Copyrights and AI

Philippe Gilliéron

posted on

Gouvernance de l’IA dans les banques suisses : guide opérationnel pour la mise en œuvre de la Communication 08/2024 FINMA

L’adoption croissante de l’intelligence artificielle (IA) dans le secteur bancaire offre des opportunités majeures, mais pose aussi des risques opérationnels, juridiques et réputationnels que les régulateurs cherchent à maîtriser.

Le 18 décembre 2024, la FINMA a publié la Communication 08/2024, appelant les banques à intégrer activement la gestion des risques liés à l’IA dans leurs systèmes de gouvernance (cf. not. Cuevas, cdbf.ch/1392).

La communication est fondée sur une approche de proportionnalité et de neutralité technologique, chaque banque devant apprécier le niveau de contrôles qu’il convient de mettre en place eu égard à la complexité des systèmes utilisés, leur finalité et aux risques qui en découlent.

Bien que non contraignante, cette communication fixe des attentes claires. Elle identifie huit domaines de contrôle essentiels : (1) la gouvernance, (2) l’établissement d’un inventaire, (3) un contrôle de la qualité des données, (4) l’exécution de tests, (5) une surveillance constante, (6) la tenue d’une documentation, (7) l’explicabilité des résultats et (8) une vérification indépendante des systèmes utilisés.

De son côté, le Règlement européen sur l’intelligence artificielle (2024/1689), applicable à bien des égards aux banques suisses (cf. not. Fischer, cdbf.ch/1397), est plus prescriptif. Reposant sur une approche fondée sur les risques, il introduit un cadre de conformité complet pour les systèmes considérés à haut risque. En font notamment partie les systèmes d’évaluation de solvabilité (credit scoring) lorsqu’ils fonctionnent de manière autonome.

Si les sept domaines identifiés par la FINMA dans sa communication sont couverts par le Règlement européen, en particulier en ses art. 9 à 15 applicables aux systèmes à haut risque (qui couvrent notamment la gestion des risques, la qualité des données, la documentation et l’audit), le Règlement impose certaines exigences supplémentaires dont il conviendra de tenir compte.

Il est donc stratégique pour les banques suisses d’harmoniser leurs processus internes avec les exigences européennes, afin d’éviter les redondances et d’assurer une conformité cohérente.

Ce guide vise à fournir aux équipes juridiques et de conformité des banques suisses une ébauche de cadre opérationnel concret pour mettre en œuvre les recommandations de la FINMA tout en intégrant les obligations clés du Règlement européen.

Ce plan se décline en les neuf étapes suivantes :

Étape 1 : Mettre en place une gouvernance dédiée

  • FINMA : mise sur pied d’une gouvernance claire, avec des responsabilités définies pour le développement, la validation et la surveillance des systèmes IA.
  • Action : (1) désigner un comité IA pour éviter une trop grande fragmentation à l’interne d’équipes travaillant en silos, de manière à s’assurer que les personnes responsables disposent des compétences techniques et de l’expérience nécessaires pour jouer leur rôle ; (2) attribuer des responsabilités claires quant à la gestion des projets IA (développement, mise en œuvre, surveillance et utilisation de l’IA) ; (3) intégrer l’IA au sein des comités de gestion des risques existants ; (4) adopter les documents nécessaires (mettre à jour les politiques en matière de gestion des risques ou de sécurité IT, adopter des chartes d’utilisation) ; (5) former les équipes (avec une gradation suivant l’intensité avec laquelle les équipes concernées travaillent avec l’IA : direction, juristes, équipes IT).

Étape 2 : Recensement des cas d’usage de l’IA et classification des risques

  • FINMA : création d’un inventaire centralisé des systèmes IA et classification selon le niveau de criticité des systèmes utilisés.
  • Action : élaborer un registre des systèmes IA incluant les critères de risque (finalité, impact en cas de dysfonctionnement, complexité et niveau d’explicabilité du système, volume et nature des données utilisées, nombre de clients concernés). La classification retenue par le Règlement européen sera ici prise en compte (notamment en ce qui a trait aux outils de notation) et son article 9 (applicable aux systèmes à haut risque) pourra servir de guide en la matière.
  • Commentaire : loin d’être une sinécure, l’exercice pourra s’avérer délicat à deux égards : tout d’abord, en raison du fait qu’il convient de déterminer ce qui, dans un cas donné, constitue un système IA (cf. not. Gilliéron, 250507-Article-Philippe-definition-systemes-IA-french-version-fr.pdf). A cet égard, une certaine prudence plébiscitant une approche relativement large pour minimiser les risques est recommandée) ; ensuite, parce qu’il pourra être difficile de savoir si le produit d’un fournisseur déterminé intègre des éléments d’intelligence artificielle. La mise en place de process (par exemple sous forme de questionnaires) permettant une due diligence des fournisseurs pressentis sera donc de mise.

