Le superviseur financier à l’heure de l’IA

Mesdames, Messieurs,

C’est avec grand plaisir que j’ouvre ce séminaire consacré à l’intelligence artificielle pour la supervision financière.

L’industrie financière est une industrie fondée sur la donnée et son analyse, que ce soit par exemple pour évaluer un risque de crédit, estimer la volatilité d’un actif ou le tarif d’un risque d’assurance… C’est donc naturellement que les technologies d’IA, qui visent à tirer parti des gisements de données dont les établissements disposent, trouvent à s’y déployer. L’intelligence artificielle est ainsi l’un des principaux moteurs de la transformation numérique actuelle du secteur financier, et le développement de l’IA générative devrait encore amplifier le phénomène.

Comme superviseur, l’impact de l’intelligence artificielle mérite une attention particulière car il est potentiellement ambivalent : l’IA est source d’opportunités pour le secteur, y compris pour son superviseur, mais il est aussi un nouveau vecteur de risques. Cet impact ambivalent contribue à justifier son encadrement réglementaire qui vient d’être engagé. Dans mes remarques ce matin pour introduire votre conférence, en me plaçant du point de vue du superviseur, j’aborderai donc les opportunités, les risques et les conditions d’une réglementation efficace de l’IA pour le secteur financier.
 

1/ L’IA présente de nombreuses opportunités pour le secteur financier… mais aussi pour les missions du superviseur.

Nos observations de l’IA depuis plusieurs années le confirment : l’IA est utilisée de façon croissante par les institutions financières dans tous les segments de la chaine de valeur. Elles s’en servent en particulier pour améliorer « l’expérience utilisateur » (pensons notamment aux chatbots pour l’assistance client) mais aussi pour automatiser et optimiser nombre de processus internes. L’IA est aussi utilisée pour le contrôle et la maîtrise des risques, comme en témoigne son succès dans les cas d’usage liés à la lutte contre la fraude ou contre le blanchiment et le financement du terrorisme (LCB-FT). Bien maîtrisée, l’IA est donc susceptible d’accroître l’efficacité des institutions financières et de contribuer à leur rentabilité – ce qui est un élément central de leur solidité – y compris en leur offrant des solutions de contrôle des risques.

L’arrivée de l’IA générative marque une nouvelle vague dans ce processus d’innovation. On pense en premier lieu à l’amélioration qualitative d’outils déjà existants : pour donner un exemple simple, là où les chatbots d’assistance « classiques » utilisent le traitement du langage naturel pour renvoyer vers des explications à portée générale, les chatbots nourris à l’IA générative ont la capacité d’apporter une réponse personnalisée et plus adaptée à la situation de l’utilisateur. L’IA générative a ainsi le potentiel d’accélérer l’adoption des nouvelles technologies, et partant le rythme de l’innovation et la transformation des processus : par exemple, la possibilité d’effectuer des requêtes informatiques en langage naturel, et de générer le code sur commande, posera la question du monopole des programmeurs « de métier ». Plus généralement, l’IA générative pourrait accroître la productivité : la Commission de l’IA, présidée par Anne Bouverot et Philippe Aghion, a évalué à environ 1 % par an le surplus de croissance que le déploiement de l’IA pourrait générer en France d’ici à 2034.

Les superviseurs n’entendent évidemment pas rester à l’écart de ces transformations majeures, et tirent d’ores et déjà parti des technologies d’IA pour améliorer leur efficacité dans l’exercice de leurs missions. Parmi d’autres projets déjà développés à l’ACPR, je citerai par exemple la détection avancée d’anomalies dans les reportings des établissements, ou encore notre outil LUCIA, qui permet l’analyse de grands volumes d’opérations bancaires et qui nous permet d’évaluer la performance des modèles de LCB-FT déployés dans les banques.

Très récemment, l’ACPR a organisé, avec l’aide de notre centre d’innovation, Le Lab, un « Tech Sprint Suptech», un hackathon destiné à explorer ce que l’IA générative peut apporter aux différents métiers du superviseur. Cet événement a permis en trois jours de révéler le potentiel des grands modèles de langage pour la supervision, avec 8 prototypes co-construits par des data scientists externes et des agents de l’ACPR. Quatre projets feront l’objet d’approfondissements dans le cadre de notre plan stratégique et, je l’espère, d’outils nouveaux qui aideront le contrôleur dans plusieurs de ses activités. Ce Tech Sprint nous a permis en outre de poser les premiers jalons d’une réflexion de plus long terme sur la façon dont nous souhaitons faire évoluer les métiers du contrôle : il nous faudra en particulier toujours réserver une part de l’analyse aux contrôleurs humains, notre enjeu principal étant de maintenir un très haut niveau de fiabilité dans nos processus.

2/ Car l’usage de l’IA ne va pas sans risques et c’est mon deuxième point : l’IA, dans les faits, peut accroître les risques, pour chaque établissement mais aussi pour le secteur financier dans son ensemble.

Au plan micro-prudentiel, tout d’abord, c’est-à-dire pour chaque institution prise individuellement, l’utilisation d’IA peut engendrer des risques pour la solidité de l’établissement comme pour sa clientèle. Ainsi, un modèle de tarification mal calibré peut générer des pertes systématiques, et donc mettre en danger la pérennité d’un établissement. Pour la clientèle, l’utilisation d’IA fait courir le risque d’un traitement inapproprié – y compris discriminatoire –, des risques pour la vie privée lorsqu’il y a traitement de données personnelles, mais aussi des risques de mauvaise information, voire de manipulation, lors de la relation commerciale. 

