Les fondations d’une IA de confiance dans le secteur financier

Mesdames et Messieurs,

Je voudrais tout d’abord remercier les organisateurs pour leur invitation à ouvrir cet événement consacré à la stratégie de la place de Paris en matière d’intelligence artificielle (IA) : à quelques jours du sommet international pour l’action sur l’IA, ils me donnent l’occasion de réaffirmer la volonté que nous avons, à la Banque de France et à l’ACPR, d’agir sur ce sujet majeur pour l’industrie – et d’agir en concertation avec les acteurs du secteur financier. Ce sommet sera d’ailleurs l’occasion pour la Banque de France de réaffirmer son engagement en organisant en side event le 11 février prochain une table ronde sur l’IA éthique et inclusive.

L’IA est – je ne vous apprends rien – de plus en plus utilisée dans le secteur financier, qu’il s’agisse par exemple d’évaluer le risque de crédit, de fixer les tarifs d'assurance ou d’estimer la volatilité des actifs. Pour un superviseur, son impact est potentiellement ambivalent : l’IA est en effet source d’opportunités pour le secteur, y compris pour son superviseur, mais elle constitue aussi un nouveau vecteur de risques. Cet impact ambivalent contribue à justifier l’encadrement réglementaire qui vient d’être engagé en Europe. 

En adoptant à l’été 2024 le règlement sur l’IA, l’Union européenne s’est montrée pionnière. Ce texte suscite néanmoins des interrogations légitimes de la part du secteur financier, en particulier : n’y a-t-il pas un risque de freiner l’innovation au motif de maîtriser les risques ? Je voudrais affirmer devant vous une conviction forte, qui peut paraître iconoclaste dans le contexte actuel : la réglementation des risques liés à l’IA constitue à long terme un atout pour la compétitivité de l’Europe et de la France. Sans réglementation, en effet, pas de confiance, et donc pas d’innovation viable dans la durée.

Dans mes remarques, ce matin, pour introduire votre conférence, en me plaçant du point de vue du superviseur, j’aborderai donc successivement les opportunités et les risques (I), puis les conditions d’une régulation efficace de l’IA pour le secteur financier (II).

I/ Pour mettre les choses dans la bonne perspective, je voudrais rappeler un premier constat : l’IA, couplée à l’abondance des données disponibles, est un puissant moteur de transformation du secteur financier.

1/ Nos observations montrent que l’IA est utilisée de façon croissante par les institutions financières, dans tous les segments de la chaine de valeur : i) amélioration de l’« expérience utilisateur », ii) automatisation et optimisation de processus internes, iii) maîtrise des risques, notamment dans la lutte contre la fraude ou contre le blanchiment et le financement du terrorisme (LCB-FT). 

L’arrivée de l’IA générative, depuis maintenant deux ans, conduit à une révolution de l’accessibilité des technologies d’IA, puisque la possibilité d’interagir en langage naturel avec des algorithmes – via les grands modèles de langage (large language models ou LLM) – facilite considérablement leur adoption. L’IA générative accélère aussi la dynamique de l’innovation au sein des entreprises, en démocratisant l’écriture de code informatique. 

Bien maîtrisée, l’IA peut donc accroître l’efficacité des institutions financières, contribuer à augmenter leurs revenus et leur offrir des solutions de maîtrise des risques.

2/ Pour autant, la médaille a un revers, et la puissance des solutions développées s’accompagne de risques significatifs, pour chacun des acteurs du système financier, et pour la stabilité d’ensemble de celui-ci. Je voudrais évoquer ici trois d’entre eux. 

D’abord, le risque de mauvaise utilisation de ces technologies. La complexité et la nouveauté de certaines modélisations peuvent en effet donner lieu à davantage d’erreurs, soit dans la conception soit dans l’utilisation des systèmes. Il s’agit d’un risque pour la clientèle, mais aussi pour la santé financière des établissements, car un modèle mal calibré pourrait engendrer des pertes systématiques. Deux éléments renforcent ces risques. D’abord, l’ajustement en temps réel des paramètres de certains modèles, qui fait leur force, peut aussi se traduire par une dérive rapide. Ensuite, certains systèmes d’IA sont particulièrement opaques, générant un phénomène de « boîte noire ». 

