ACPR et IA : Régulation des Données Financières et Droits Fondamentaux

 

ACPR- IA - IntelligenceArtificielle - Supervision - Avocat-Marseille

Publié le 24-07-11

Sommaire

1 ) Introduction

2 )La généralisation du recours à l’Intelligence artificielle dans le secteur financier coïncide avec la mise en application de plusieurs réglementations transversales

2-1) D’abord le Règlement Européen « IA Act »

2-2 ) La feuille de route de l’ACPR pour préparer sa nouvelle fonction de « superviseur -prudentiel » des systèmes d’IA dans le secteur financier

3) les nouveaux enjeux du contrôle de l'usage de l'intelligence artificielle dans le secteur financier au seuil de la prochaine application du règlement du 31 mai 2024 numéro 2024/16 23

3-1 )comprendre les enjeux du règlement du 31 Mai 2024 pour évaluer les risques sur opérations d’emprunt

3-2) Une  nouvelle ère de la distribution du crédit bancaire s’ouvre grâce à l’intelligence artificielle générative

3-2-a ) L’IA Act renouvelle la notion de droits fondamentaux

4 ) Conclusion provisoire

 

 

1 ) Introduction :

En juillet 2024, affirmer que l'Intelligence Artificielle (IA) impacte désormais tous les métiers et domaines d’activité est devenu un lieu commun.

Nous vous proposons une réflexion sur les interrogations autour de l’usage de l’IA, dans le secteur financier et bancaire.

La généralisation de l’IA transforme autant l’économie que les rapports sociaux résultant de l’usage de ces technologies.

En ce qui concerne la finance au sens large, quel est le véritable enjeu de l’impact de l’usage généralisé de l’IA, et plus spécifiquement de l’IA générative par les LLM (Large Language Models) pour prendre des décisions ?

Ces LLM ou systèmes d’IA à usage général (GPAI) s’entraînent sur des données, qui peuvent être à caractère personnel ou non.

Ce qui importe dans ces nouveaux débats sur le traitement des données financières et bancaires, qui peuvent être de typologies différentes, est la réflexion sur la finalité du traitement qui se décline à plusieurs niveaux :

Ici, la finalité du traitement se pense à plusieurs niveaux :

  • La structuration et la curation des données analysées
  • La pondération ou poids des mots clés associés à des schémas de requête."

De plus, l’aide à la prise de décision repose sur l’analyse croisée de plusieurs types de données, notamment :

L’une des finalités les plus importantes pour l’usage de systèmes d’IA à usage général (GPAI) orientés sur la « donnée financière » est d’utiliser des résultats générés de manière stochastique pour estimer des situations basées sur des probabilités, permettant de prendre les décisions les plus adaptées.

Par conséquent, le déploiement d’un LLM entraîné sur des données financières doit intégrer et justifier la prise en compte des impacts juridiques et économiques des décisions sur les personnes.

Comment les régulateurs de ces systèmes d’IA à « haut risque » vont-ils se positionner sur ce problème essentiel, qui concerne autant l’économie que la préservation de l’idéal démocratique qui fédère l’UE ?

C’est le débat que nous ouvrons par cet article, en commentant le communiqué de l’ACPR (Autorité de contrôle Prudentiel et de Résolution) du 3 juillet dernier, annonçant qu’elle deviendra le « superviseur prudentiel » du contrôle de l’usage de l’IA dans les métiers de la banque et de la finance.

2 )La généralisation du recours à l’Intelligence artificielle dans le secteur financier coïncide avec la mise en application de plusieurs réglementations transversales :

2-1) D’abord le Règlement Européen « IA Act » :

Ce règlement encadre le processus de notation de crédits pour les emprunteurs.

Or le « crédit scoring » des individus découle du traitement de données, qu'elles soient à caractère personnel ou non.

Alors que le RGPD régule déjà ces pratiques, la nouvelle réglementation sur l'intelligence artificielle ajoute une couche supplémentaire de régulation.

