L’AI Act va-t-il tuer l’innovation dans les banques en Europe
En arrivant tôt dans le cycle de développement de l’IA, l’AI Act pourrait ralentir l’adoption en Europe de cette technologie, en particulier dans les banques, analysent Marine Lecomte, directrice des offres et des innovations pour les services financiers chez Sopra Steria etVincent Lefèvre, Consulting Director, Financial Services, Sopra Steria Next.
L’IA a le potentiel de transformer le secteur bancaire, par exemple en révolutionnant les scores de crédit. Mais cette vague d’innovation pourrait être fortement ralentie. En effet, avec l’AI Act, l’Union européenne est la première région du monde à réglementer le domaine naissant de l’IA.
Certes, cette réglementation poursuit le noble objectif de protéger les citoyens européens contre les risques de l’IA, comme le manque de transparence, les biais algorithmiques, etc. Mais cette réglementation pourrait ralentir l’adoption en Europe de cette technologie, en particulier dans le secteur bancaire.
Le texte divise
L’AI Act, un texte généraliste à valeur ajoutée limitée ? C’est la question que posent les deux spécialistes de Sopra Steria Next. « À peine adopté, l’AI Act divise déjà : certains le trouvent trop généraliste, d’autres trop strict par rapport à des approches plus flexibles, comme celles désormais privilégiées aux États-Unis. Il est ainsi frappant que la première échéance d’application du texte européen, fixée au 2 février 2025, coïncide presque jour pour jour avec la révocation de l’AI White House Executive Order. Ainsi, les Etats-Unis donnent priorité à l’innovation avant tout… »
Si on s’extrait de ces débats politiques, on constate qu’en pratique, l’AI Act semble requérir un niveau d’exigence assez facile à atteindre pour les banques. C’est ainsi que, selon le premier sous-gouverneur de la Banque de France, Denis Beau, les exigences pour les systèmes dits « à haut risque » dans la réglementation reposent sur des pratiques bien connues, telles que la gestion des risques, la gouvernance des données et la cybersécurité. En somme, ce texte n’introduit rien de totalement inédit pour le secteur financier.
Interdiction « des usages dangereux »
Faut-il dès lors minimiser l’impact de l’AI Act et le considérer comme un simple complément aux réglementations existantes ? « Ce serait une conclusion hâtive, préviennent les auteurs de l’analyse. Même s’il n’est pas révolutionnaire, ce texte demande une surveillance rigoureuse et opérationnelle des solutions d’IA. »
Dès février 2025, l’AI Act interdit les usages jugés dangereux par le législateur. Par exemple, tout traitement pouvant entraîner une discrimination ou un désavantage pour une personne en raison de sa « classification » par l’IA sera proscrit. De même, le texte prohibe l’usage de l’IA pour « prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base du profilage ou de l’évaluation de ses traits de personnalité ou caractéristiques ». En pratique, les banques ne sont pas impliquées dans ces usages dangereux.
Encadrement des « usages à risque »
Par contre, d’ici août 2026, les banques devront se conformer aux exigences de l’AI Act pour les cas d’usage classés « à haut risque ». Pour le secteur financier, ces cas d’usages concernent spécifiquement l’évaluation de la solvabilité pour l’octroi de crédits aux particuliers et la tarification en assurance santé et vie. Que ce soit les fournisseurs, qui développent le modèle d’IA, ou les « déployeurs », qui utilisent ces systèmes, ils devront en assurer la sécurité et la transparence : processus de gestion des risques, documentation technique, suivi de la qualité des données mais également surveillance continue du fonctionnement. Les systèmes d’IA devront respecter des contrôles rigoureux pour prévenir toute discrimination ou biais et être traçables ainsi que supervisés par des humains.
Ce cadre ne constitue toutefois pas une rupture, notent Marine Lecomte et Vincent Lefèvre ; il s’inscrit dans la continuité de réglementations existantes, comme les recommandations de 2022 sur l’octroi et le suivi des crédits, qui prévoyaient déjà le droit à une nouvelle analyse pour les décisions prises par la technologie. L’AI Act va toutefois plus loin en harmonisant et en renforçant ces obligations à l’échelle européenne.
Règles de surveillance de la supervision
La supervision des banques dans ce contexte évolutif constitue également un enjeu majeur. En France, l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) semble se préparer à jouer un rôle central. Denis Beau précisait ainsi récemment que « le superviseur financier lui-même monte en compétences et adapte ses outils et des méthodes. Nous devrons nous doter, sans doute progressivement, d’une doctrine sur les sujets nouveaux. ». À ce titre, le cadre offert par l’AI Act pourrait aider l’interaction entre les banques et les superviseurs.
Le volet des sanctions vient confirmer l’importance de la prise en compte proactive des exigences du texte. Les pénalités prévues par l’AI Act sont particulièrement dissuasives, pouvant atteindre 7 % du chiffre d’affaires mondial annuel ou 35 millions EUR.
L’AI Act : un cadre incontournable pour les banques de demain
L’AI Act, bien qu’il ne constitue pas une révolution majeure, établit un socle réglementaire que le secteur bancaire ne peut ignorer. Pour les banques, insistent les deux spécialistes, il ne s’agit pas simplement de se conformer, mais d’anticiper ; il s’agira de suivre activement les recommandations de l’entité de surveillance tout en prenant des mesures concrètes pour garantir un alignement avec ce nouveau cadre.
Cela inclut la sensibilisation de l’ensemble des acteurs aux nouvelles obligations, une définition des rôles selon les notions de « fournisseurs » et de « déployeurs », mais aussi un travail méthodique de recensement et de classification des usages de l’IA.
« Pour les banques, il s’agit maintenant de passer d’une logique de pilotes à des déploiements industrialisés pour faire de l’intelligence artificielle un moteur de performance et de différenciation. »
