Régulation et innovation : des bénéfices mutuels

Mesdames et Messieurs,

Le secteur financier est engagé dans une dynamique d’innovation sans précédent. Les nouvelles technologies offrent en effet de vastes opportunités dans le domaine des services financiers, mais elles comportent aussi un certain nombre de risques. Cet impact ambivalent de l’innovation pose des questions évidentes aux banques centrales et aux superviseurs chargés de la stabilité financière : comment assurer le maintien, dans un environnement aussi changeant, de la stabilité financière, ainsi que de la confiance des clients et de l’ensemble des acteurs dans le système financier ? En Europe, une partie de la réponse consiste en une adaptation de nos outils de régulation, afin de tirer le meilleur parti des avantages apportés par l'innovation tout en en contrôlant les risques. Cette approche soulève toutefois des questions : ne risque-t-on pas d'entraver l'innovation, et donc la compétitivité du secteur financier, au nom de la maîtrise des risques ?

J’aimerais ce matin partager avec vous une conviction forte, qui pourra sembler iconoclaste dans le contexte actuel, et peut-être encore davantage dans ce pays : opposer innovation et régulation n’a pas de sens. Jean Monnet, l’un des pères de la construction européenne, avait eu cette formule fameuse : « Rien n’est possible sans les hommes, mais rien n’est durable sans les institutions ». Dans le même ordre d’idées, je souhaiterais dire : « Rien n’est possible sans l’innovation, mais rien n’est durable sans la réglementation ».
 
C’est particulièrement vrai, me semble-t-il, pour le système financier et je voudrais l’illustrer dans trois domaines critiques pour la sécurité et l’efficacité futures du secteur financier – la finance sur DLT (Distributed ledger technologies), intelligence artificielle (IA) et risques cyber.
 

I/ Je commencerai avec la finance sur DLT.

1/ Aujourd’hui, les crypto-actifs reviennent sur le devant de la scène, et particulièrement ici, aux Etats-Unis. Pourtant, nous devons garder à l’esprit que les crypto-actifs de « première génération », comme le Bitcoin, ne représentent qu'une faible proportion des actifs financiers dans le monde (1,4 % de la capitalisation boursière mondiale à la fin de 2024), et n’ont qu’une part marginale dans les services financiers essentiels, y compris les paiements, dont dépend l'économie réelle.

En contrepoint, les promoteurs de la tokenisation font valoir que celle-ci, bien qu'elle n’en soit encore qu’à ses débuts, offre des opportunités et des cas d’usage plus larges, notamment dans le domaine des services d'investissement, de négociation, de compensation et de règlement. Ainsi, à court ou moyen terme, la tokénisation des actifs financiers pourrait conduire à des gains d’efficacité dans les activités post-marché, les technologies blockchain permettant davantage d’automatisation, plus de disponibilité et de transparence, et une meilleure traçabilité. À plus long terme, la tokénisation des actifs non financiers – l’immobilier par exemple –, pourrait accroître la liquidité et l’accessibilité des marchés sous-jacents.
 
Or le développement de la finance tokenisée est notamment handicapé par l’absence d’un actif de règlement entièrement sécurisé. En effet, la monnaie de banque centrale – qui constitue la forme la plus sécurisée de la monnaie, et l’actif de règlement de référence dans la finance traditionnelle – n’est aujourd’hui pas disponible sur blockchain. Pour cette raison – c’est-à-dire, donc, par défaut –, les acteurs de marché pourraient être tentés de recourir aux crypto-actifs appelés stablecoins. Pour autant, ces stablecoins, surtout quand ils ne sont pas régulés, sont sujets à de nombreux risques, en particulier de liquidité. Les acteurs de marché ont bien conscience de ces risques, et le manque de confiance qui en résulte explique en bonne partie le rythme relativement lent auquel se développe la tokénisation des actifs.

2/ Dans ce contexte, notre stratégie en Europe consiste à adapter nos outils de régulation, afin de soutenir un développement sûr et durable de la finance tokenisée et de maintenir notre souveraineté monétaire sur les solutions de règlement. Nous le faisons de deux manières. Premièrement, nous avons élaboré une règlementation ad hoc pour les émetteurs de stablecoins et les fournisseurs de services d'actifs numériques, via l’adoption du règlement MiCA et du règlement dit « Régime Pilote ». Deuxièmement, les banques centrales de l'Eurosystème, sous l'égide de la BCE, ont entrepris d’adapter les services de monnaie de banque centrale qu’elles fournissent. Pour soutenir plus spécifiquement le développement de la finance tokenisée, le Conseil des gouverneurs de la BCE a ainsi annoncé, il y a deux semaines, que l'Eurosystème développera et déploiera, selon une approche en deux volets, des solutions de règlement des transactions sur DLT en monnaie de banque centrale, y compris sous forme numérique, c’est-à-dire en MNBC de gros. Cette initiative, dont le premier volet devrait être opérationnel d'ici la fin de l'année prochaine, devrait contribuer à soutenir la croissance d'un marché européen intégré et solide pour les actifs numériques.
 

II/ J’en viens à présent à un deuxième domaine d’innovation, absolument majeur pour le secteur financier : l’intelligence artificielle.  

