Le secteur financier a transformé son approche des TICs en recourant de plus en plus à l’externalisation informatique. Cette externalisation n’est pas sans risques, d’autant plus que les banques commencent désormais à recourir à des solutions IA. En conséquence, le législateur européen a adopté deux textes majeurs : le règlement DORA et le règlement IA, auxquels s’ajoutent les exigences du RGPD. Un tel cumul impose une charge considérable qui pourrait nuire à la compétitivité européenne.

Le secteur financier, comme tout autre secteur de notre économie a été fortement impacté par les diverses évolutions ou révolutions technologiques qui se sont succédé depuis l’émergence du web. Désertification des agences "brick & mortar" au profit des applications mobiles, externalisation via des outils SaaS et/ou PaaS, blockchain et intelligence artificielle sont autant de sujets avec lesquels les établissements financiers ont dû et doivent encore jongler dans le cadre de leur transformation digitale. Au-delà des promesses et espérances accompagnant cette transformation, l’utilisation croissante de nouvelles technologies induit également un accroissement des risques tant pour les établissements financiers que pour leurs clients, tenant tout à la fois à la cybersécurité, à la gestion des risques informatiques, voire – pour ce qui concerne l’IA – aux droits fondamentaux.

Encadrement réglementaire

Face à ces enjeux, l’Union européenne a notamment adopté deux cadres réglementaires majeurs : l’un est spécifique au secteur financier, l’autre, dédié à l’IA, applicable à tous les secteurs d’activité, y compris donc le secteur financier. Le premier, le Règlement (UE) 2022/2554 "Digital Operational Resilience Act" (DORA), entré en vigueur le 14 décembre 2022, s’applique, d’une part, aux entités financières (incluant notamment les établissements de crédit, les établissements de paiement, les prestataires de services sur cryptoactifs, les établissements de monnaie électronique ou encore les entreprises d’assurance et leurs intermédiaires) et, d’autre part, aux prestataires tiers de services "TIC" (reposant sur des technologies de l’information et de la communication), avec pour ambition de renforcer autant que possible la résilience opérationnelle numérique du secteur financier.

Le règlement DORA, particulièrement contraignant, est établi en vue de garantir la résilience informatique du secteur financier

Pour ce faire, il impose aux entités financières de nombreuses obligations, parfois très contraignantes et souvent voisines de ce que prévoit le Règlement (UE) 2016/679 sur la protection des données (RGPD) pour ce qui concerne les données personnelles. Ainsi, tout comme le RGPD, DORA impose aux entités financières des obligations en matière d’évaluation des risques (ce qui fait écho aux analyses d’impact du RGPD), de sécurité, de documentation, de notifications aux autorités de contrôle en cas d’incidents de sécurité et, enfin, d’encadrement contractuel strict en cas de recours à l’externalisation (ou "sous-traitance" pour reprendre la terminologie du RGPD). Le second, le Règlement (UE) 2024/1689 sur l’Intelligence artificielle (RIA), vise à réguler les systèmes d’intelligence artificielle en fonction de leur niveau de risque. Ils sont classés selon quatre catégories : inacceptables, à haut risque, à risque limité et à risque minimal.

S’agissant du secteur financier, plusieurs niveaux de risques peuvent être envisagés en fonction de l’utilisation faite des IA. À titre d’exemple, un système d’IA utilisé pour évaluer la solvabilité des personnes physiques, pour établir leur note de crédit ou encore pour l’évaluation des risques et la tarification en matière d’assurance vie et d’assurance maladie, sera considéré "à haut risque" (Annexe III, point 3.b et c du RIA).

