La technologie s’invite depuis plusieurs années dans le domaine financier (block chain, intelligence artificielle etc.). Le recours accru à des technologies disruptives peut générer de nouveaux risques ou modifier certains risques existants[1].
L’intelligence artificielle s’invite dans un nombre croissant de processus opérationnels et plus largement de réflexion, que ce soit pour améliorer certains processus ou faciliter les contrôles et l’anticipation des risques (profilage des comportements par exemple). Cette présence qui s’accélère suscite, bien logiquement, l’attention des régulateurs et superviseurs.
Nous ne reviendrons pas ici sur la définition de l’intelligence artificielle et sa capacité à s’auto-entretenir et s’auto-améliorer. Dans un premier temps, nous présenterons les principaux apports de ces technologies liées à l’IA, qu’il s’agisse notamment du traitement automatisé des tâches remplaçant l’humain (ouverture automatique des courriels, remplir des formulaires etc.), du Machine Learning (ML) ou du Traitement du Langage Naturel (TLN)[2]. Dans un second temps, nous nous appuierons sur le document de réflexion de l’ACPR[3] pour identifier les enjeux de ces technologies.
1. Les apports de l’IA
1.1 L’évolution de la relation client : le développement de la conversation virtuelle
L’évolution des processus opérationnels et la digitalisation ont notamment été un vecteur du recours accru à l’IA. L’évolution dans la relation client est belle et bien en marche et l’IA va faciliter cette évolution.
L’IA facilite l’intelligence conversationnelle, qu’il s’agisse du recours à des chatbots[4] et/ou des assistants virtuels. Nous avons tous eu à faire ces dernières années à ce type d’outil qui permet d’obtenir des réponses à des questions précises et d’être rappelé par un opérateur si nécessaire. Certaines technologies s’appuyant sur l’IA permettent d’aller au-delà de l’identification par mot-clé : c’est le cas par exemple du Bort conversationnel, du voice bot, de l’agent conversationnel, autant de dénominations qui regroupent des programmes informatiques s’appuyant sur l’intelligence artificielle et le langage naturel (TLN) afin de converser avec le client ; L’agent virtuel[5] peut ainsi dialoguer avec le client dans l’attente, éventuellement, du recours au conseiller.
Si le client préfère toujours son téléphone, ces outils lui permettent d’obtenir des réponses rapides à certains types de question quand il le souhaite, en complément des traditionnelles rubriques FAQ. L’IA est donc un accélérateur au service du client, même si celui-ci n’est pas toujours satisfait de ces échanges virtuels et préfère le contact direct. La période actuelle a néanmoins permis de démontrer qu’ils constituent une réponse dans un contexte de distanciation sociale.
1.2 La performance de l’exploitation des données au service des clients
Un des autres apports de l’IA est l’exploitation des données (sous réserve qu’elles soient fiables et accessibles). En effet, l’IA permet d’analyser des quantités significatives de données en un temps record : analyse des habitudes des clients, analyse des rentabilités comparées etc., que ce soit à partir du référentiel client ou des données collectées par les chargés de clientèle. Quand plusieurs sources de données sont possibles, l’IA peut être d’une grande efficacité.
Il permet également d’automatiser l’analyse des comptes-rendus d’entretien et de retranscrire ces informations sous forme de données interprétables[6]. Les données peuvent être analysées en temps réel et fournir ainsi une réponse immédiate au client plutôt que de devoir faire une analyse manuelle de plusieurs sources d’information par le conseiller. Il est possible rapidement d’orienter le client directement vers la personne/service concerné.
L’IA permet également de réaliser des propositions automatisées de produits financiers, en intégrant les enjeux de conformité (par exemple devoir de conseil) en lien avec les exigences et les besoins exprimés par le client.
L’objectif est alors de répondre au mieux aux attentes du client, à son profil, à ses habitudes, d’anticiper les réclamations éventuelles etc.
1.3 L’amélioration de l’efficacité des dispositifs de maîtrise des risques
L’IA est amené à jouer un rôle également dans le dispositif de maîtrise des risques.