L’opacité des décisions algorithmiques est, à cet égard, un sujet de préoccupation majeur du superviseur en matière d’IA. C’est bien sûr un enjeu de protection de la clientèle, car un client doit pouvoir comprendre la décision automatisée prise à son égard. Mais c’est aussi un enjeu de gouvernance : un établissement qui comprend mal les décisions que prennent ses systèmes d’IA ne peut prétendre en maîtriser les risques. 

Si l’on élargit maintenant la focale, l’adoption massive de l’IA peut être à l’origine de risques pour la stabilité du système financier dans son ensemble, ce que nous appelons les risques « macro-prudentiels ». En la matière, on peut distinguer deux grands ensembles de risques : en premier lieu, les comportements moutonniers sur les marchés financiers pourraient être accrus par l’utilisation des mêmes types d’outils ; il en résulterait davantage de volatilité et de procyclicité. En second lieu, le déploiement massif de l’IA peut se traduire par des risques systémiques de dépendance à des acteurs tiers si le secteur financier privilégie massivement l’achat de systèmes d’IA « sur étagère » – par exemple dans le domaine de l’IA générative, dont les principaux acteurs sont aujourd’hui les mêmes que ceux qui dominent le marché du cloud.

Il nous faut cependant rester prudents, car l’avenir n’est pas écrit. L’importance des facteurs de risque systémique que je viens de citer – mêmes types d’outils induisant des comportements similaires, mêmes fournisseurs – dépendra avant tout d’une question technologique : les modèles généralistes vont-ils progressivement s’imposer pour tous les usages ? Si oui, cela risque fort, en effet, de conduire à ce que les économistes appellent un monopole ou un oligopole naturel. Il en ira autrement si les modèles spécialisés tiennent le premier rang.

Enfin, à la frontière entre micro et macro-prudentiel, je mentionnerai un dernier risque, et non des moindres : le risque cyber. Celui-ci est devenu au cours des dernières années le premier risque opérationnel pour le secteur financier. Or l’IA est un facteur d’amplification de ce risque. D’abord, parce que la technologie accroît fortement la dangerosité des attaquants : assistants en écriture de code détournés pour concevoir des logiciels malveillants, voix synthétiques facilitant l’usurpation d’identité… La liste des menaces est longue, même si la technologie pourra aussi être mobilisée pour contrer ces attaques. Ensuite, et en se plaçant à un niveau plus global, le déploiement croissant de l’IA pourrait encore accroître les « interconnexions techniques » au sein du système financier, dans lequel les technologies, les systèmes et les fournisseurs s’entrecroisent en un jeu toujours plus complexe d’interdépendances, facilitant le transfert d’une vulnérabilité d’un système à un autre. C’est l’une des raisons d’être du règlement européen DORA, qui entrera en vigueur à partir de janvier 2025. 

J’en viens donc maintenant à l’encadrement réglementaire de l’IA dans le secteur financier.

3/ Face aux risques de l’IA, et afin de permettre au secteur financier de tirer pleinement parti de ses opportunités, il nous faut construire une régulation efficace.

Le mouvement d’encadrement réglementaire a déjà commencé : avec son règlement sur l’IA (« AI Act »), l’Union européenne s’est dotée du premier instrument législatif au monde et a posé les bases d’une « IA de confiance ». Pour ce faire, le règlement distingue plusieurs niveaux de risque, au sein desquels les « risques élevés » – qui constituent le cœur du texte – vont concerner le secteur financier à au moins deux titres : l’évaluation de la solvabilité pour l’octroi de crédit à des personnes physiques ; l’évaluation et la tarification en assurance maladie et en assurance vie. 

Si le texte se concentre avant tout sur les droits fondamentaux des citoyens, le superviseur financier doit également tenir compte d’autres objectifs : stabilité financière, LCB-FT… Le législateur européen a bien vu la nécessité d’articuler les objectifs trans-sectoriels du texte avec les objectifs particuliers de la réglementation financière : il a ainsi confié le rôle d’« autorité de surveillance du marché » aux autorités de contrôle du secteur financier pour ce qui concerne les cas d’usage financiers. Ce choix est judicieux ; il permettra d’articuler au mieux la mise en œuvre des corpus juridiques sectoriels et trans-sectoriels, avec l’aide – le moment venu – d’orientations des autorités européennes de supervision. Quoi qu’il en soit, sur la base des travaux qu’elle mène depuis quelques années déjà sur l’IA, l’ACPR se tient prête à exercer le nouveau rôle que le règlement européen va lui confier.

Ce rôle, nous n’entendons toutefois pas l’exercer de manière isolée : il me paraît nécessaire au contraire de construire des coopérations efficaces pour encadrer l’utilisation de l’IA. D’abord, au niveau européen, où je souhaite que puisse être rapidement élaborée une méthodologie commune de l’audit des systèmes d’IA dans le secteur financier afin de réduire les risques micro-prudentiels. S’agissant des aspects macro-prudentiels, il me semble qu’une solution consiste à favoriser l’émergence de fournisseurs européens de solutions d’IA, afin de diversifier les outils, et donc les risques. 

Mais nous devrons aller au-delà de l’échelon européen car, par nature, l’encadrement de l’IA est un sujet mondial. J’observe d’ailleurs que de nombreuses juridictions expriment des préoccupations proches des nôtres, ce qui souligne l’intérêt des nombreuses initiatives internationales (FSB, OCDE mais aussi ONU…), qui doivent maintenant pouvoir converger. Nous devons aussi aller plus loin en développant les coopérations entre autorités sectorielles, car les questions liées à l’IA sont largement interconnectées : aujourd’hui vous m’avez ainsi entendu aborder des questions de concurrence ou de protection des données. Il me semble que l’un des intérêts du séminaire qui nous réunit aujourd’hui est précisément de favoriser l’échange de vues et le dialogue entre toutes les parties prenantes – et j’espère donc que ceux-ci seront fructueux.

Je vous remercie pour votre attention.