche doit ainsi permettre à l’ACPR de continuer à assurer ses missions efficacement, en faisant à la fois plus et mieux. L’IA peut évidemment permettre de gagner en efficacité, en automatisant davantage. Mais l’ACPR souhaite aussi offrir de nouvelles capacités aux agents.

L’ACPR a ainsi structuré, dès 2018, un programme d’expérimentation visant à doter ses équipes de nouveaux outils numériques. Cette démarche a progressivement permis à l’ACPR de développer une série d’outils concrets, répondant à des besoins opérationnels variés : traduction automatique de documents techniques, transcription de conversations téléphoniques, analyse de publicités, pré-analyse de rapports réglementaires, etc. Ces outils ont été conçus en étroite collaboration avec les métiers, afin d’assurer leur pertinence, leur ergonomie et leur compatibilité avec les systèmes d’information existants. L’outil « LUCIA », par exemple, permet à l’ACPR, au cours de ses contrôles sur place, d’évaluer la performance et la pertinence des modèles de LCB-FT développés par les banques, en analysant de larges volumes d’opérations bancaires.

L’arrivée de l’IA générative, et en particulier des « grands modèles de langage » (LLM), a marqué une nouvelle étape. Ces modèles permettent d’interagir en langage naturel avec des corpus complexes, de générer des synthèses, de détecter des incohérences ou encore de transformer du texte en code. Pour évaluer leur potentiel, l’ACPR a organisé, en février 2024, un « Tech Sprint » associant des data scientists externes à des spécialistes des métiers du contrôle. Les résultats ont été particulièrement prometteurs : les prototypes ont démontré la capacité des LLM à effectuer des recherches avancées dans des bases documentaires, à produire des résumés intelligents de rapports, à pré-contrôler la conformité de documents réglementaires, ou encore à générer automatiquement des visualisations à partir de données brutes.

Ces expérimentations ont permis de mieux cerner les apports, mais aussi les limites de ces technologies. Elles ont mis en lumière la nécessité d’un encadrement rigoureux : traçabilité des résultats, explicabilité des raisonnements, maîtrise des biais, sécurité des données. Elles soulèvent également des questions plus fondamentales sur l’évolution des métiers du contrôle : quelle part de l’analyse confier aux machines et quelle part confier aux humains ? Comment les LLM transformeront-ils notre relation à l’information et au reporting ? De fait, l’IA s’apprête peut-être à transformer profondément la manière d’organiser et d’exercer l’ensemble des activités de la supervision financière.

***

L’ACPR se trouve aujourd’hui à un carrefour : elle doit construire un cadre de surveillance cohérent, proportionné et efficace des risques liés à l’utilisation de l’IA dans le secteur financier, mais aussi adapter ses outils pour utiliser au mieux les avancées technologiques permises par l’IA. Ces objectifs ne sont nullement contradictoires : utiliser l’IA pour ses propres besoins permet au superviseur d’acquérir progressivement une bonne maîtrise de la technologie, et constitue une manière très efficace d’en appréhender correctement les bénéfices et les risques. L’IA devient ainsi un levier stratégique, que le superviseur doit maîtriser pour garantir stabilité, confiance et innovation responsable.