Une boussole pour nous guider vers une supervision intelligente de l'IA

Mesdames et Messieurs,

Permettez-moi d’abord de remercier la Banco de Portugal et son gouverneur, Álvaro Santos Pereira, pour leur invitation à cet évènement, auquel je suis ravi de participer. L’intelligence artificielle (IA) transforme chaque jour davantage le secteur financier. Dans une enquête récente conduite par l’ACPR, il ressort par exemple que la quasi-totalité des banques et des organismes d’assurance en France ont aujourd’hui des systèmes d’IA en service. Ceux-ci leur font gagner en efficacité opérationnelle, améliorer les services rendus aux clients, et mieux maîtriser leurs risques.

Pour autant, l’adoption croissante de l’IA dans le secteur financier présente des risques. Pour la stabilité financière d’abord : que l’on pense par exemple à la dépendance des acteurs financiers aux grands fournisseurs de modèles d’IA, qui sont aussi les fournisseurs majeurs de services de cloud. Pour la solvabilité des établissements pris individuellement ensuite, car l’utilisation mal maîtrisée de systèmes complexes peut déboucher sur des pertes systématiques ; et enfin, de manière évidente, pour les consommateurs.

Ces risques justifient l’encadrement règlementaire de l’utilisation de l’IA, qui doit permettre un développement maitrisé de l’IA. Ce cadre, c’est bien évidemment le règlement européen sur l’IA, mais c’est aussi – et nous devons bien l’avoir en tête – la règlementation sectorielle, qui s’applique à l’IA comme à n’importe quelle technologie utilisée par les acteurs financiers.

Aujourd’hui, les superviseurs financiers sont confrontés à l’épineuse question de la « bonne » manière de surveiller l’IA : comment appliquer le règlement IA et les règlementations sectorielles à cette nouvelle technologie, encore en forte évolution ? À quels systèmes s’intéresser ? De quelle manière, et jusqu’où pousser les investigations ?

Sans prétendre répondre à toutes ces questions, je voudrais proposer dans ce propos liminaire une boussole pour avancer vers une surveillance intelligente de l’IA : celle de la simplicité et de la recherche d’’efficacité. Du côté des règles, cette boussole peut nous permettre de construire un cadre d’ensemble cohérent en articulant au mieux les différents ensembles de normes (I). Du point de vue de la supervision, elle peut nous aider à définir quelques principes de haut niveau pour une surveillance efficace et efficiente des systèmes d’IA (II).

I/ Pour ce qui est des règles applicables, l’un des éléments essentiels qui reste à clarifier concerne la manière dont les exigences du Règlement IA vont s’intégrer dans le corpus règlementaire du secteur financier.

Pour éclairer ce sujet, un important travail de cartographie a été mené au niveau européen depuis bientôt un an, sous l’égide des autorités européennes de surveillance. Ses premières conclusions sont rassurantes, puisqu’aucune contradiction majeure n’a été identifiée. Toutefois, après ce travail de recensement des différentes règles s’appliquant à l’IA, il reste encore à expliquer comment elles vont précisément s’articuler entre elles, sur le plan théorique, et comment elles seront en pratique appliquées.

Le travail théorique d’articulation des normes reviendra en premier lieu à la Commission européenne, qui publiera des orientations sur ce sujet au cours des prochains mois. Je suis cependant persuadé que la manière dont les superviseurs financiers feront ensuite appliquer ces normes – et, donc, les choix qu’ils feront en la matière – sera cruciale dans la manière dont la règlementation de l’IA pèsera en définitive sur les établissements.

Il faudra, en la matière, éviter une lecture littérale des textes pour privilégier une mise en œuvre efficace, qui nous garantisse l’atteinte des objectifs règlementaires. Aussi la recherche du dispositif d’ensemble le plus simple possible doit-elle nous servir de principe organisateur, et donc de guide.

Cela signifie qu’il faudra adopter une interprétation convergente des différentes règlementations : ayons une lecture constructive des différentes normes et de ce qu’elles impliquent, afin de mettre l’accent sur les points communs, donc sur ce qui n’a besoin d’être vérifié ou déclaré qu’une seule fois. Et gardons en permanence une vue d’ensemble du dispositif applicable à l’IA, car un cadre simple est d’abord un cadre cohérent.

Pour illustrer mon propos, permettez-moi de prendre l’exemple du système de gestion des risques, dont le Règlement IA prévoit lui-même que ses exigences peuvent être intégrées ou combinées avec les dispositions pertinentes du droit de l’Union. Il me semble que l’interprétation constructive que j’évoquais devrait nous amener à demander aux institutions financières d’y inclure uniquement les « éléments nouveaux » du Règlement IA, comme les risques de discrimination ou d’opacité algorithmique. Pour tout le reste, comme les exigences en matière de dispositifs, de processus et de mécanismes de gouvernance interne prévus par le cadre CRR/CRD, ou encore les risques cyber couverts par le cadre DORA, les exigences du Règlement IA seraient considérées comme remplies dès lors que les exigences sectorielles le sont. Il reviendrait alors aux différents superviseurs de partager les informations pertinentes entre eux, car il ne saurait être question de procéder à des vérifications redondantes.