Il contribue à l’amélioration des éléments de contrôle, qu’ils soient préventifs, détectifs ou correctifs.
En matière de dispositif préventif, l’IA facilite :
- Le processus de veille réglementaire ;
- L’anticipation de certains risques par l’analyse de tendance ;
- L’approche par les risques.
En matière de LCB/FT, les systèmes qui se déploient permettent un profilage de la clientèle facilitant l’approche par les risques. Cela améliore l’efficacité de la classification des risques, aidant l’organisation à piloter le niveau de vigilance tout au long de la relation d’affaires.
En matière de dispositif détectif et correctif, l’IA contribue à améliorer l’efficacité des contrôles et la détection des dysfonctionnements. Le système expert est ainsi capable d’identifier certains dysfonctionnements à partir d’algorithmes définis et d’automatiser ainsi certains travaux de contrôle.
La gestion de la fraude s’appuie de plus en plus sur des algorithmes qui permettent de détecter les signaux avant-coureurs et de générer des alertes selon certains comportements[7].
En matière LCB/FT, les scénarios sont de plus en plus sophistiqués et permettent de générer, là encore, des alertes qui améliorent la vigilance constante (sous réserve, bien sûr, que ces alertes soient exploitées et adaptées aux enjeux).
L’intelligence artificielle s’invite également de plus en plus au sein des départements d’audit interne[8]. Elle facilite l’adéquation des plans d’audit aux risques, permet des audits en continu, améliore la fiabilité des échantillons et des constats.
Plus largement, l’IA promet d’améliorer ainsi à la fois la fiabilité et la performance des dispositifs de maîtrise des risques.
2. Les enjeux liés à l’IA
Si l’IA tel que présenté précédemment semble constituer un atout indéniable[9], comme toute technologie, elle nécessite des points d’attention que l’ACPR analyse dans son document de réflexion de juin 2020. Ces réflexions sont issues de divers ateliers. Si cette étude s’est concentrée sur trois domaines : la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), les modèles internes et en particulier le scoring de crédit, et la protection de la clientèle, ses résultats peuvent être extrapolés à d’autres utilisations de l’IA (au sens essentiellement de Machine Learning[10] (ML)) au sein des établissements (notamment pour les fonctions Risque et Audit).
En effet, afin que l’IA réponde à ses promesses, nous retenons les 4 critères interdépendants définis dans le document de l’ACPR, à savoir :
- Le traitement adéquat des données ;
- La performance ;
- La stabilité ;
- L’explicabilité.
2.1 Le traitement adéquat des données
La donnée est à la base de l’IA, constituant ainsi un des points d’amélioration des dispositifs actuels. La qualité du référentiel de données devient un incontournable[11]. Outre la donnée, le traitement lui-même doit être adapté, qu’il s’agisse des pré-traitements ou des post-traitements des données.
Des biais sont possibles dans les algorithmes ainsi que dans le traitement des données. La composante humaine peut être source de ces biais. De plus, les traitements doivent être en phase avec la règlementation. RGPD vient immédiatement à l’esprit ; d’autres réglementations, selon les thèmes, sont à prendre en compte (LCB/FT, devoir de conseil, sécurité des paiements, conformité des produits d’assurance-vie etc.).
Les enjeux d’éthique sont présents à partir du moment où des traitements sont réalisés pouvant amener la prise de décision. La décision qui sera prise sera-t-elle forcément éthique[12] ?
Le risque de qualité et de traitement des données est ainsi à prendre en compte avec des facteurs de risque tant internes qu’externes (liés à l’humain et au contexte réglementaire notamment). Il est important de documenter tous les choix réalisés afin de pouvoir justifier, si nécessaire, des traitements réalisés.
2.2 La performance
Le document de l’ACPR fait référence à « la performance d’un algorithme de ML qui est une notion couverte par un ensemble de métriques suffisant pour évaluer l’efficacité d’un algorithme en finance ». Plus largement, l’IA est censée apporter de la performance comme nous l’avons évoqué dans la première partie.