À l’instar de ce que prévoit DORA, le RIA impose alors des obligations strictes en termes de documentation, d’auditabilité, de tests réguliers, mais aussi une supervision humaine

À l’instar de ce que prévoit DORA, le RIA impose alors des obligations strictes en termes de documentation, d’auditabilité, de tests réguliers, mais aussi une supervision humaine, pour éviter les risques liés à l’automatisation (article 11, 13 et 14 du RIA). En revanche, si un système d’IA est uniquement utilisé pour faciliter des processus tels que l’analyse de données, l’automatisation de tâches, sans prise de décision autonome impactant les droits de leurs clients, il pourrait être classé comme "à risque limité". De même, un chatbot juridique ou un outil de recherche automatisé utilisé comme assistant par les équipes de conformité serait classé "à risque minimal", avec des exigences réglementaires bien moins contraignantes.

En fonction de la classification du système d’IA en cause (inacceptable, à haut risque, à risque limité ou à risque minimal), les obligations à respecter par le "déployeur" (toute personne utilisant sous sa propre autorité un système d’IA) diffèrent, mais restent toujours contraignantes, étant rappelé qu’elles s’ajoutent bien évidemment à celles résultant de DORA. On relèvera, par exemple, que tout déployeur d’une IA à haut risque (par exemple une IA permettant de faire du "credit scoring") doit procéder à une analyse d’impact de ladite IA pour les droits fondamentaux.

Par ailleurs, le déployeur d’une telle IA à haut risque doit prendre des mesures techniques et organisationnelles appropriées afin de garantir qu’il l’utilise conformément à sa notice d’utilisation. Il doit au demeurant en confier le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire. En outre, lorsqu’il exerce un contrôle sur les données d’entrée, le déployeur doit s’assurer qu’elles sont pertinentes et suffisamment représentatives. On ajoutera que le déployeur est tenu à une obligation de conservation de journaux générés par le système d’IA.

Obligations et hauts standards de sécurisation

Enfin (mais cette liste n’est pas exhaustive, tant s’en faut), le déployeur d’un système d’IA à haut risque doit surveiller le fonctionnement du système d’IA et, s’il a des raisons de considérer que le système d’IA présente un risque (pour la santé, la sécurité ou les droits fondamentaux), il doit en informer, notamment, son autorité de surveillance sans retard injustifié. Il en va de même si le déployeur a détecté un incident grave. Bien entendu, il faut au demeurant considérer que, lorsqu’un établissement financier a recours à un prestataire pour lui fournir un système d’IA, par exemple pour du "credit scoring", il pourrait être considéré que l’établissement financier externalise ainsi une fonction critique ou importante, de sorte que les dispositions de DORA – en sus de celles du RIA – trouveraient également à s’appliquer. Cerise sur le gâteau (déjà bien garni) du juriste, dès lors que des données à caractère personnel sont en cause, le RGPD trouvera également à s’appliquer. Les exigences cumulées de DORA et du RIA – qui se superposent à celles déjà imposées par le RGPD – vont bien entendu générer une nième charge administrative et économique importante pour les entités financières.

Si nous ne pouvons que nous réjouir de l’ambition de l’Union européenne d’imposer de hauts standards de sécurisation en lien avec l’utilisation des nouvelles technologies, force est de constater que le niveau d’exigence imposé par la réglementation européenne en matière de nouvelles technologies aux entreprises du Vieux Continent constitue un frein substantiel à leur compétitivité face, notamment, aux entreprises américaines ou chinoises. Un équilibre doit donc être trouvé par l’Europe, entre la sécurité et la promotion de l’innovation, pour ne pas rester en retrait dans la course mondiale à l’intelligence artificielle et à la finance numérique

 

SUR LES AUTEURS

Benjamin Jacob est avocat au barreau de Paris et associé du cabinet PDGB depuis 2008, où il dirige le département IP/IT/Data. Membre du "board" du réseau Terralex (22 000 avocats) et particulièrement investi dans la pratique IT du réseau, sa pratique est empreinte d’une approche internationale.

Iris Defaut est avocat au barreau de Paris et a rejoint l’équipe IP/IT/Data après avoir exercé dans un cabinet réputé dans le secteur de la tech.

Personne citée :

Benjamin Jacob

Benjamin Jacob

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Commander