Notre objectif final devrait être d’organiser une surveillance des systèmes d’IA du secteur financier qui nous permette de limiter les risques non seulement du point de vue du Règlement IA mais aussi du point de vue de nos autres missions : la stabilité financière ou la protection de la clientèle. À cette fin, il faudra utiliser au maximum les synergies avec nos activités habituelles de contrôle, dans la logique de simplicité et d’efficacité que j’évoquais précédemment.

II/ Ce qui m’amène au second point de mon propos, sur la manière de surveiller avec efficacité et efficience les systèmes d’IA du secteur financier. En premier lieu, sachons appliquer les principes de « surveillance de marché » qui sont le fondement du Règlement IA. Il n’est pas question de contrôler en permanence l’ensemble des systèmes d’IA du secteur financier ; il faut au contraire adopter une approche basée sur les risques, qui nous permette d’identifier et de concentrer notre attention sur les systèmes présentant des risques significatifs.

Être sélectif dans les systèmes que nous examinerons ne signifie absolument pas que nous nous contenterions d’une surveillance au rabais. C’est même tout le contraire : cette sélectivité doit nous permettre de réaliser, lorsque cela s’avèrera nécessaire, un examen approfondi des systèmes d’IA, c’est-à-dire qui ne repose pas seulement sur des vérifications administratives, mais nous conduit à « ouvrir le capot » des algorithmes pour en examiner et en discuter les caractéristiques techniques.

Pour pouvoir procéder à ces contrôles sélectifs mais potentiellement approfondis, il nous sera évidemment nécessaire de développer une méthodologie d’évaluation des systèmes d’IA. Celle-ci devra permettre d’évaluer la gouvernance d’un système d’IA, mais aussi certaines caractéristiques du système lui-même, comme sa performance, sa robustesse, son équité, son explicabilité ou encore sa cyber-sécurité. Certains de ces éléments à évaluer apparaissent relativement classiques dans un secteur où nombre de processus reposent depuis longtemps sur des modèles. D’autres dimensions présentent en revanche un caractère résolument nouveau, et en premier lieu les enjeux liés à l’explicabilité d’algorithmes d’IA devenus de plus en plus opaques au fur et à mesure des progrès technologiques.

Travailler dès aujourd’hui sur cette méthodologie a pour vertu de nous conduire à affiner progressivement nos attentes vis-à-vis des institutions financières, et donc de pouvoir les accompagner de manière plus pertinente. Dans un contexte règlementaire et technologique mouvant, où le secteur financier a des attentes fortes vis-à-vis de ses superviseurs, nous avons un rôle crucial à jouer dans la mise en place des « bons » outils de gestion des risques par les acteurs financiers.

Ce programme est certes ambitieux. Il nécessitera pour les superviseurs de monter en compétence sur l’ensemble des sujets liés à l’IA. Cela passera notamment par le recrutement de profils spécialisés, ce qui n’est pas le moindre des défis. Pour mener ces travaux, nous aurons aussi besoin d’appuis extérieurs. Je pense en particulier à des partenariats avec des instituts de recherche spécialisés. Les superviseurs n’échapperont pas non plus à l’ardente obligation de coopérer entre eux, au niveau national comme au niveau européen, voire au-delà.

Je crois qu’ils devront enfin essayer de co-construire les méthodologies d’évaluation avec le secteur financier, car superviseurs et supervisés partagent de nombreux défis sur l’ensemble de ces sujets. A l’ACPR, nous avons organisé, au cours des derniers mois, des ateliers méthodologiques avec des établissements volontaires, sur des sujets complexes comme l’équité ou l’explicabilité des algorithmes. Ils nous permettent de progresser plus vite et de façon plus opérationnelle vers ce que peut être une « IA de confiance » dans le secteur financier.

En conclusion, je dirais que la surveillance de l’IA, en plus de son importance intrinsèque, peut constituer un laboratoire pour le reste de nos missions, ouvrant la voie à de nouvelles méthodes de supervision non seulement basées sur les risques, mais intégrant la dimension technologique sans cesse plus présente dans les processus financiers. Ce qui amène naturellement à aborder une autre question, sur laquelle nous reviendrons peut-être plus en détail au cours de nos échanges : le déploiement des nouvelles technologies pour nos usages internes – ce que nous appelons la démarche « SupTech ». C’est en effet un élément indispensable du maintien de notre efficacité dans le futur.

Je vous remercie pour votre attention.