Étape 3 : Garantir la qualité et la gouvernance des données

  • FINMA : les données doivent être exactes, complètes, représentatives et sans biais. Se reposer sur des données historiques présente le risque que de telles données comportent des biais qui se répercutent sur les prévisions futures ou qui ne sont plus représentatives compte tenu de l’évolution.
  • Action : (1) documenter la provenance des données (ce qui, s’agissant de systèmes proposés par des tiers, exigera là encore une due diligence en la matière ; (2) intégrer des contrôles de biais et de qualité des données dans les cycles des systèmes IA, permettant d’en assurer la qualité tant lors du développement (entraînement, test, validation) que de l’exploitation (risque de déviance, data drift) ; (3) protection des données (anonymisation, minimisation). L’art. 10 du Règlement (là encore applicable aux systèmes à haut risque) pourra fournir des indications utiles quant aux points de contrôle à mettre en place.

Étape 4 : Valider les systèmes avant déploiement

  • FINMA : mettre sur pied des tests rigoureux pour valider les systèmes (backtesting[, stress test, adversarial testing).
  • Action : créer une méthodologie de tests adaptée à chaque type de modèle, avec des critères d’acceptation. Parmi les tests possibles, on mentionnera les backtesting (le système aboutit-il à des résultats cohérent avec les données historiques ?), stress test (comment le système réagit-il dans des cas extrêmes ?, out-of sample testing (le système réagit-il bien lorsqu’il est utilisé avec des données sur lesquelles il n’a pas été entraîné ?) ou encore adversarial testing (comment réagit le modèle lorsqu’on essaie de le piéger avec des données manipulées ?).
  • Commentaire: les équipes de gestion de risques doivent être impliquées dans l’élaboration des tests pour s’assurer qu’ils sont rigoureux. Cette étape est évidemment fondamentale pour s’assurer qu’aucun système susceptible d’être biaisé ne soit mis en production. Cette étape devrait également permettre d’apprécier l’explicabilité des résultats (peut-on comprendre pourquoi le système aboutit à certains résultats ?) et la stabilité des systèmes (de petits changements dans les données d’entrée aboutissent-ils à des résultats présentant une disparité importante ?).

Étape 5 : Mettre en place une surveillance continue

  • FINMA : obligation de définir des indicateurs de performance (KPI) et des seuils d’alerte.
  • Action : ne pas se limiter à valider les systèmes avant qu’ils ne soient déployés, mais en surveiller le bon fonctionnement tout au long du cycle de vie. Cette surveillance passe par la mise sur pied d’indicateurs de performance (KPI) et d’alertes lorsque des dérives sont constatées (model drift). Le cas échéant, il est important d’établir des plans de repli (fallback plans) pour revenir à un traitement manuel si le système devait s’avérer dysfonctionnel. Ces plans de repli font partie intégrante du plan de continuité des affaires (BCP).
  • Commentaire : la stabilité et robustesse des modèles devrait être revue selon une certaine périodicité, plus ou moins courte suivant le niveau de criticité et de risques du système. Une révision devrait également avoir lieu en cas de modification des données d’entrée ou lorsque le système est utilisé à d’autres fins que celles pour lesquelles il a initialement été testé.

Étape 6 : Documenter l’ensemble du cycle de vie des systèmes

  • FINMA : établir une documentation claire sur la finalité du système, la sélection et la préparation des données, le choix du modèle, les tests, limites et performances de chaque système ainsi que les solutions de repli.
  • Action : créer un dossier pour chaque système IA, basé sur un modèle conforme aux attentes FINMA et aux exigences du Règlement européen qui devrait être rempli par chaque chargé de projet (ou personne responsable dudit système). Cette documentation sert de base en cas d’audit interne ou externe. Elle devrait également permettre aux banques de s’assurer de leur capacité à expliquer les résultats obtenus, en consacrant idéalement une rubrique dédiée aux question d’explicabilité. L’art. 11 du Règlement et son Annexe IV pourront fournir des informations utiles, tout comme le code de bonnes pratiques sur l’IA à usage général, en particulier sa seconde partie consacrée aux attentes en matière de transparence.

