Les banques traitent aujourd’hui d’énormes quantités de data, souvent à caractère personnel. L'utilisation en plein essor des algorithmes de machine learning permet d'ordonner de plus en plus finement cette masse dispersée, en bases de données cohérentes et exploitables. Marketing, relation client, processus internes, gestion des risques, conformité : les applications de l’intelligence artificielle (IA) sont innombrables, le gain de temps et de productivité, considérable. Or cette nouvelle révolution digitale, porteuse de performance, va de pair avec une opacité croissante et un renforcement des risques de tous ordres : cybersécurité, diffusion de fausses informations, atteintes aux libertés individuelles ou discrimination. L’Autorité de contrôle prudentiel et de résolution (ACPR) a lancé une task force, et organisé trois ateliers avec des entreprises volontaires, sur les enjeux de l'IA dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), de la protection des consommateurs, et de la modélisation des risques.
Cybersécurité, discrimination, consommation énergétique
Les dangers découlent en premier lieu de la technologie, et menacent les systèmes d'information. « Beaucoup des risques de cybersécurité existaient avant l’IA, tempère cependant Su Yang, expert FinTech à l’ACPR, mais l’IA accroît l’enjeu de cybersécurité. L’essentiel des cyber-risques de l'IA est d’abord lié aux données, et aux manipulations malveillantes de ces données, avant même qu’elles arrivent dans les entreprises, ou quand elles s’y trouvent. » Les mutations de ce marché hors-norme sont elles-mêmes sources de risques. Les fournisseurs de solutions informatiques et de « cloud services », sont majoritairement de grandes sociétés informatiques non-européennes. Une concentration excessive du marché entre leurs mains entraînerait prix élevés, relations commerciales déséquilibrées et opacité accrue.
Un usage biaisé des données et de l'IA peut conduire à un traitement inéquitable, par exemple lors de l’octroi de prêts. « Il faut distinguer les discriminations inhérentes aux données elles-mêmes et celles qui sont introduites par les développeurs et les métiers, explique Su Yang. Mais détecter une discrimination n’est jamais facile. Si, dans le cas d’un produit d’assurance, le pricing diffère selon qu’il concerne un homme ou une femme, comment savoir si le biais a été introduit dans le modèle, ou s’il existait dans les données - car dans la vie réelle les choses ne sont pas égalitaires ? Et s’il y a un biais dans les données, est-ce le rôle du banquier de le corriger ? » Les équipes de l'ACPR se penchent enfin sur les enjeux climatiques et écologiques propres au secteur financier. L'intelligence artificielle n'y échappe pas. « En IA, les algorithmes utilisés sont souvent assez simples, explique Su Yang. Selon les cas d’usage, faire tourner l’algorithme ne consomme pas nécessairement plus d’énergie que le stockage lui-même. L’intelligence artificielle est même utilisée pour optimiser l’utilisation de ressources. »
L'humain, toujours au centre
Mais en matière de risques liés à l’IA, « la place de l’humain et des compétences est cruciale », souligne Su Yang. Dans des domaines comme la fraude, le blanchiment de capitaux et le financement du terrorisme, les esprits mal intentionnés savent se montrer également très innovants. « Aujourd’hui, les technologies ne sont pas mûres pour détecter les nouveaux schémas de fraude, détaille Su Yang. Il faut des experts pour les repérer et incorporer de nouveaux paramètres afin que nos algorithmes continuent à bien fonctionner. » G. D.
Ils ont dit
L’IA dans les processus métiers des banques
Pour garantir leur conformité à leurs obligations KYC, certains groupes bancaires ont ainsi fait appel à des solutions de traitement des documents-clients intégrant des traitements IA en deep learning et d’OCRisation des images
Eric Caprioli, avocat à la Cour, docteur en droit, Équipe méditerranéenne de recherche juridique EA n° 7311, vice-président de la FNTC, membre de la délégation française aux Nations unies, Banque & Droit, numéro spécial « IA et finance : quels enjeux ? », octobre 2019, pp. 22-30.
Réponse de la France au Cloud Act
La préoccupation des pouvoirs publics au sujet de l’extraterritorialité de la législation américaine est réelle, autant que celle des ministères de l’Intérieur de l’Économie et des Finances. En 2017, le ministère de l’Intérieur alertait déjà sur la portée extraterritoriale de certaines législations et préconisait de « préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne ». Cette recommandation a été formulée à nouveau par le ministère de l’Économie, notamment dans le cadre de la stratégie cloud de la France et l’opportunité de créer un cloud hébergeant les données des autorités françaises. À ce jour, la CNIL ne s’est pas prononcée sur la question de la cohabitation du Cloud Act avec les principes du RGPD. Toutefois, seule une réponse concertée au niveau européen semble être à la mesure des enjeux.
Blandine Eggrickx, analyses stratégiques et réglementation européenne, et Emmanuel Jouffin, responsable du département veille réglementaire du Groupe La Banque Postale et docteur en droit, Banque & Droit, numéro spécial « Les données à l’heure de la DSP2 et du RGPD », mars 2019, pp.19-22.
Consentement et nécessité
Faut-il que l’utilisateur de services de paiement consente expressément, ou explicitement, au traitement de ses données à caractère personnel ? Si oui, comme semble l’exiger l’article L. 521-5 du CMF, n’y a-t-il pas une contradiction in adjecto à imposer, de surcroît, que l’accès auxdites données par le PSP soit nécessaire à l’exécution de leurs services de paiement ?
Car, si nous avons bien lu le RGPD et ses différents commentaires, la nécessité du traitement emporte la négation du consentement, nie toute manifestation de volonté libre dès lors que la personne concernée n’est plus en mesure de refuser de consentir. Tel est l’objet du curieux point 4 de l’article 7 du règlement : « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». De sorte que le Groupe de travail « Article 29 » sur la protection des données a pu écrire : « Si un responsable du traitement cherche à traiter des données qui sont effectivement nécessaires à l’exécution d’un contrat, le consentement n’est alors pas la base juridique appropriée. »
Pierre Storrer, Avocat au Barreau de Paris, Kramer Levin Naftalis & Frankel LLP, Banque & Droit, numéro spécial « Les données à l’heure de la DSP2 et du RGPD », mars 2019, pp. 7-13.
RGPD et relation client
BNP Paribas a développé la transparence auprès de ses clients en leur communiquant, dans l’ensemble de son Groupe en Europe, une Notice protection des données et une Charte de confidentialité des données personnelles.
Elle a aussi amélioré le processus de réponse aux requêtes des clients.
Mais c’est probablement la mise en place d’une gouvernance sur la Protection des données personnelles avec responsabilisation de l’ensemble des acteurs de la Banque qui constitue l’apport essentiel de la mise en œuvre du RGPD au sein de BNP Paribas.
Les piliers de cette gouvernance sont le réseau de DPO (Chief Data Officers), la transversalité des positions et interprétations liées à cette réglementation, ainsi que la standardisation des procédures, processus et documentation, notamment en ce qui concerne l’information des personnes, le développement du principe de Privacy by Design, ou la création d’une méthodologie pour réaliser l’analyse d’impact sur les données personnelles des personnes physiques ou clients de la Banque.
Agnès Chatellier-Chamoulaud, responsable juridique, Regulatory Digital, BNP Paribas, Banque & Droit, numéro spécial « Les données à l’heure de la DSP2 et du RGPD », mars 2019, pp. 30-31.