Le 21 mai 2024, le Règlement Européen sur l’Intelligence Artificielle (IA Act) a été promulgué.

Il est basé sur le principe de gestion des risques pour le fonctionnement d’ une « IA de confiance ».

A ce titre l’IA Act distingue 3 catégories principales de systèmes d’IA :

  • les systèmes interdits,
  • les systèmes d'IA à haut risque,
  • et les autres.

Deviennent donc « opérateurs d’un système d’IA », les intervenants suivants :

  • Fournisseur : développe ou fait développer un système d'IA ou un modèle d'IA à usage général (GPAI) et le met sur le marché ou en service sous son propre nom ou sa marque, à titre onéreux ou gratuit (IA Act article 3§3).
  • Déployeur : utilise sous sa propre autorité un système d'IA, sauf dans le cadre d'une activité personnelle non professionnelle (IA Act article 3 §4).
  • Distributeur : met un système d'IA à disposition sur le marché de l'Union, faisant partie de la chaîne d'approvisionnement autre que le fournisseur ou l'importateur (IA Act article 3 §7).

Tous ces « opérateurs » doivent respecter les obligations imposées par l'IA Act (article 3 §8), en définissant si leur système est à « haut risque » :

Le système d’IA à haut risque se définit donc :

  • Par rapport aux fonctionnalités du système,
  • Et au contexte de son utilisation, c’est-à-dire le secteur d’activité.

Certaines activités du secteur financier sont définies comme des systèmes dits à « haut risque » par l'annexe III, en renvoi de l'article 6 §2 de l'IA Act.

Ces activités comprennent :

  • Article 6 §2 alinéa (b) : systèmes d'IA destinés à évaluer la solvabilité des personnes physiques ou à établir la note de crédit, à l'exception des systèmes d'IA utilisés à des fins de détection de fraude financière.
  • Article 6 §2 alinéa (c) : systèmes d'IA utilisés pour évaluer les risques et la tarification en matière d'assurance-vie et d'assurance-maladie.

Ces systèmes à « haut risque » devront respecter un ensemble de critères pour garantir que leur fonctionnement ne génère pas un risque inconsidéré susceptible de porter atteinte aux droits fondamentaux des personnes, tels que définis par l'IA Act et les textes fondamentaux du droit de l'UE.

Pour assurer cela, l’IA Act a confié aux « autorités de surveillance du marché » la mission de contrôler le fonctionnement loyal et digne de confiance de ces systèmes d’IA en fonction de leur périmètre d’utilisation.

Pour le secteur financier, cette tâche incombera à l’ACPR, qui se voit confier le rôle de « « superviseur prudentiel ».

L'IA Act n'entrera en vigueur qu'à mi-2026, mais l’ACPR se prépare déjà à cette supervision.

C’est dans cette optique qu’elle a publié une note de communication en juillet 2024 pour détailler son programme et préparer sa mission de futur « superviseur prudentiel ».

2-2 ) La feuille de route de l’ACPR pour préparer sa nouvelle fonction de « superviseur -prudentiel » des systèmes d’IA dans le secteur financier :

Dans sa note de juillet 2024, l’ACPR esquisse les axes de sa future supervision en s'appuyant sur les interventions de :

  • Monsieur Denis Beau, premier sous-gouverneur de la Banque de France, lors de son discours devant l'Association d'Économie Financière et Régulation (AEFR) le 5 juin 2024, consacré à « l'IA et la supervision financière ».
  • Monsieur François Villeroy de Galhau, gouverneur de la Banque de France, lors de son discours au Bis Innovation Summit le 6 mai 2024.

L'Intelligence Artificielle, déjà largement utilisée dans le secteur de la finance, a été « disruptée » par l'introduction de l'IA générative dès l'automne 2022 par OpenAI.

Cette innovation révolutionne la prise de décision automatisée grâce à l'interaction avec des agents conversationnels attachés à un système d'intelligence artificielle à usage général (GPAI).