Le deuxième risque que je veux souligner, c’est le risque cyber : il est devenu au cours des dernières années le premier risque opérationnel dans le secteur financier. Or l’IA est un facteur d’amplification de ce risque, à la fois parce qu’elle accroît la dangerosité des attaquants et parce qu’elle constitue un nouveau champ de vulnérabilité. À l’inverse, il faut noter que l’IA peut aussi être une alliée de la sécurité informatique, par exemple en aidant à la détection des comportements inhabituels.

Je voudrais enfin évoquer un troisième risque, qui pourrait devenir de plus en plus prégnant à l’avenir : le risque environnemental. Faute de données fiables fournies par les entreprises, et faute d’un mode de calcul communément accepté, ce risque fait encore l’objet de quantifications très variables. Il apparaît clair, toutefois, que l’entraînement des modèles d’IA générative les plus récents constitue un processus très gourmand en énergie… et que, si les tendances actuelles se poursuivent, leur utilisation régulière par des milliards de clients le sera encore plus. Ces éléments invitent naturellement à un usage plutôt frugal de l’IA, c’est-à-dire, en premier lieu, à n’utiliser les systèmes d’IA que lorsque cela est nécessaire.

II/ Je voudrais maintenant en venir aux aspects de régulation, de règlementation et de contrôle, et en premier lieu au règlement européen sur l’IA. Celui-ci concernera le secteur financier principalement pour deux cas d’usage : l’évaluation de la solvabilité pour l’octroi de crédit à des personnes physiques, et l’évaluation des risques et la tarification en assurance santé et en assurance-vie. Ce texte produira l’essentiel de ses effets à compter d’août 2026, et l’ACPR devrait être chargée de veiller à sa bonne application, en tant qu’autorité de surveillance du marché. 

Dans cette perspective, je souhaite ce matin partager avec vous deux messages simples : i) les risques liés à l’IA peuvent pour l’essentiel être traités dans le cadre des dispositifs existants de maîtrise des risques ; ii) pour autant, il ne faut pas sous-estimer certains défis techniques nouveaux liés à l’IA.

1/ Le règlement IA ne va pas conduire à un bouleversement dans la manière de gérer les risques dans le secteur financier.

Les institutions financières disposent en effet d’une solide culture de la maîtrise des risques ainsi que de dispositifs de gouvernance et de contrôle interne. Le règlement DORA, qui vient d’entrer en application, complète le corpus règlementaire traditionnel par des règles spécifiques sur la résilience opérationnelle et la gestion des risques informatiques. Le secteur financier est donc bien outillé pour relever le défi de la conformité au nouveau règlement.

Certes, les objectifs du règlement IA, et au premier chef la protection des droits fondamentaux, et ceux de la règlementation sectorielle – la stabilité financière, la capacité à respecter les engagements vis-à-vis des clients – diffèrent. Mais, opérationnellement, quand le règlement IA exige pour les « systèmes à haut risque » un dispositif de gouvernance des données, de la traçabilité et de l’auditabilité, ou encore des garanties de robustesse, d’exactitude et de cyber-sécurité tout au long du cycle de vie, nous ne sommes clairement pas en terrain inconnu.

Au contraire, je souhaiterais redire ici que les principes habituels de saine gestion des risques et de gouvernance demeurent valables pour se conformer au règlement IA. Ils constitueront donc naturellement la boussole de l’ACPR pour évaluer la conformité des systèmes lorsqu’elle sera appelée à exercer son rôle d’autorité de surveillance du marché. Plus précisément, notre vision de la mise en oeuvre de cette nouvelle mission reposera sur trois principes simples : (i) la mise en place d’une « surveillance de marché » au sens du règlement, c’est-à-dire principalement destinée à identifier les systèmes susceptibles de poser des problèmes de conformité ; (ii) la définition de priorités de supervision fondée sur une approche basée sur les risques pour garantir la proportionnalité des moyens mis en œuvre aux résultats attendus et (iii) l’utilisation de toutes les synergies possibles avec le contrôle prudentiel. C’est, me semble-t-il, la volonté du législateur européen, puisqu’il a confié le rôle « d’autorité de surveillance du marché » aux superviseurs financiers nationaux. C’est aussi le meilleur moyen de ne pas ajouter de la complexité règlementaire, en ces temps où notre objectif commun doit être celui de la simplification.