Étape 7 : Garantir l’explicabilité des systèmes

  • FINMA : liée à l’étape précédente, les décisions IA doivent être compréhensibles par les collaborateurs et pouvoir être expliquées aux clients. L’explicabilité permet également d’apprécier la robustesse du système. Aucun système IA dont l’exploitation conduit à une prise de décision en contact direct avec la clientèle ne devrait être déployé sans qu’une explication et une justification documentée de ses résultats ne soit possible.
  • Action : implémenter des outils d’explication (par exemple analyse de variables clés) et prévoir que tout résultat peut toujours faire l’objet d’une révision humaine.

Étape 8 : Prévoir une vérification indépendante

  • FINMA : tout système doit faire l’objet d’une validation par une tierce partie qui ne soit pas le développeur du système. Cette vérification doit couvrir l’ensemble du processus de développement et le déploiement.
  • Action : avant que le système ne soit déployé, la banque doit effectuer un audit interne (ou faisant partie de la gestion des risques) pour contrôler la documentation, vérifier les résultats des tests, le cas échéant en les répliquant et s’assurer de l’absence de biais ou de problèmes réglementaires. Encore faut-il que les auditeurs aient les compétences techniques nécessaires pour interagir avec les développeurs et les challenger. Lorsque le système revêt un aspect critique, il est recommandé de mandater des experts externes.

Etape 9 : Formation

  • FINMA : la FINMA évoque la formation au 1er point de sa communication.
  • Action : s’assurer que toutes les parties prenantes concernées – de la direction générale aux développeurs de modèles, en passant par les gestionnaires de risques et le personnel de première ligne utilisant les résultats de l’IA – reçoivent une formation adéquate en fonction de leurs rapports de proximité avec les systèmes déployés à l’interne. La formation peut prendre différentes formes : ateliers sur la politique de la banque en matière d’IA, tutoriels sur le fonctionnement de modèles d’IA spécifiques ou encore formations sur l’identification et la remontée des incidents liés à l’IA
  • Commentaire : même les meilleurs programmes de gouvernance peuvent échouer si les personnes qui les gèrent ne disposent pas des compétences nécessaires. Les connaissances à acquérir dépendent du rôle de chacun. Par exemple, les chargés de clientèle qui utilisent des recommandations de crédit générées par l’IA devraient être formés pour comprendre les suggestions et savoir comment les ignorer ou les remettre en question si quelque chose semble anormal. Offrir une formation spécialisée aux équipes de conformité et de gestion des risques sur des sujets tels que les biais de l’IA, les techniques de validation des modèles et les réglementations pertinentes (communication de la FINMA, Règlement sur l’IA, etc.) semblent également être de mise. La banque pourrait également favoriser une culture du partage de connaissances permettant aux équipes de partager les enseignements tirés et les meilleures pratiques, favorisant ainsi un décloisonnement. Autrement dit, et de manière générale, il est essentiel de cultiver une culture de la prise de conscience des risques : les employés doivent se sentir responsables des résultats de l’IA et être encouragés à signaler leurs préoccupations.

Conclusion

La FINMA encourage les banques à adopter une approche proactive, intégrant l’IA dans leur cadre de gestion des risques. Ce faisant, la FINMA ne fait en réalité qu’attirer l’attention des banques sur leurs obligations prudentielles en leur fournissant un fil conducteur pour y satisfaire.

L’ébauche de guide opérationnel présenté ici permet de structurer les démarches internes de conformité en s’appuyant sur les huit axes prioritaires de la Communication 08/2024. Si des alternatives sont évidemment envisageables, tout programme de gouvernance devrait tenir compte des points suivants :

  • intégrer l’IA dans la gestion des risques de la banque ;
  • Établir des politiques et des procédures claires pour gérer ces risques ;
  • Améliorer la gouvernance des données et l’assurance qualité ;
  • Effectuer une vérification préalable approfondie des fournisseurs ;
  • Mettre en place une surveillance et un audit continus de ces systèmes ;
  • Favoriser à l’interne une culture de la responsabilité et de la formation ;
  • Mettre en place une veille en ce qui a trait au cadre réglementaire applicable.

L’harmonisation avec le Règlement européen, en particulier pour les systèmes à haut risque comme la notation de crédit, permet non seulement de prévenir les conflits réglementaires mais aussi d’anticiper les évolutions normatives. Être en mesure de démontrer l’adhésion aux meilleures pratiques de l’UE en matière d’IA conformément au Règlement ne peut qu’asseoir la réputation de la banque, renforcer la confiance des clients et celle des régulateurs internationaux. Les banques qui mettent en place une gouvernance IA rigoureuse aujourd’hui s’assurent une position de confiance et d’agilité pour l’avenir du secteur financier numérique.