Le règlement européen sur l’IA a été publié au Journal officiel de l’Union européenne (JOUE) le 12 juillet 2024. C’est un texte historique pour l’Union européenne, qui devient le premier continent à réglementer de manière structurée et harmonisée l’usage de l’intelligence artificielle. Ce règlement, à portée transectorielle, va avoir de fortes implications opérationnelles pour les banques.
Par Richard MICHAUD
1. Objectifs de la réglementation européenne sur l’iA : Articificial INTELLIGENCE act
L’IA Act vise à encadrer les usages de l’IA au sein des entreprises, notamment à travers la définition d’une classification de risques selon les usages des systèmes d’IA (SIA).
L’IA Act définit la classification de risque suivante :
1.1. Usage inacceptable
SIA dont l’usage ne sera plus autorisé à compter de février 2025.
1.2. Usage à haut risque
Certains SIA qui feront l’objet d’exigences renforcées.
Exemples de SIA considérés comme étant à haut risque :
- Utilisation à des fin d’évaluation de la solvabilité.
- Établissement d’une notation crédit.
- Tarification des assurances vie.
- Identification biométrique.
- Ou encore des usages RH tels que l’évaluation des employés.
Des exemptions sont prévues pour les SIA comme par exemple :
- Usage dans le cadre des modèles de crédit à vocation de détermination des fonds propres (A-IRB).
- Modèles utilisés à des fins de détection de la fraude.
1.3. Usage à risque limité avec obligation d’information
Ces SIA font notamment l’objet d’exigences en matière de transparence.
1.4. Usage à risque minimal ou sans risque
Sur la base de cette classification de risque, des obligations différenciées sont prévues, notamment en matière de documentation des SIA.
L’IA Act défini par ailleurs de nombreuses obligations transverses qui sont à prendre en compte par les banques.
2. Calendrier réglementaire et Principales exigences de l’IA Act
Les exigences de l’IA Act vont rentrer en application progressivement. Le premier jalon pour les banques est fixé à février 2025, date à laquelle tout IA inacceptable au sens de l’IA Act devra être désactivée.
Les principales échéances réglementaires à venir pour les banques sont listées ci-après :
- 2 février 2025 : IA à risque inacceptable interdites.
- 2 août 2025 : mise en œuvre des exigences relatives aux IA génératives.
- 2 août 2026 : début des exigences concernant les IA à hauts risque.
- 2 août 2027 : début des exigences couvrant les IA à hauts risques intégrés dans des produits physiques.
Au-delà de la classification des usages, les banques devront également être en mesure d’identifier leur rôle joué au sens de l’IA Act pour chaque système d’IA (fournisseur, déployeur, distributeur, importateur).
Des exigences spécifiques sont également prévues pour les IA à usage général (GPAI), en particulier en matière de documentation, de cybersécurité ou encore de reporting.
3. Un challenge opérationnel
A la suite de la publication de l’IA Act au JOUE, des textes complémentaires de la part des instances européennes sont attendus par les établissements afin de leur permettre de progresser dans l’opérationnalisation de leurs dispositifs de mise en conformité.
A ce stade, l’IA Act prévoit la mise en œuvre d’un cadre d’obligations réglementaires différenciées selon le niveau de risque des SIA au sein de l’organisation.
3.1. Réaliser un exercice de recensement des SIA
La détermination de cette classification de risque sur les SIA d’un établissement bancaire nécessite la mise en œuvre au préalable d’un exercice de recensement de l’ensemble des SIA au niveau du Groupe.
3.2. Développer une approche « Compliant by design »
Afin d’être en mesure de répondre aux obligations progressives de l’IA Act, les banques devront à terme développer une approche « IA Act compliant by design », leur permettant d’identifier les besoins de mise en conformité d’un SIA dès la phase d’idéation d’un projet.
Cette approche est nécessaire afin d’éviter tout développement d’un SIA inacceptable au sens de l’IA Act, de déterminer la classification d’un SIA, et in fine d’estimer l’effort et le coût de mise en conformité associé.
3.3. Mettre en place une gouvernance adaptée facilitant le pilotage et la culture risque
Au-delà des obligations selon la classification de risques, l’IA Act prévoit un grand nombre d’obligation qui représente des défis d’implémentation importants pour les banques :
- Préparer l’acculturation d’un grand nombre de collaborateurs dans l’ensemble de l’organisation.
- Construire des capacités de pilotage de la mise en conformité des SIA développés en internes mais également des SIA développés via des prestataires externes.
- Définir et mettre en œuvre un dispositif de gestion des risques des SIA permettant de couvrir la montée en charge des exigences de l’IA Act.
- Mettre en œuvre une organisation permettant de piloter la conformité à l’IA Act sous différents axes :
- Processus opérationnels, opérationnels supportant la mise en conformité des SIA.
- Systèmes de sécurité des SIA, etc.
4. Prochaines étapes
Les grandes banques françaises ont lancé des premiers travaux de mise en conformité à l’IA Act, notamment pour anticiper la première échéance réglementaire de février 2025.
Il s’agit de cartographier l’ensemble des SIA utilisés au sein de l’établissement afin d’identifier tout SIA inacceptable au sens de l’IA Act et de la désactiver.
Au-delà, les banques commencent à préparer leur mise en conformité sur les différents axes couverts par l’IA Act (dispositif de gestion des risques, formation, acculturation, utilisation des données, traçabilité, etc.).
La mise en conformité à l’ensemble des exigences de l’IA Act représente un challenge opérationnel conséquent pour les banques dans les mois et années à venir.
GLOSSAIRE
- IA Act : Artificial Act
- JOUE : Journal Officiel de l’Union européenne
- GPAI : IA à usage général
Découvrez notre programme de formation pour vous accompagner sur ces enjeux.