Naturellement, les principes de bonne gouvernance et de contrôle interne s’appliquent aussi aux algorithmes qui ne sont pas considérés comme à haut risque par le règlement IA, dès lors qu’ils font peser des risques aux organismes concernés – pensons par exemple à l’utilisation de systèmes d’IA dans les activités de marché. Dans ce domaine, l’expérience tirée de la mise en œuvre du règlement IA et les bonnes pratiques qui en résulteront seront précieuses, tant pour les superviseurs que pour les organismes contrôlés.

2/ Pour autant, il ne faut pas sous-estimer les défis posés par l’utilisation de l’IA.

Certaines questions posées par cette technologie présentent un caractère résolument nouveau. Je prendrai deux exemples. D’abord l’explicabilité : les algorithmes d’intelligence artificielle – au fur et à mesure des progrès dans ce domaine – sont devenus de plus en plus opaques. Dans un secteur réglementé comme le secteur financier, cette opacité pose problème. En particulier, les utilisateurs au quotidien des systèmes d’IA doivent en comprendre suffisamment le fonctionnement et les limites pour en faire un usage approprié, et éviter les deux écueils de la défiance systématique ou de la confiance aveugle dans la machine.

Deuxième exemple, l’équité. L’IA peut amplifier les biais présents dans les données. C’est précisément l’un des objectifs du règlement européen de détecter et prévenir ces biais avant qu’ils ne nuisent aux citoyens. La question est techniquement complexe car il ne suffit pas d’interdire l’usage de certaines variables protégées pour garantir l’innocuité des algorithmes ; elle l’est d’autant plus dans des activités comme l’octroi de crédit ou la tarification d’assurance, où la segmentation de la clientèle fait partie, dans un contexte concurrentiel, des pratiques normales de conduite des affaires et de gestion des risques.

Pour répondre à ces nouveaux enjeux et respecter les différentes exigences réglementaires, les institutions financières devront se doter de nouvelles capacités humaines et techniques et monter en compétence. De fait, l’ACPR – en tant qu’autorité de surveillance du marché comme en tant qu’autorité de contrôle prudentiel - s’assurera que la maîtrise des risques est effective. Le respect du règlement IA ne pourra pas se réduire à une démarche administrative de labellisation interne : il faudra au contraire s’assurer que les algorithmes sont gérés et surveillés par des personnes compétentes qui en comprennent le fonctionnement profond.

Cela implique que le superviseur financier monte également en compétence et adapte ses outils et des méthodes. L’ACPR a déjà publié dans le passé des éléments de réflexion sur la question de l’explicabilité : elle devra à terme se doter d’une doctrine sur le sujet, ainsi que sur la question de l’équité des algorithmes. Nous devrons aussi développer une méthodologie spécifique pour l’audit des systèmes d’IA.

Cette marche méthodologique, nous ne pouvons et nous ne devons pas la franchir seuls. En plus de construire des synergies avec les autres superviseurs de l’IA, en France et en Europe, il nous faut coopérer avec le secteur financier. Superviseurs et supervisés partagent en effet de nombreux défis, et ils les surmonteront d’autant plus efficacement qu’ils auront su avancer ensemble.

Des événements tels que celui d’aujourd’hui permettent d’engager cette mobilisation collective autour d’un projet qui doit être largement partagé. C’est en travaillant ensemble que nous pourrons poser les fondations d’une IA de confiance dans le secteur financier. 

Je vous souhaite des échanges fructueux au cours de cette matinée.