Gestion de l'intelligence artificielle au cœur d’un environnement réglementé

Classification¹

¹ _{Il s'agit d'une présentation très simplifiée qui doit permettre une première classification rapide du sujet. Chaque établissement doit déterminer la pertinence et le besoin spécifique d'action individuellement et spécifiquement.}  

L'intelligence artificielle sur le marché financier suisse

Le 22 novembre 2023 dernier en Suisse, le Conseil Fédéral a décidé de construire les bases d'une future réglementation de l'IA. Le Département Fédéral de l’Environnement, des Transports, de l'Energie et des Communications (DETEC) a été chargé d'identifier les approches possibles en matière de réglementation de l'IA en Suisse d’ici fin 2024, afin qu'elles soient compatibles avec les développements réglementaires au sein de l'UE.

L’influence de l'IA a fortement augmenté ces derniers temps, en particulier dans le secteur financier. L'abondance des domaines d'application de l'IA est conséquente dans le secteur des services financiers. Dans son moniteur de risques 2023, la FINMA a identifié l'IA comme une tendance à long terme, mais aussi comme un risque stratégique. Ce faisant, elle a annoncé qu'elle examinerait l'utilisation de l'IA dans les établissements soumis à sa surveillance et qu'elle suivrait de près les autres évolutions en Suisse et à l'étranger. Plus précisément, les quatre attentes suivantes ont été formulées à l'égard des prestataires de services financiers lorsqu'ils utilisent l'IA :

• Gouvernance et responsabilité : Des rôles et des responsabilités clairs ainsi que des processus de gestion des risques doivent être définis. La responsabilité des décisions ne peut pas être déléguée à l'IA ou à des tiers. Toutes les parties prenantes doivent disposer d'une expertise suffisante en matière d'IA.
  
  
• Robustesse et fiabilité : lors du développement, de la personnalisation et de l'utilisation de l'IA, il est important de veiller à ce que les résultats soient précis, robustes et fiables.
  
  
• Transparence et explicabilité : l'explicabilité des résultats d'une application d'IA ainsi que la transparence de son utilisation doivent être garanties en fonction du destinataire, de la pertinence et de l'intégration des processus.
  
  
• Égalité de traitement : il convient d'éviter les inégalités de traitement non justifiables entre différents groupes de personnes.

Réglementation de l’UE sur l'intelligence artificielle (règlement sur l'IA)

Avec le compromis politique convenu par la Commission européenne, le Conseil de l'Union européenne et le Parlement européen le 8 décembre 2023, l'UE a fait un grand pas en avant vers une législation sur l'IA. Pour définir un système d'IA, les législateurs de l'UE se basent sur les travaux de l'OCDE, bien qu'il faille attendre la version finale du règlement sur l'IA pour obtenir la définition exacte. L'OCDE définit un système d'IA comme un « système qui fonctionne grâce à une machine et capable d'influencer son environnement en produisant des résultats (tels que des prédictions, des recommandations ou des décisions) pour répondre à un ensemble donné d'objectifs. Il utilise les données et les intrants généré par la machine et/ou apportés par l'homme […] ».

Le règlement sur l'IA comportera une classification fondée sur les risques des différents systèmes d'IA en fonction des risques potentiels pour la société et les droits fondamentaux. Une distinction sera faite entre les niveaux de risque suivants :

1. Systèmes présentant un risque inacceptable
   Il s’agit des systèmes qui violent les droits fondamentaux représentent un risque inacceptable et sont donc interdits. Il s'agit par exemple des systèmes de notation sociale de l'État ou des systèmes d'identification biométrique en temps réel dans l'espace public.
   
   
2. Systèmes à haut risque
   Il s’agit des systèmes qui présentent un risque important de porter atteinte à la sécurité et aux droits fondamentaux des personnes. Cette catégorie comprend les systèmes qui sont utilisés dans des domaines sensibles tels que les infrastructures critiques ou l'éducation. Ces systèmes sont soumis à des exigences strictes (évaluation de la conformité, examen des atteintes aux droits fondamentaux, etc.)
   
   
3. Systèmes à risque limité
   Il s’agit des systèmes qui ne présentent que des risques limités et sont soumis à certaines obligations de divulgation. Cette catégorie comprend par exemple les « chatbots » ou les « deepfakes ». Ces systèmes exigent que les utilisateurs soient informés de manière transparente qu'ils interagissent avec un système d'IA.
   
   
4. Systèmes à risque nul ou minimal
   Il s’agit des systèmes qui ne présentent pas de risques ou seulement des risques minimes pour la société, comme les filtres anti-spam contrôlés par IA. La plupart des systèmes d'IA devraient entrer dans cette catégorie. Bien qu'aucune obligation spécifique ne soit introduite pour ces systèmes, les prestataires peuvent se conformer volontairement à un code de conduite.

Outre ces 4 catégories de risques, le règlement IA introduit des obligations spécifiques en matière de documentation et de transparence pour les modèles d’IA à usage général dits General-Purpose AI (GPAI). Afin d’uniformiser l'évaluation de la conformité à différents aspects du règlement IA, il est envisagé que la conformité soit présumée si des normes techniques harmonisées sont respectées. La Commission européenne a déjà commissionné l'élaboration de telles normes d'ici 2025.

À l'instar de la loi sur la protection des données, des amendes élevées seront infligées pour les infractions aux règles de l'IA, pouvant aller jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel global, selon la gravité et le type d'infraction. Les travaux de mise en œuvre sont en cours et la version finale du règlement sur l'IA est attendue au premier trimestre 2024. Le décret devrait entrer en vigueur deux ans après son adoption.

En raison de son champ d'application extraterritorial, le règlement sur l'IA s'appliquera également aux entreprises suisses i) qui mettent un système d'IA sur le marché dans l'UE, ii) dont le système d'IA est utilisé dans l'UE, ou iii) dont la production du système d'IA a un impact sur les personnes dans l'UE, en ce sens qu'elles sont affectées par l'utilisation du système d'IA.

Conclusion

Les prestataires de services financiers suisses qui utilisent ou prévoient d'utiliser des systèmes d'IA dans leurs produits et services devraient se familiariser avec les attentes de la FINMA à cet égard et avec la version finale du règlement de l'UE sur l'IA. Examiner attentivement dans quelle mesure les dispositions pertinentes s'appliquent et comment elles peuvent être mises en œuvre de manière appropriée font également partie des objectifs.

Vous avez des questions sur la réglementation de l'IA ? Nos spécialistes de l'équipe Regulatory & Compliance FS se feront un plaisir de vous aider. Nous nous réjouissons de votre prise de contact.