La caractéristique principale de cette innovation réside dans la capacité des agents conversationnels à fournir non seulement des réponses personnalisées à des requêtes en langage naturel, mais aussi des contenus complexes et riches en informations.

Ces réponses, issues des bases de données d'entraînement des LLM, soulèvent de nouveaux enjeux.

Les réponses d’un système d’IA à usage général (GPAI) sont influencées par l'orientation donnée par le producteur du système et/ou la base de données d’entraînement associée.

Ainsi, l'auteur de la requête reçoit un contenu qui prend la forme d'une » opinion financière subjective» qu'il convient d'interpréter avec discernement.

Les employés de banque devront donc apprendre à comprendre et interpréter les analyses fournies par les LLM.

Pourquoi parle-t-on de « réalité subjective » notamment pour évaluer le risque de défaut sur une demande de crédit ?

Parce que la classification du risque de défaut d'un candidat emprunteur va dépendre à compter du 01/01/2025 aussi des facultés de la banque et de ses réserves de fonds propres pour pouvoir accorder le crédit.

En d'autres termes, l’évaluation d’un « crédit scoring » devient désormais une évaluation conditionnelle, reflétant à la fois :

  • La situation de l'emprunteur potentiel,
  • Et la pondération du risque opérationnel de l'établissement bancaire par rapport à son plancher de fonds propres.

Les responsables de crédit des banques devront donc apprendre à comparer les analyses fournies par les LLM en tenant compte que le graphe relationnel du LLM est entraîné pour donner des réponses qui répondent aux 2 injonctions ci-dessus.

Le contexte du fonctionnement de cette technologie étant présenté, le futur «  superviseur- prudentiel »  qui sera l’ACPR souligne dans sa note de communication que de possibles risques systémiques pourraient advenir.

Le premier, et non des moindres, est le risque éventuel de constitution de monopoles de systèmes de LLM (Large Language Model) via l'achat de systèmes d'IA sans personnalisation significative.

C’est-à-dire qui va posséder les « infrastructures essentielles » pour accéder aux réseaux et puissance de calcul nécessaire ?

Et surtout qui va décider de la modélisation des « contenus métiers »nécessaires aux LLM orientés sur la donnée financière ;

Les LLM sont des systèmes de fondation entraînés pour fournir des résultats en fonction des poids des mots clés et des structures de langage observées dans les données d'entraînement comme nous l’avons exposé ci-dessus.

Appliqué à la modélisation de l’entraînement des bases de données pour l’évaluation des crédits scorings , le danger est que des modèles trop homogènes puissent induire une vision trop mathématique et rigide du risque de défaut des candidats à l’emprunt.

Cela pourrait entraîner une uniformisation des décisions de crédit, ne tenant pas compte des nuances et des contextes spécifiques des emprunteurs.

Pour éviter ce biais, l’ACPR confirme que la préoccupation du superviseur sera de veiller à la diversification des sources de données et de s'assurer que les schémas d'entraînement reflètent une large gamme de situations et de contextes financiers.

La curation des données d'entraînement impliquera la sélection et la structuration appropriée des ensembles de données, garantissant ainsi que les modèles restent robustes et capables de prendre en compte les particularités des différents emprunteurs de manière équitable.

Lors de leurs contrôles, les superviseurs des systèmes d’IA vont ils se heurter à l’opposabilité du « secret des affaires » pour l’explicabilité ou la constitution des points de données nécessaires à l’entraînement ?

3) les nouveaux enjeux du contrôle de l'usage de l'intelligence artificielle dans le secteur financier au seuil de la prochaine application du règlement du 31 mai 2024 numéro 2024/16 23 :

3-1 )comprendre les enjeux du règlement du 31 Mai 2024 pour évaluer les risques sur opérations d’emprunt :

Le nouveau Règlement européen du 31 mai 2024 vise à améliorer la stabilité et la résilience des établissements de crédit en renforçant leurs exigences de fonds propres pour diverses expositions, notamment celles garanties par des biens immobiliers résidentiels et commerciaux.