Le risque est alors de générer des coûts indirects qui peuvent perturber cette performance. Par exemple, ces coûts peuvent être liés à des problèmes de compétence, compétence nécessaire pour exploiter les informations issues de ces systèmes. L’organisation peut ne pas être adaptée à ces nouveaux modes de traitement et l’IA peut perturber les processus opérationnels. Le système peut générer de nombreux faux positifs (cas en matière de lutte contre le blanchiment et le financement du terrorisme) qui réduisent l’efficacité des traitements.
Le risque de rentabilité est ainsi lié aux enjeux de l’IA ; ce qui suppose de définir des indicateurs de performance permettant d’apprécier l’apport de cette technologie.
2.3 La stabilité
Le document de l’ACPR évoque ainsi la robustesse et la résilience du comportement d’un algorithme de ML au cours de son cycle de vie. La stabilité d’un algorithme fait référence à la propagation des erreurs au cours des étapes du calcul, à la capacité de l’algorithme à ne pas trop amplifier d’éventuels écarts, à la précision des résultats obtenus. Imaginons ce que cela peut donner sur l’interprétation par exemple des entretiens clients au fil des années ou sur le scoring de certains clients. De nombreux travaux de recherche se sont penchés sur la question de la stabilité afin de déterminer dans quelle mesure les modèles prédictifs sont fiables dans le temps.
Le risque est ainsi de laisser le programme aggraver les écarts, générant au fil de l’eau, des erreurs significatives qu’il convient d’identifier ; ce qui nécessite un suivi adapté. De plus, l’évolution des éléments de contexte peut nécessiter des adaptations des algorithmes.
2.4 L’explicabilité
Cette notion d’explicabilité est sans doute la plus intéressante pour les fonctions notamment de contrôle. Elle est liée aux concepts de transparence ou d’interprétabilité algorithmique. Deux questions se posent et doivent pouvoir être appréciées et vérifiées :
- Comment l’algorithme prend ses décisions ?
- Pourquoi l’algorithme prend-il cette décision ?
En effet, l’enjeu, tant que l’humain a encore un rôle à jouer, est de savoir exploiter les résultats des programmes. Des biais peuvent survenir dans l’interprétation des résultats fournis par la machine.
Des enjeux de responsabilité peuvent apparaître également : la machine a-t-elle toujours raison ? Et si elle a tort, qui est responsable ? Dans quelle mesure un collaborateur pourra-t-il se permettre de remettre en cause le résultat donné et prendre une décision différente de celle dictée par la machine ?
Pour cela, il convient de bien définir, au préalable à toute utilisation de l’IA, quelle sera la finalité ? Pour quels acteurs (externes, internes) ? Pour quel type de décision ?
À côté des risques identifiés autour de ces 4 critères, l’IA renforce les exigences de sécurité des données et de confidentialité.
3. La nécessaire gouvernance de ces enjeux
Si l’IA peut être un vecteur de performance, il contient, comme tout processus et outil, des risques et des limites[13]. L’arrivée de ces technologies oblige à mettre à niveau d’une part la cartographie des risques et d’autre part l’organisation afin de mettre en œuvre une gouvernance efficace de ces nouvelles technologies.
L’apport de l’IA (notamment ML) n’est pas forcément un risque en soi ; il modifie certains risques existants en les amplifiant (risque modèle, risque sécurité des données etc.) ; il devient facteur de risque d’autres risques (risque de non-conformité, risque éthique, risque homme-clé etc.).
Les fonctions de contrôle évoluent, à la fois utilisateur (comme l’audit interne[14]) et évaluateur des dispositifs en place (audit des programmes). Les normes, notamment d’audit, sont amenées à s’adapter[15].
Ces réflexions s’invitent alors très en amont des projets afin d’anticiper les conséquences directes et indirectes de ces évolutions. De nouveaux indicateurs seront mis en place, indicateurs potentiellement issus de ces mêmes programmes.
