Relations clients
Le déploiement de chatbots bancaires
Alexandre Jotterand
Les avancées récentes en intelligence artificielle (IA) générative ont ravivé l’intérêt des acteurs financiers pour les robots conversationnels, ou « chatbots », dans la gestion des relations clients. Selon un rapport du Consumer Financial Protection Bureau américain (CFPB) publié en 2023, environ 37 % des Américains ont interagi avec un chatbot bancaire en 2022, et toutes les grandes banques américaines en utilisent.
Leur déploiement soulève toutefois de nombreuses questions. Certaines de celles-ci ne sont pas nouvelles, notamment concernant la gestion des données et des sous-traitants ; d’autres sont plus spécifiques à la technologie employée : décisions automatisées, risques d’erreur, de discrimination, etc. Nous nous focaliserons dans cette contribution sur cette seconde catégorie de questions et plus spécifiquement sur les aspects touchant à la maîtrise des réponses des chatbots, ainsi qu’aux conséquences en cas d’erreurs.
Différences entre systèmes déterministes et statistiques
Il est aujourd’hui bien connu que les systèmes d’IA peuvent se tromper et halluciner. Mais il n’est pas inutile de rappeler que tel n’a pas toujours été le cas : les précédentes générations de chatbots reposaient sur des bases de connaissances générées par des experts (systèmes algorithmiques déterministes). Ces systèmes déterministes fournissent des réponses prévisibles, mais parfois peu utiles.
Les nouvelles générations de chatbots utilisent des modèles d’IA générative, basés sur des Large Language Models (LLM). Ces systèmes, en raison de leur nature statistique, peuvent se montrer imprévisibles et fournir des réponses factuellement incorrectes ou biaisées, posant des risques pour les banques qui les déploient. D’ailleurs, le CFPB, dans son rapport mentionné ci-dessus, se montre très critique sur leur utilisation et conclut que « the use of conversational chatbots trained on LLMs in banking [is] an unreliable source for responding to customers ».
Aspects contractuels
Cette caractéristique pose la question des risques contractuels en cas de fourniture d’informations inexactes entraînant des préjudices financiers. Dans l’affaire Moffatt v. Air Canada, 2024 BCCRT 149, un tribunal canadien a jugé pour la première fois à notre connaissance une entreprise responsable des informations fournies par son chatbot, cela au même titre que pour toutes les informations « statiques » figurant sur son site web. Le tribunal a retenu au demeurant que l’entreprise n’avait pas pris les mesures raisonnablement nécessaires pour s’assurer que son chatbot fournissait des informations correctes.
Transposé au secteur bancaire en Suisse, ce cas poserait à notre avis la question des exclusions de responsabilité, qui seraient stipulées dans les conditions générales du service. De telles exclusions ne seront valables que dans la mesure autorisée par la loi, notamment l’art. 100 CO ou les règles sur la concurrence déloyale (notamment les règles sur les clauses insolites). La marge de manœuvre des banques sera réduite, puisque les limitations prévues à l’art. 100 al. 2 CO pour les industries concédées leur seront en principe applicables. Ainsi, un juge pourrait tenir pour nulle une clause qui exclurait la faute légère de la banque. En vertu de l’art. 101 al. 3 CO, la banque pourra néanmoins exclure la faute légère de son auxiliaire. Se posera alors la question de savoir si les prestataires tiers impliqués dans le processus de mise à disposition du chatbot sont des auxiliaires ou non. Compte tenu du nombre potentiel d’acteurs impliqué aux côtés de la banque (fournisseur du LLM, de bases de données, ou du système d’IA, développeur, intégrateur, ou opérateur, etc.) et de la complexité des relations, cette question requerra une analyse concrète des rôles et responsabilités de chacun.
Aspects réglementaires et recommandations
La FINMA n’a pas émis d’avis spécifique sur les chatbots. Dans son « Monitorage des risques 2023 », elle a adopté une position pragmatique et ouverte sur l’utilisation de l’IA. Comme les processus qu’ils remplacent, les systèmes d’IA doivent être conformes à toutes les lois applicables, ainsi qu’aux circulaires de la FINMA existantes. La FINMA identifie néanmoins quatre domaines d’attention spécifique à l’IA : « gouvernance et responsabilité », « robustesse et fiabilité », « transparence et explicabilité » et « égalité de traitement ».
La FINMA n’explicite pas comment ces quatre domaines doivent être abordés concrètement. Heureusement, de nombreux frameworks existent pour établir une gestion de l’IA digne de confiance (trustworthy AI), comme les « Principe sur l’IA » de l’OCDE ou le « AI Risk Management Framework » du NIST.
De manière générale, le déploiement de l’IA doit être intégré dans une gouvernance pluridisciplinaire et suivre une stratégie claire afin de s’assurer que la solution technologique envisagée est à la fois nécessaire et apte à répondre au besoin identifié. La robustesse et l’explicabilité seront ensuite particulièrement critiques pour les chatbots basés sur des LLM. Il existe différentes mesures techniques permettant d’améliorer ces aspects – par exemple concernant le choix du modèle et des algorithmes d’entraînement, les techniques de RAG (Retrieval Augmented Generation) et fine tuning, ainsi que les tests et validations – lesquelles devront être mises en œuvre durant tout le cycle de vie du système d’IA. Nous insistons ici sur le monitoring du système lors de son déploiement, qui constituera à notre avis un élément important pour l’évaluation de la conformité réglementaire et la responsabilité (sous l’angle de la faute notamment).
Il faut enfin veiller à informer de manière appropriée les utilisateurs sur le recours à l’IA, les capacités et les limites des chatbots, ainsi que de rédiger des conditions d’utilisation des services adaptés.