1/ Le récent Rapport international sur la Sécurité de l’IA dirigé par le professeur Yoshua Bengio distingue trois types de risques : les risques liés à une mauvaise utilisation, les risques liés à un usage malicieux, et les risques systémiques. Je voudrais ce matin évoquer ces derniers, en montrant comment ils se déclinent dans le secteur financier.

Le secteur financier est en premier lieu vulnérable aux risques provenant de l’économie réelle. L'IA est en effet susceptible de générer progressivement des gains de productivité supplémentaires, mais aussi d’entraîner de profonds changements économiques, avec des restructurations sectorielles majeures, et d’importants transferts d'emplois de certains secteurs économiques vers d'autres – avec des risques accrus de faillite dans certains secteurs, de bulles spéculatives dans d’autres… Ces mutations économiques pourraient ainsi déstabiliser en retour le secteur financier.

Le secteur financier est aussi largement concerné par les risques environnementaux, que le développement de l’IA tend à amplifier. La perspective d’une utilisation régulière, voire intensive, de l’IA générative par des milliards de clients dans le monde pose évidemment question et conduit à plaider pour un usage raisonné de l’IA.

L'IA pourrait également contribuer à amplifier les vulnérabilités du secteur financier en raison d'un certain nombre de caractéristiques spécifiques. Par exemple, la concentration du marché de l'IA, en particulier sa dépendance à l'égard du matériel informatique spécialisé, des services de cloud et des modèles pré-entraînés, pourrait aggraver le risque de dépendance à des acteurs tiers, si le secteur financier privilégiait massivement l’achat de systèmes d’IA « sur étagère » – par exemple dans le domaine de l’IA générative, dont les principaux acteurs sont aujourd’hui les mêmes que ceux qui dominent le marché du cloud. Cela fait d’ailleurs écho aux enjeux de souveraineté que j’évoquais précédemment.

L'amplification des vulnérabilités du système financier pourrait aussi résulter de l'utilisation des mêmes types d'outils et de modèles de négociation, qui pourrait accroître les comportements moutonniers sur les marchés financiers ; il en résulterait alors davantage de volatilité et de procyclicité. La complexité et la nouveauté des nouvelles modélisations pourraient augmenter les risques d’erreur ou de mauvaise utilisation de l’IA par les établissements, entrainant des pertes financières substantielles. Or, par le jeu des interconnexions, le choc subi par un établissement peut rapidement se propager à l’ensemble du système financier.

2/ Face à ces risques, nous devons impérativement poser les bases d’une « IA de confiance », c’est-à-dire d’une IA maîtrisée, ce qui implique une réglementation appropriée.

L’Europe s’est montrée pionnière en la matière : le règlement sur l’IA, adopté à l’été 2024, vise ainsi à protéger les droits des citoyens tout en favorisant le développement d’un marché européen de l’IA de confiance. En outre, les superviseurs financiers devront adapter leurs activités de contrôle pour s'assurer que les institutions financières gardent la maîtrise des risques liés à l’utilisation de l'IA.

Dans cette perspective, je souhaiterais partager ce matin deux convictions avec vous. D’abord, les principes de saine gestion des risques et de gouvernance que nous promouvons habituellement en tant que superviseurs permettent d’encadrer efficacement la plupart des risques liés à l’IA, moyennant quelques adaptations. De plus, la culture de la maîtrise des risques du secteur financier et les dispositifs de contrôle interne constituent de solides garde-fous.

Pour autant, et c’est ma seconde conviction, certaines questions présentent un caractère résolument nouveau : elles nécessitent donc une attention particulière des superviseurs comme des supervisés. C’est le cas de l’explicabilité ou de l’équité des algorithmes. Laisser ces questions sans réponses, ce serait créer de l’incertitude juridique pour les établissements, c’est-à-dire freiner les décisions opérationnelles et in fine l’innovation dans le secteur. Je crois donc qu’il nous faut accompagner dès maintenant le secteur financier sur le plan technologique comme sur le plan règlementaire pour assurer le développement d’une IA de confiance. Cela implique notamment que les superviseurs montent en compétence, adaptent leurs outils et leurs méthodes… bref, en un mot, qu’ils innovent. Là encore, innovation et régulation apparaissent comme deux impératifs complémentaires, plutôt qu’antinomiques.

III/ Je voudrais maintenant aborder un troisième domaine crucial pour le secteur financier : les risques cyber.

1/ Le secteur financier est l’un des plus gros utilisateurs de données et de ressources informatiques dans le monde. Cette tendance structurelle a été renforcée, au cours des dernières années, par une disponibilité et une ouverture toujours plus larges des données. Cette ouverture profite largement au secteur financier, qui peut évaluer de nouveaux risques ou personnaliser la tarification au plus près du client. Dans le même temps, la multiplication des sources de données, ainsi que le renforcement des interconnexions techniques, créent de nouvelles vulnérabilités. Ces vulnérabilités sont en outre accentuées par le développement des nouvelles technologies, au premier rang desquels l’IA, qui accroît fortement la dangerosité des cyber-attaquants, même si elle peut aussi aider à détecter les schémas des attaquants.