L’objectif des modifications apportées par le nouveau règlement européen du 31/05/2024 visent à améliorer la sensibilité au risque des établissements bancaires.

Les banques seront mieux équipées pour évaluer leurs risques et ajuster leurs fonds propres en conséquence, ce qui devrait renforcer leur résilience.

C’est donc bien les modalités de la distribution des crédits et divers concours bancaires qui sont modifiées.

La modification porte sur les méthodes d’évaluation car actuellement les établissements ont une approche fondée sur les notations internes (approche NI) pour le risque de crédit afin de calculer leurs exigences de fonds propres.

Donc avec l’introduction par le nouveau règlement du 31/05/24 applicable au 01/01/25 de nouvelles règles fondées sur l’application du plancher de fonds propres, les établissements devront également appliquer l’approche des risques dite SA-CR, qui repose sur des évaluations de crédit établies par des Organismes Externes d’Evaluation du Crédit (OEEC) désignés pour déterminer la qualité de crédit de l’entreprise ou du particulier emprunteur.

La mise en correspondance des notations externes avec les pondérations de risque applicables aux entreprises notées désormais par des OEEC devrait permettre une estimation des risques plus granulaire, afin de correspondre aux normes internationales.

En conclusion, cette nouvelle réglementation devrait imposer des standards plus élevés aux banques en matière de fonds propres, de gestion des risques et de transparence, tout en introduisant des périodes de transition pour minimiser les perturbations sur le marché des prêts hypothécaires.

Donc vont apparaître à bref délai des nouveaux intermédiaires dans les opérations de crédit qui sans doute seront issus des FinTechs sous le vocable de OEEC les Organismes Externes d’Evaluation du Crédit pour déterminer la qualité de crédit des emprunteurs.

3-2) Une  nouvelle ère de la distribution du crédit bancaire s’ouvre grâce à l’intelligence artificielle générative :

Donc comment contrôler et réguler la manière dont les différents acteurs bancaires et financiers vont interpréter et utiliser les résultats générés par l’IA générative ?

L’ACPR va-t-elle réguler aussi les OEEC ? La logique le voudrait.

Mais où va se positionner le curseur de la régulation ?

Le futur « superviseur-prudentiel » devra également prendre en compte la protection des droits fondamentaux, en les arbitrant par rapport aux risques systémiques des établissements bancaires.

Or l’évolution de la technologie par la réglementation de l’Intelligence Artificielle « enrichie » la notion de droits fondamentaux pour compléter l’ancienne définition.

L’usage de l’IA générative dans le secteur financier et bancaire s’analyse juridiquement comme un traitement soumis aux dispositions du RGPD, avec la garantie des droits de l’article 22 du règlement.

En outre, dans la supervision des acteurs du secteur, l’ACPR devra vérifier aussi si l’utilisation des systèmes d’intelligence générative, désignés comme appartenant à la catégorie des systèmes d’IA à haut risque par l’IA Act, respecte les droits fondamentaux garantis et définis par la réglementation.

3-2-a ) L’IA Act renouvelle la notion de droits fondamentaux :

Ce qui change est que le règlement européen sur l’intelligence artificielle s’interprète avec une approche « produit » centrée sur le droit de la consommation, tout en respectant une approche « services » en termes de conformité de fonctionnement.

Par ailleurs, l’IA Act se conjugue avec le respect des droits fondamentaux garantis par la Charte des droits fondamentaux de l’Union européenne.

Et se rajoute aussi une nouvelle couche sémantique d’interprétation depuis le 21/03/24.

Le 21 mars 2024, l'Assemblée Générale des Nations Unies a adopté une résolution sur l'intelligence artificielle, soulignant la reconnaissance mondiale de l'impact de l'IA sur notre avenir.

Cette résolution de l'ONU vise à ce que l'IA contribue de manière sûre, sécurisée et digne de confiance à la réalisation des Objectifs de Développement Durable (ODD).

