Fintech and AI

Philippe Gilliéron

posted on

Définition des systèmes d’intelligence artificielle à l’aune du Règlement européen sur l’IA : le secteur bancaire gagne une bataille

L’entrée en vigueur du Règlement européen sur l’intelligence artificielle (AI Act) a des implications majeures pour les établissements financiers, y compris les banques suisses opérant dans l’Union européenne. Cet article analyse les lignes directrices publiées le 6 février 2025 sur la définition des « systèmes d’IA » et leurs conséquences directes sur l’usage d’outils d’analyse de solvabilité, de notation de crédit ou de détection de fraude. En s’appuyant sur les critiques émises par la BCE et les ajustements du texte final, il met en lumière les critères décisifs — notamment la capacité d’inférence et l’autonomie — qui déterminent si un système entre ou non dans le champ de la régulation. Ce texte vise à fournir un éclairage juridique essentiel pour les directions juridiques, conformité et IT des institutions financières, dans un contexte où la frontière entre outil algorithmique classique et système d’IA à haut risque devient déterminante. Une lecture incontournable pour anticiper les obligations de conformité et sécuriser l’innovation technologique dans la banque et la FinTech.

  1. Remarques introductives

Le 6 février 2025, la Commission européenne a publié ses lignes directrices sur la définition des systèmes d’IA en application de l’art. 96(1)(f) du Règlement sur l’IA.

Sujet rarement discuté, la définition de ce qu’il faut entendre par « système IA » au sens où l’entend le Règlement n’est pourtant pas sans incidence, loin s’en faut.

Conformément à son art. 3(1)(c), le Règlement trouve en effet application aux établissements financiers suisses qui utilisent dans l’Union les résultats produits par un système d’IA exploité en Suisse (voir à ce sujet la contribution du 3 février 2025 de Philipp Fischer). Un partage de données intragroupe de la Suisse vers l’Union européenne résultant du recours à de tels systèmes suffit donc à entraîner l’application du Règlement.

La question de savoir ce qui constitue un système à haut risque revêt donc une importance considérable. Dans ce cadre, l’art. 5(3)(b) du Règlement classe « les systèmes d’IA » destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur score de crédit comme des systèmes à risque élevé qui, à ce titre, sont sujet aux nombreuses obligations prévues par le Chapitre III du Règlement.

Or, le secteur bancaire n’a pas attendu l’avènement de l’intelligence artificielle pour recourir à des outils permettant d’apprécier la solvabilité des personnes physiques en procédant à de l’analyse de données.

L’intérêt pour les banques à pouvoir exclure de la qualification comme « systèmes IA » certains outils qu’elles utilisent de longue date revêt donc une importance considérable, sauf à se voir imposer du jour au lendemain un éventail d’exigences jusqu’alors inexistantes ensuite de l’entrée en vigueur du Règlement.

Que faut-il dès lors entendre par « système IA » au sens où l’entend le Règlement ?

  1. De la version provisoire du Règlement à l’avis de la BCE

Aux termes de la proposition de Règlement publiée le 21 avril 2024, l’art. 3(1) définissait un système IA comme il suit :

«un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit »

Cette proposition faisait donc des techniques et approches le point saillant de la définition.

En faisaient plus particulièrement partie selon l’annexe I :

  • les approches fondées sur la logique et les connaissances, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, les moteurs d’inférence et de déduction, le raisonnement (symbolique) et les systèmes experts (lettre b), ainsi que
  • les approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation (lettre c).

Consultée par le Conseil de l’Union européenne, la BCE s’était inquiétée de cette définition dans un avis émis le 29 décembre 2021.

Rejoignant en cela l’avis émis deux mois plus tôt par  l’EBF, La BCE y relevait que cette définition couvrait de nombreux systèmes déjà utilisés au sein des banques et destinés à établir la note de crédit des personnes physiques. La conserver revenait à qualifier de tels systèmes de systèmes à haut risque et, partant, les soumettre aux exigences particulièrement élevées du Règlement, alors que tel n’avait jamais été le cas auparavant.