Enfin, la gouvernance de l’IA passe par celle des compétences. Les ressources humaines ont un rôle essentiel à jouer. Quelles sont les compétences amenées à se réduire ? Le recours croissant à des algorithmes peut-il réduire certains savoir-faire ? Peut-on perdre de l’intuition, des modalités de raisonnement[16] ? Quelles sont les connaissances que les collaborateurs devront appréhender, individuellement et collectivement ? Devrons-nous tous savoir parler programmation ou bien serons-nous spécialisés, les data scientist d’un côté et les autres profils de l’autre ?
Conclusion
La question n’est pas de savoir s’il faut recourir ou non à l’IA : cette technologie est bien présente et les budgets prévisionnels accordent une part importante à son déploiement.
L’enjeu est de savoir anticiper les conséquences de ces évolutions, en termes de maîtrise des risques des établissements. Si de prime abord, les côtés positifs de l’IA apparaissent, la gouvernance de l’organisation peut s’en trouver profondément modifiée. Ces sujets doivent être intégrés dès à présent dans les réflexions. Toute la réglementation qui peut venir cadrer ces évolutions ne ferait que préciser ce qui devrait être anticipée dès à présent.
[1] « Considérant que l’intelligence artificielle (IA), la robotique et les technologies connexes se développent rapidement et sont susceptibles d’avoir une incidence directe sur tous les aspects de nos sociétés, y compris les valeurs et les principes sociaux et économiques de base » – Extrait de la Résolution parlement européen sur l’IA (page 16) P9_TA-PROV(2021)0009
[2] Le traitement du langage naturel permet à un ordinateur de comprendre le langage humain, qu’il s’agisse de langage écrit ou oral. C’est une composante de l’intelligence artificielle qui sait écouter et lire les interactions humaines, et en comprendre le sens.
[3] Gouvernance des algorithmes d’intelligence artificielle dans le secteur financier – Juin 2020 – ACPR – Document de réflexion – https://acpr.banque-france.fr/sites/default/files/medias/documents/20200612_gouvernance_evaluation_ia.pdf
[4] Chatbot : chat (causer) ou chatter (bavarder intensément) et bot (forme abrégée du mot robot)
[5]Ces assistants virtuels sont capables de mener une multitude de conversations simples simultanément. Les avancées technologies tendent à les faire ressembler de plus en plus à de vrais êtres humains.
[6] Les robots s’amusent également à décrypter les discours des banquiers centraux (Les Echos, 28 juin 2019), voire anticipent les changements de politique monétaire (La Tribune, 24 octobre 2017).
[7] Artificial intelligence may become CMS’ fraudfighter, speed claim reviews M.Brady. Modern Healthcare ; Chicago Vol. 49, N° 42, (Oct 28, 2019): 13.
[8] https://docs.ifaci.com/wp-content/uploads/2018/03/tone-at-the-top-85-ia.pdf
[9] Et nous n’avons pas la prétention d’avoir été exhaustif sur toutes les opportunités …
[10] Le système Machine Learning permet aux ordinateurs d’apprendre sans avoir été programmés pour cela. Le système apprend de l’expérience (à la différence d’un programme informatique classique qui répète des tâches selon un programme défini). Cela suppose des bases de données importantes et de qualité. Le ML est un des développements à partir de l’IA.
[11] La norme prudentielle BCBS 239 répond à ces enjeux de complétude et de qualité des 9.
[12] Ethical, Explainable Artificial Intelligence Bias and Principles, L. Gordon-Murnane (2018), Online searcher.net
[13] L’IA, au cœur de la performance des banques – P. Ménard – Revue Banque N°805 – 030220
[14] Etude de PWC (2018) https://www.pwc.com/us/en/risk-assurance/rir/pwc-2018-state-of-the-internal-audit.pdf
Article intéressant également de The Application of IA in auditing – K. Omoteso (2012) : pour ne citer que quelques exemples, la littérature se développant dans ce domaine.
[15] PERSPECTIVES INTERNATIONALES Cadre de référence IIA pour l’audit de l’intelligence artificielle – IIA – 2017
[16] A l’instar des technologies embarquées dans les véhicules, savons-nous encore garer une voiture sans assistance ?