L’ONU insiste sur l'importance de l’IA pour favoriser la jouissance des droits humains et des libertés fondamentales, en veillant à ce que la personne humaine conserve sa place centrale fondamentale.

Dans ce contexte, au titre de sa mission de superviseur prudentiel de l’IA dans le secteur financier, l’ACPR devra-t-elle contrôler :

  • Uniquement la valeur informationnelle des résultats de l'usage de l'IA par les acteurs bancaires, sous le prisme unique du contrôle de la résilience du secteur bancaire pour évaluer la résilience des établissements contrôlés au risque ?

Ou

  • Devra-t-elle aussi mettre en balance les intérêts de la « partie prenante » du candidat emprunteur, au titre d’un « meta-droit» à construire dans ses éléments constitutifs pour participer à la  dignité économique durable des « parties prenantes » de la banque, les «candidats à l’emprunt ».

À court et moyen terme, l’avènement des économies durables posera sans doute la question de redéfinir le risque de défaut de crédit.

Ne devrait-on pas alors évaluer ce risque en appliquant le critère d’évaluation durable de la « double matérialité » ?

Ce critère impliquerait d’évaluer l’intérêt des parties prenantes, en prenant en compte l’impact de l’activité de l’emprunteur sur l’environnement, notamment sa capacité à financer ses intrants économiques, ainsi que les conséquences des risques de son défaut sur son environnement.

La décennie à venir sera celle de l’ajustement des droits fondamentaux attachés à la dignité de la personne humaine, intégrant une notion nouvelle à définir : la « dignité économique », qui sera transversale à une organisation durable de l’économie.

L’ACPR hérite ainsi d’une mission passionnante qu’elle ne mènera pas seule.

Cette mission nécessitera une collaboration étroite avec d’autres régulateurs, comme la CNIL, conjointement avec les acteurs du secteur, pour équilibrer les innovations technologiques et les droits fondamentaux.

4 ) Conclusion provisoire :

Le cabinet de Maître Véronique Rondeau-Abouly intervient depuis de longues années dans la réglementation sur les données, l'intelligence artificielle et la data science, ainsi que la finance durable.

Nous accompagnons autant les personnes physiques que les personnes morales pour constituer et protéger leur profil informationnel et le défendre.

Le cabinet peut également vous assister dans tous les recours amiables ou judiciaires pour faire valoir vos droits en cas de contestation de vos scorings bancaires et de toute situation où votre accès au circuit économique de l’emprunt vous est contesté ou refusé.

C’est dès maintenant que les acteurs économiques, quels qu’ils soient, doivent réfléchir à organiser les conditions de leur notation financière.

Pour les entrepreneurs, le cabinet offre un accompagnement dans vos démarches de levée de fonds, que ce soit pour financer votre transition énergétique ou votre développement durable.

Pour cela, vous aurez besoin de fournir un reporting financier sur votre solvabilité, qui devra devenir une annexe de vos « Business Models ».

Avec nos experts partenaires, nous pouvons vous accompagner pour formaliser ces documents.

C’est dès maintenant que les acteurs économiques, quels qu’ils soient, doivent réfléchir à organiser les conditions de leur notation financière.

Nous croyons fermement que des solutions existent et nous nous engageons à explorer avec vous toutes les options possibles pour réaliser vos projets.

N’hésitez pas à nous contacter pour bénéficier de notre expertise.

Suivez-nous sur nos réseaux sociaux et consultez régulièrement notre blog pour rester informé des dernières actualités et évolutions réglementaires.

N’oubliez pas de consulter notre page data Literacy pour les définitions des termes techniques que nous vous signalons aussi par des liens cliquables dans le texte de nos articles.

Article publié le 13 Juillet 2024

Véronique RONDEAU-ABOULY

Avocat Blockchain et DPO externe.

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous

Mots Clefs : ACPR  - Intelligence Artificielle – Système d’IA à Haut risque -GPAI -OECC- emprunt bancaire – crédit scoring- LLM

Crédits Photos : e-stockPhoto : blackJack3D