Précisant que « plusieurs activités, y compris le ciblage aux fins de l’acquisition marketing, la modélisation des recouvrements et les modèles standard de notation de crédit (par exemple un tableau de bord utilisant une régression logistique) devraient remplir les mêmes exigences », la BCE recommandait que de tels systèmes, qui recourent aux techniques de régression linéaire ou logistique sous surveillance humaine ne soient pas classés comme des systèmes d’IA à haut risques.

  1. La version définitive de la définition d’un système IA

Sans que le soussigné ne sache si l’avis émis par la BCE a pesé, il est en tous les cas certains que, par souci de cohérence, la Commission a souhaité se rapprocher de la définition retenue par l’OCDE.

La version définitive du Règlement modifie la définition retenue et ne fait plus des approches ou techniques utilisées le critère (ou du moins le seul) déterminant pour apprécier si un système est un « système IA » au sens du Règlement.

L’art. 3(1), largement remanié, retient ainsi désormais qu’un « système IA » est :

« un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels »

Ne restait « plus » pour la Commission qu’à émettre des lignes directrices conformément à l’art. 96(1)(f) du Règlement.

Quand bien même la définition finalement retenue avait surtout pour objectif de se calquer sur celle de l’OCDE, elle semblait tenir compte de l’avis de la BCE recommandant d’exclure les systèmes recourant aux techniques de régression logistique. Preuve en était selon certains le fait que le memorandum explicatif relatif à cette définition publié par l’OCDE ne fait pas mention de ces techniques, argument somme toute léger dès lors qu’il pouvait très bien s’agir d’un oubli par omission.

Toujours est-il que les avis divergeaient au sein des institutions européennes quant à la question de savoir si de tels systèmes, usuels dans le secteur bancaire, devaient ou ne devaient pas être qualifiés de « système IA » à l’aune de la définition précitée.

Si la Commission européenne souhaitait les inclure, le secteur bancaire, dans la droite ligne de la BCE, faisait pression pour les exclure, pour deux raisons :

  • Tout d’abord, le fait que la régression logistique n’est qu’une fonction mathématique à laquelle recourt les prêteurs pour apprécier la capacité d’un individu donné à rembourser un prêt au moyen d’un tableau de bord, qui est ensuite utilisé pour établir une notation.
  • Ensuite, le fait qu’un élément clé de la définition donnée à l’art. 3(1) fait défaut à la régression logistique pour être considéré comme un « système IA », à savoir une capacité d’inférence allant au-delà du simple traitement des données pour apprendre de manière autonome.

Le département des services financiers de la Commission européenne, prêtant une oreille favorable à ces arguments, l’a finalement emporté.

Que retiennent dès lors les lignes directrices ?

  1. Les lignes directrices du 7 février 2025

Ces lignes directrices soulignent le fait que la définition retenue intègre sept éléments, mis en exergue au considérant 12 du préambule, qui doivent être présents pour que l’on puisse parler d’un « système IA » soumis au Règlement, à savoir: (1) un système basé sur une machine ; (2) un certain niveau d’autonomie ; (3) une capacité d’adaptabilité (élément facultatif) ; (4) l’existence d’objectifs explicites ou implicites ; (5) la capacité d’inférence, qui (6) permet de générer des résultats (prédictions, contenus, recommandations, décisions) et (7) qui présente une interaction avec l’environnement.

Pour la Commission, parmi tous ces éléments, serait déterminante pour savoir ce qui est ou n’est pas un « système IA »  la capacité d’inférence.

Cette capacité, propre aux « systèmes IA », fait à la fois référence au processus d’obtention des résultats et à leur capacité à dériver des modèles ou des algorithmes à partir d’entrées ou de données. Cette capacité doit donc s’entendre largement et ne comprend pas uniquement la phase d’exploitation du système, mais aussi à sa construction.

Quelles sont ces techniques ? le considérant 12 du préambule en retient deux :

  • d’une part, celles ayant trait à l’apprentissage automatique par la machine ;
  • d’autre part, celles basées sur la logique et la connaissance qui, au lieu d’inférer sur la base de données comme dans le cadre des techniques d’apprentissage automatique, infèrent à partir de connaissances codées ou d’une représentation symbolique de la tâche à résoudre. A titre d’exemple, on peut mentionner les systèmes experts utilisés à l’origine dans le domaine médical sur la base de données codées par des médecins permettant ensuite au système d’établir un diagnostic sur la base des symptômes du patient.

