Des exemples d’application au regard du règlement européen

Le Règlement européen sur l’intelligence artificielle (RIA) prévoit toute une série d’obligations, qui peuvent concerner les établissements financiers suisses même en l’absence de présence physique dans l’UE. Ce commentaire illustre, à travers trois cas pratiques, comment le RIA pourrait s’appliquer concrètement et à quoi les établissements financiers suisses devraient être attentifs, en particulier lorsqu’un système d’IA (SIA) est classé à haut risque.

Pour mémoire, le RIA est susceptible de s’appliquer aux entreprises suisses dès lors qu’elles fournissent des SIA à des entités établies dans l’UE ou que les outputs produits par ces SIA (les « sorties », selon la terminologie du RIA, telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels) sont utilisés dans l’UE (art. 2 al. 1 let. a et c et art. 3 al. 1 RIA). Cela viserait directement les établissements financiers suisses, dont les SIA produiraient des outputs utilisés dans l’UE (cf. Fischer, cdbf.ch/1397/).

Deux notions sont centrales pour comprendre le RIA : la distinction entre « fournisseur » et « déployeur », et la classification des SIA selon leur niveau de risque. Le fournisseur développe ou met sur le marché un SIA (art. 3 al. 3 RIA), tandis que le déployeur l’utilise dans le cadre de son activité professionnelle (art. 3 al. 4 RIA). Ces rôles sont traités dans deux autres commentaires (cf. Fischer, cdbf.ch/1418/ pour les fournisseurs ; Fischer, cdbf.ch/1420/ pour les déployeurs). S’agissant de la classification selon le niveau de risque, les SIA visés à l’art. 6 RIA et relevant de l’annexe III RIA sont qualifiés à haut risque et entraînent des obligations renforcées pour les fournisseurs comme pour les déployeurs (cf. Caballero Cuevas, cdbf.ch/1406/). L’annexe III RIA recense huit domaines spécifiques. Certains peuvent concerner le secteur financier, en particulier les domaines liés à l’emploi (annexe III al. 4 let. a et b RIA) et aux services privés essentiels, notamment l’évaluation de solvabilité et la tarification en assurance-vie ou maladie (annexe III al. 5 let. b et c RIA).

Les trois cas pratiques qui suivent illustrent l’articulation entre la classification à haut risque et les rôles de fournisseur et de déployeur, afin de cerner les obligations qui en découlent. Ils doivent toutefois être lus avec précaution, chaque situation dépendant des circonstances concrètes.

1. Génération de contenu pour des clients dans l’UE

Les collaborateurs d’un établissement financier suisse utilisent ponctuellement, via une interface de programmation d’application (API), un modèle de langage de grande taille (Large Language Model – LLM), tel que GPT-4, pour générer du contenu (courriels, présentations, traductions) envoyé à des clients dans l’UE (cf. Caballero Cuevas, cdbf.ch/1406/). Si l’output (le contenu) était utilisé dans l’UE, le RIA pourrait s’appliquer. Ce SIA, dès lors qu’il ne relèverait pas d’un des domaines listés à l’annexe III RIA, ne serait pas qualifié à haut risque. Le fournisseur du LLM serait considéré comme fournisseur au sens du RIA, et l’établissement financier comme déployeur. À ce titre, ce dernier serait soumis à certaines obligations, a priori rarement pertinentes dans la pratique du secteur financier. Il devrait notamment informer les personnes concernées lorsque le SIA traite des données personnelles pour détecter des émotions, des intentions ou pour les classer selon des caractéristiques biométriques (art. 50 RIA).

2. Analyse de candidatures à un poste dans l’UE

Si le même LLM était utilisé par un établissement financier suisse pour analyser des candidatures à un poste situé dans une filiale établie dans l’UE, le RIA pourrait également s’appliquer (cf. Hirsch, cdbf.ch/1384/). Cependant, dans ce cas, le SIA pourrait être qualifié à haut risque, le recrutement de personnes physiques figurant à l’annexe III al. 4 let. a RIA. Le déployeur d’un SIA à haut risque serait alors soumis à des obligations renforcées. Il devrait notamment garantir une utilisation conforme aux instructions, assurer une supervision humaine compétente, informer les candidats concernés, surveiller le fonctionnement du SIA, notifier sans délai tout risque identifié et conserver les journaux d’utilisation (art. 26 RIA).

Il convient de noter que si le poste en question était situé en Suisse, le RIA ne s’appliquerait pas, même si le candidat résidait dans l’UE. Le critère déterminant resterait le lieu d’utilisation de l’output (l’analyse des candidats), en l’occurrence le siège de l’établissement financier.

3. Scoring de crédit pour des clients domiciliés dans l’UE

Un établissement financier suisse utilise un outil de credit scoring reposant sur un SIA, développé par une fintech également établie en Suisse, pour évaluer la solvabilité de clients domiciliés dans l’UE. Si l’output (le score de solvabilité) était utilisé dans l’UE pour accorder un prêt, le RIA pourrait s’appliquer. Le credit scoring figure parmi les domaines à haut risque (annexe III al. 5 let. b RIA). Une exception est prévue pour les systèmes exclusivement destinés à la détection de fraudes financières, laquelle ne s’applique pas en l’espèce. Dans ce contexte, la fintech serait considérée comme fournisseur d’un SIA à haut risque, l’établissement financier comme déployeur d’un SIA à haut risque. Le fournisseur devrait notamment garantir la conformité du SIA (documentation technique, exigences de qualité, marquage CE, enregistrement), assurer la traçabilité et la transparence, et être en mesure de démontrer cette conformité aux autorités compétentes sur demande (art. 16 RIA). De son côté, le déployeur serait également soumis à des obligations renforcées (cf. cas 2, art. 26 RIA).

Conclusion

Ces cas suggèrent que le rôle de déployeur – souvent celui des établissements financiers suisses – tend à n’entraîner que des obligations limitées, a priori rarement pertinentes dans la pratique courante du secteur financier. En revanche, lorsqu’un SIA entre dans l’un des domaines listés à l’annexe III RIA, il pourrait être qualifié à haut risque ce qui soumettrait le déployeur à un régime d’obligations renforcées. Les domaines de l’emploi (annexe III al. 4 RIA) et des services privés essentiels (annexe III al. 5 let. b et c RIA) nous semblent particulièrement pertinents pour les établissements financiers suisses. Ces dispositions seront pleinement applicables à partir du 2 août 2026. Il apparaît dès lors opportun de porter une attention ciblée à ces cas d’usage afin d’assurer la conformité au RIA d’ici à son entrée en vigueur.