Une autre technologie nouvelle pourrait bouleverser encore plus radicalement le domaine du risque cyber, et conduire à des effets dévastateurs pour le secteur financier : l’informatique quantique. Grâce à leurs capacités de calcul parallèles, il est d’ores et déjà avéré que les ordinateurs quantiques auront la capacité de casser par « force brute » les méthodes de chiffrement les plus utilisées, notamment celles qui protègent aujourd’hui nos canaux de communication. Or la dématérialisation avancée des échanges rend nos économies et notre système financier largement dépendants de la robustesse des techniques de chiffrement. Par conséquent, cette menace doit nous inciter à entamer sans attendre une transition graduelle vers des solutions de cryptographie résistantes au quantique. Ces solutions existent déjà et ont récemment été référencées par le NIST américain, même si elles doivent encore faire l’objet de nombreuses recherches. C’est l’une des raisons pour lesquelles, à la Banque de France, nous avons conduit plusieurs expérimentations sur le sujet à l’échelle internationale, notamment via notre engagement au sein du Hub d’Innovation de la BRI.

2/ En outre, afin de concilier ouverture des données et maîtrise des risques, il nous faut organiser la résilience opérationnelle du secteur financier.
 
Dans cet objectif, en Europe, la réglementation DORA, entrée récemment en application, complète le corpus règlementaire traditionnel par des règles spécifiques sur la résilience opérationnelle et la gestion des risques informatiques. Elle instaure notamment de nouvelles méthodes de prévention des risques, comme les tests de pénétration fondés sur la menace (TLPT) pour les institutions systémiques. Ces tests de sécurité renforcés, faisant intervenir des équipes « adverses » simulant les tactiques de cyber-attaquants (red teams), permettent de tester les systèmes critiques des établissements dans un environnement réel.

DORA incite aussi les entités financières à coopérer entre elles afin de mutualiser les connaissances sur les menaces émergentes. Les superviseurs joueront un rôle central en facilitant et en encadrant ces échanges d’informations entre acteurs. Ici, la règlementation se fait donc facilitatrice, pour améliorer la résilience opérationnelle et la gestion des risques informatiques.

Je conclurai en disant quelques mots sur les défis que ces innovations soulèvent pour nous, banques centrales et superviseurs financiers, si nous voulons contribuer de manière positive à leur mise à profit et à l’atténuation de leurs risques pour le fonctionnement et la stabilité du système financier.

1/ Premièrement, nous devons nous-mêmes maîtriser les nouvelles technologies, afin de rester efficaces et efficients dans la conduite de nos activités de contrôle. Cela suppose d’abord de se doter d’infrastructures de traitement performantes, avec une attention particulière aux données sensibles à notre disposition. S’agissant des données, justement, nous devons mettre à profit les nouveaux gisements de données, en tirant parti des innovations technologiques : les registres ouverts que constituent les blockchains représentent, par exemple, une nouvelle manne de données pour les banques centrales et les superviseurs. Mettre à profit ce potentiel suppose toutefois de se doter des compétences spécialisées – ce qui n’est pas toujours évident dans un univers hautement concurrentiel – et de faire évoluer nos outils et nos méthodes. En la matière, des coopérations renforcées avec la sphère académique peuvent nous permettre d’aller plus vite.

2/ Ceci m’amène à mon deuxième point : il nous faut également coopérer plus et mieux. Chacun des trois sujets que j’ai abordés précédemment – DLT, IA, cyber et quantique – constitue une question par nature trans-frontière. Nous devons donc naturellement développer des synergies avec les autres autorités financières, afin de construire une régulation cohérente à l’échelle mondiale. Nous devons en outre aller plus loin et bâtir des coopérations avec d’autres autorités sectorielles (concurrence, vie privée, cyber-sécurité etc.), afin de prendre en compte les nombreuses dimensions de ces problèmes éminemment complexes. Enfin, nous avons aussi intérêt à coopérer davantage avec le secteur financier lui-même : autorités publiques et institutions financières partagent en effet de nombreux défis – pensons par exemple à l’informatique quantique, que nous évoquions précédemment –, et elles pourront les surmonter d’autant plus facilement qu’elles auront su avancer ensemble.

Pour résumer, je dirai que les banquiers centraux et les superviseurs financiers doivent non seulement contribuer à réguler, mais aussi innover, afin de garantir la stabilité du système financier tout en soutenant sa transformation. Cela exige de notre part d'éviter l'écueil commun à la réglementation et à l'innovation que peut constituer la trop grande sophistication ou la trop grande complexité. C'est pourquoi, dans le débat qui s'est ouvert en Europe sur les moyens de favoriser la compétitivité de notre secteur financier, nous plaidons à la Banque de France pour une réglementation aussi simple que possible et, lorsque cela s’avère nécessaire, pour sa simplification et pour l'allègement de la charge déclarative associée, sans renoncer à fixer des exigences élevées en matière de gestion des risques.

En d'autres termes, nous sommes en faveur de la simplification et non de la déréglementation, et donc d’une réglementation qui soit plus efficace et efficiente.

Je vous remercie pour votre attention.