On ne saurait cependant en conclure que n’importe quelle capacité d’inférence aussi limitée soit-elle suffit à faire tomber le système concerné sous le coup de l’art. 3(1). Tel n’est pas le cas selon les lignes directrices si un tel système n’a que des « capacités limitées » à détecter des corrélations (patterns) ou ne peut pas ajuster de manière autonome les résultats générés.

Autrement dit, il ne suffit pas que l’une des deux approches susmentionnées soit utilisée pour que, dans tous les cas, le système tombe sous la notion de « système IA ».

Si la question de savoir ce qu’il faut entendre par « capacité limitée » demeure peu claire, la Commission semble en toute hypothèse avoir prêté une oreille attentive – et favorable – aux remarques émises en particulier par le secteur bancaire, suivant lesquelles de nombreux systèmes présentent une certaine capacité d’inférence ne devraient pas pour autant pouvoir être considérés comme des « systèmes IA ».

Le système doit aller au-delà du simple traitement de base des données et permettre l’apprentissage, le raisonnement ou la modélisation avec une certaine forme d’autonomie. Plus que l’inférence sur laquelle les directives semblent mettre l’accent, c’est en réalité bien davantage le critère de l’autonomie qui apparaît décisif pour qualifier un système de « système IA » au sens de l’art. 3(1).

Les exemples proposés par les directives pour expliciter ce qu’il faut entendre par « simple traitement de données » excluant la qualification de « système IA » le confirment. Ainsi, suivant la Commission, ne seront pas considérés comme des « systèmes IA » dès lors qu’ils se contentent de traiter des données sans véritable capacité d’ajustement autonome les systèmes suivants :

  • premièrement, les systèmes utilisés pour améliorer des méthodes d’optimisation mathématique se rapprochant de techniques usuelles comme la régression linéaire ou logistique.
  • deuxièmement, les systèmes qui se contentent de suivre des règles préétablies et qui n’aboutissent, là encore, qu’à un simple traitement de données. Ainsi en va-t-il par exemple du recours à des méthodes statistiques utilisées dans le cadre d’un logiciel de visualisation des ventes sous forme de tableau facilitant la visualisation des données (par zone géographique, segment de clients, etc.). De tels systèmes n’apprennent pas ni ne raisonnent et se contentent de traiter et présenter des données de manière informative.
  • Troisièmement, les méthodes heuristiques classiques qui recourent à des méthodes fondées sur l’expérience pour en dégager certaines solutions. A la différence des méthodes d’apprentissage par la machine, qui ajustent les modèles en fonction des données ingérées et de leurs résultats, ces méthodes ne font que suivre des règles ou algorithmes prédéfinis sans aucune autonomie.
  • Enfin, les systèmes prédictifs dont le résultat pourrait être atteint au travers de simples règles statistiques, même s’ils recourent pour ce faire à des méthodes d’apprentissage automatique. Ainsi en va-t-il en particulier des systèmes prédictifs dans le domaine de la finance, comme l’estimation du cours probable d’une action sur la base d’une appréciation historique moyenne du cours de cette action.

Au final, ce qui ressort de ces différents exemples est que la mise en œuvre du système ne doit pas se limiter à exécuter des instructions ou un algorithme pour aboutir à un résultat qui découle directement de leur mise en œuvre ; le système doit pouvoir apprendre de manière autonome pour générer un résultat qui va au-delà. Plus que d’inférence, c’est donc bien d’autonomie dont il est question.

  • Commentaires

L’analyse qui précède m’amène à formuler les remarques suivantes :

  • Faut-il en déduire que les systèmes recourant à de l’apprentissage automatique supervisé ne sont pas des « systèmes IA » au sens de l’art. 3(1) ?

Certains ont considéré que le fait de vouloir exclure la régression logistique ou linéaire des approches pouvant entraîner la qualification de « système IA » risquait d’avoir pour conséquence l’exclusion pure et simple de l’apprentissage automatique supervisé, qui repose en particulier sur ces techniques.

Tel n’est toutefois pas le cas. Si l’apprentissage automatique supervisé peut-recourir à la régression linéaire ou logistique, il ne s’agit que l’une des techniques possibles parmi beaucoup d’autres, comme la régression polynominale, les forêts aléatoires ou encore les machines à vecteurs de support. Une telle critique apparaît donc infondée.

