Le projet européen de règlement sur l’IA : Quid des services financiers ?

La Commission européenne a dévoilé le 21 avril 2021 son projet de règlement sur l’intelligence artificielle (P-RIA) visant à établir des règles harmonisées pour l’intelligence artificielle (IA) applicables dans tous les États membres de l’Union européenne. Avec le P-RIA, la Commission souhaite instaurer un cadre réglementaire permettant une utilisation de l’IA en accord avec les valeurs européennes, tout en encourageant l’innovation. Le P-RIA adopte une approche fondée sur les risques et instaure un régime de surveillance ex ante et ex post. Ainsi, les fournisseurs d’IA et d’autres acteurs désignés par le P-RIA devront respecter les obligations qui y sont prévues avant et après la mise sur le marché ou la mise en service du système d’IA. En cas de violation, le P-RIA prévoit notamment des mesures de suspension ou de retrait et des amendes pouvant atteindre jusqu’à EUR 30’000’000 si c’est une personne physique et jusqu’à 6 % du chiffre d’affaires mondial si c’est une société.

Au vu de l’utilisation grandissante de l’IA dans la finance, il est utile de faire un tour d’horizon du P-RIA pour comprendre les enjeux juridiques pour les établissements financiers, mais aussi ses éventuels impacts en Suisse.

Tout d’abord, l’art. 3(1) P-RIA définit le système d’IA comme étant un logiciel développé avec une ou plusieurs techniques ou approches listées dans l’annexe I du P-RIA et qui est capable, en fonction d’objectifs définis, de générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels le logiciel interagit. Les techniques et approches prévues à l’annexe I sont notamment les approches d’auto-apprentissage (machine learning), celles basées sur la logique et les connaissances comme la programmation logique inductive ou encore les approches statistiques. À travers cette définition large, la Commission souhaite tenir compte des évolutions technologiques et des développements du marché de l’IA.

Le P-RIA classe par la suite les systèmes d’IA en fonction de leurs risques, respectivement les risques inacceptables et les risques élevés. Dans la catégorie des risques inacceptables, nous trouvons notamment les systèmes d’IA visant à manipuler le comportement humain pour priver les citoyens de leur libre arbitre ou ceux permettant aux États de noter socialement leurs citoyens (cf. art. 5 P-RIA).

Pour les risques élevés, l’art. 6 par. 1 P-RIA vise tout système d’IA (i) destiné à être utilisé comme composant de sécurité d’un produit ou est lui-même un produit couvert par une législation listée dans l’annexe II du P-RIA et (ii) le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, doit faire l’objet d’une évaluation de la conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service, au regard des législations visées à l’annexe II. Finalement, il est précisé à l’art. 6 par. 2 P-RIA que les systèmes d’IA mentionnés dans l’annexe III du P-RIA doivent être considérés comme représentant un risque élevé.

L’annexe III ch. 5 let. b considère que les systèmes d’IA destinés à évaluer la solvabilité des personnes physiques ou à établir leur risque de crédit (credit score) représentent un risque élevé. En effet, ces systèmes d’IA peuvent avoir des conséquences importantes pour les individus, car ils peuvent par exemple déterminer l’octroi ou non d’une hypothèque ou d’une ligne de crédit. Ainsi, ces systèmes d’IA devront être développés et surveillés, en conformité avec le P-RIA, afin que chaque individu ait un accès équitable aux services financiers, et ce pour éviter toute discrimination basée sur des caractéristiques personnelles. Il est cependant intéressant de voir que l’annexe III ne vise que l’évaluation des personnes physiques et non celle des personnes morales.

Tout établissement financier utilisant ou fournissant un système d’IA ayant pour but de déterminer un risque de crédit devra donc se conformer aux obligations prévues aux chapitres 2 et 3 du titre III du P-RIA, notamment établir un système de gestion des risques, des pratiques appropriées de gestion et de gouvernance des données, une documentation technique, tenir des registres de chaque évènement (logs), permettre de surveiller l’IA pendant son utilisation. En outre, le système d’IA doit être développé de telle manière à ce qu’il y ait un certain niveau de précision ainsi qu’une résistance aux cyberattaques ou à toute autre mauvaise utilisation (cf. Bacharach, cdbf.ch/1164 sur la résilience numérique).

Afin d’assurer une application cohérente du P-RIA avec les réglementations financières, les autorités chargées de la surveillance et de l’application de ces dernières seront désignées comme autorités compétentes aux fins de la surveillance de l’application du P-RIA. De surcroît, la procédure d’évaluation de conformité des systèmes d’IA ainsi que la surveillance ex post devront s’intégrer dans les obligations et procédures prévues par la Directive 2013/36/UE.

À la lecture du P-RIA, il apparaît que les systèmes d’IA évaluant la solvabilité ou le risque de crédit des individus sont considérés comme représentant un risque élevé, car ils peuvent renforcer les inégalités sociales ou discriminer certaines catégories de la population sur le plan économique. Or, nombre de systèmes d’IA utilisés dans la finance n’entrent pas dans la catégorie des systèmes d’IA représentant un risque élevé. Il est toutefois important de noter que si un établissement financier utilise un chatbot – technologie qui n’entre pas dans la catégorie des systèmes d’IA représentant un risque élevé – pour interagir avec ses clients, ces derniers devront savoir qu’ils interagissent avec un tel système en raison de l’obligation minimale de transparence établie à l’art. 52 P-RIA. Bien entendu, l’annexe III pourra être modifiée dans le futur et d’autres systèmes d’IA pourraient y être ajoutés.

Pour les établissements financiers suisses, ils devront potentiellement se conformer au futur règlement européen qui n’entrera vraisemblablement pas en vigueur avant plusieurs années. En effet, ce règlement aura une portée extraterritoriale, puisque selon l’art. 2 par. 1 P-RIA, il s’appliquera en principe (i) aux fournisseurs mettant sur le marché européen ou mettant en service un système d’IA auprès d’un utilisateur ou pour son propre usage et ce indépendamment du fait qu’ils soient établis dans l’Union européenne ou dans un pays tiers, (ii) aux utilisateurs de systèmes d’IA situés dans l’Union européenne ou (iii) aux fournisseurs et utilisateurs de systèmes d’IA qui se situent dans un pays tiers, lorsque les résultats générés par l’IA sont utilisés dans l’Union européenne.

Avec le P-RIA, la Commission prévoit donc l’instauration du premier cadre réglementaire sur l’IA ayant une portée extraterritoriale, espérant ainsi émuler l’impact réglementaire que le RGPD a pu avoir dans l’Union européenne et dans d’autres régions du monde.