  • Faut-il en déduire que la Commission exclut de manière générale la régression logistique ou linéaire comme susceptible d’entraîner la qualification d’un système comme « système IA » ?

Non, tel n’est le cas que lorsque ces techniques sont utilisées à des fins d’optimisation mathématique (c’est-à-dire en appliquant une formule statistique préétablie) qui suit des règles fixes définies par des humains sans aucune forme d’autonomie ou d’adaptabilité.

Ainsi en va-t-il justement dans le secteur bancaire par exemple d’un modèle de notation de crédit basé sur de la régression logistique ou de détection de fraude appliquant des règles préétablies basées sur des seuils fixes.

En revanche, un système qui intègre la régression linéaire ou logistique dans un cadre plus large incluant pourrait être considéré comme un « système IA » si :

  • il apprend et s’adapte en continu en fonction des nouvelles données (par exemple détection de fraude qui ajuste ses seuils en fonction des nouvelles tendances) ;
  • il fait partie d’un système qui prend des décisions automatisées sans intervention humaine (par exemple pour l’octroi d’un prêt) ;
  • il opère dans un environnement complexe et dynamique (par exemple un modèle de trading haute fréquence qui ajuste ses stratégies en fonction des conditions du marché en temps réel) ; ou encore
  • si la régression est combinée à d’autres méthodes d’apprentissage automatique (comme de l’apprentissage profond).
  • Conclusion

En conclusion, ce n’est pas la complexité des calculs qui fait d’un système un « système IA » ou sa capacité d’inférence, mais bien le fait qu’il puisse prendre des décisions de manière autonome et adaptive. En simplifiant, on peut ainsi considérer que :

  • Un système qui utilise uniquement la régression linéaire ou logistique dans un cadre statique ne sera pas considéré comme un « système IA » ;
  • Un système qui intègre ces modèles dans un processus plus large avec autonomie et adaptabilité pourra être qualifié de « système IA » ;
  • L’autonomie, plus que la simple inférence, est la clé pour qualifier un système de « système IA » au sens du Règlement.

Que faut-il en déduire pour le secteur bancaire ?

  • Impact pour le secteur bancaire

En résumé, l’exclusion des modèles purement régressifs du champ du Règlement européen est une victoire pour le secteur bancaire. Cela signifie que les banques utilisant des modèles statiques de notation de crédit ou de détection de fraude n’auront pas à se conformer aux obligations strictes des systèmes d’IA à haut risque, ni à intégrer ces exigences dans leur système de gestion des risques et de qualité.

Toutefois, les établissements doivent rester vigilants : si ces modèles évoluent vers des systèmes autonomes, intégrant des mécanismes d’apprentissage automatique, ils pourraient entrer dans le champ du Règlement. Une analyse au cas par cas sera donc essentielle.

Les mesures concrètes suivantes peuvent dès lors être recommandées pour les banques :

  • Vérifier la nature des modèles utilisés

Action : cartographier les systèmes d’analyse de crédit, de fraude, ou de notation pour déterminer s’ils sont statiques (exclus du champ du Règlement) ou autonomes (soumis à régulation).

  • Documenter l’absence d’autonomie des modèles

Action : mettre en place une documentation technique et juridique démontrant que les modèles utilisés n’intègrent pas d’apprentissage automatique au sens précité ni de prise de décision autonome. Cela pourrait servir en cas de contrôle.

  • Évaluer les impacts réglementaires des évolutions technologiques

Action : si une banque envisage de migrer d’un modèle statique à un modèle adaptatif, anticiper les nouvelles obligations réglementaires susceptible de trouver application si son système doit être qualifié de « système IA » dans un domaine considéré « à haut risque ».

  • Sensibiliser les équipes conformité et IT

Action : Former les départements juridique, conformité et technologie sur les critères de qualification des systèmes IA et les évolutions réglementaires pour éviter toute requalification involontaire des modèles existants.

  • Surveiller l’évolution des lignes directrices de la Commission

Action : Maintenir une veille active sur le Règlement et ses mises à jour potentielles, notamment en ce qui concerne les distinctions entre “traitement de données avancé” et “système IA”.