Algorithmes en milieu bancaire et financier : entre responsabilité et conformité

Source d’une nouvelle rentabilité, les algorithmes

sont inévitablement devenus des actifs valorisés, en ce compris par les établissements bancaires et financiers qui y ont trouvé de nombreuses applications à leurs métiers : trading, conseil aux épargnants via des robo-advisors, solutions accessoires au paiement, etc. En accordant, dans une certaine mesure, une protection à l’auteur de l’algorithme contre son utilisation illégitime, le droit permet de conforter cette valorisation [1] .

Si « science sans conscience n’est que ruine de l’âme » [2] , cette valorisation et la reconnaissance de cette protection se doivent également d’être mises en balance avec les principes de droit existant en matière de responsabilité [3] .

En parallèle, l’environnement bancaire et financier est particulièrement sensible aux contraintes réglementaires.

En effet, là où le concept même de nécessaire mise en conformité avec une « réglementation » est aujourd’hui mis sur le devant de la scène avec le Règlement européen sur la protection des données [4] (RGPD), dont les sanctions sont particulièrement lourdes, les établissements financiers sont déjà habitués à vivre dans un environnement fortement réglementé, notamment au titre du Règlement sur les abus de marché [5] (MAR) et de la Directive de régulation des marchés d’instruments financiers (MIF II) [6] .

Se pose dès lors la question globale des conséquences du non-respect des lois en matière d’utilisation et de conception d’algorithmes.

D’où la proposition d’une étude en deux parties, autour des modes de responsabilité de droit commun (I.) auxquels sont adjointes des sanctions en cas de non-respect de la réglementation (II.).

 

 

I. UNE RESPONSABILITÉ DE DROIT COMMUN

 

La question de la responsabilité extra-contractuelle du fait des algorithmes questionne les modes traditionnels de responsabilité instaurés en France, par le Code civil (1.), alors que d’autres considèrent qu’il est nécessaire de concevoir un régime de responsabilité

spécifique (2.).

 

1. Application des régimes de responsabilité existants

Le préambule à l’application du régime de responsabilité est la connaissance de l’objet de droit soumis audit régime. Deux situations se doivent d’être envisagées : soit l’algorithme est un simple exécutant, soit il est autoapprenant.

Dans le premier cas, la garde de la chose semble s’imposer comme un régime adéquat. Il nécessite que le gardien dispose de l’usage, de la direction et du contrôle sur celle-ci. La garde serait alors « intellectuelle » dans la mesure où ce sont les ordres donnés par l’utilisateur qui viendraient la matérialiser.

L’utilisateur pourrait ainsi ordonner volontairement à son algorithme de réaliser des actes potentiellement dommageables. Le gardien serait en tout état de cause censé maîtriser les caractéristiques de l’algorithme et pouvoir anticiper lorsque ce dernier aurait mal compris un ordre et serait alors responsable des dommages causés par l’algorithme.

Le second cas est plus complexe, car « l’application de la responsabilité du fait des choses est de nature à remettre à jour la distinction garde de la structure et garde du comportement, utilisée lorsque le dommage est causé par une chose mue par un dynamisme propre et dangereux » [7] .

La garde du comportement est attribuée à l’utilisateur alors que la garde de la structure serait laissée au fabricant, avec un régime proche de la responsabilité du fait des produits défectueux, dès lors que ces derniers n’offrent pas la sécurité à laquelle on peut légitimement s’attendre : la qualification du défaut semble suffisamment large pour englober les comportements et les décisions non anticipés par leur créateur [8] .

Il appartiendra aux codeurs de faire le nécessaire pour fournir aux utilisateurs une information suffisante sur les risques liés à l’utilisation de l’algorithme afin d’essayer de limiter leur responsabilité.

Certains considèrent en revanche que ce système est insuffisant et qu’un nouveau régime doit être créé afin de consacrer la responsabilité spécifique des robots, dont le cœur de fonctionnement est bel et bien l’algorithme.

 

2. Un droit de la responsabilité sui generis au profit des algorithmes ? Vision futuriste ou adaptation nécessaire du droit commun ?

Une frange certaine de la population – avocats et personnalités du monde des nouvelles technologies – milite au contraire pour un droit des robots en les dotant d’une personnalité juridique [9] corollaire d’un régime et d’obligations spécifiques.

Cette solution a été reprise et envisagée dans la résolution du Parlement européen qui souhaite un droit unifié au sein de l’Union européenne, en la matière [10] . Pour l’heure, seule la responsabilité du fait des produits défectueux [11] apporte un premier niveau de réponse à l’échelle européenne.

À ce stade embryonnaire de la réflexion, il est difficile de perdre de vue que les robots restent la résultante de mathématiques.

À l’instar de Mme Frison-Roche, il est intéressant de rappeler que « [p]arce que le droit pourrait tout dire, l’on impute une obligation de loyauté directement à une chose (ici les mathématiques). Attention, les choses ne sont pas à ce point flexibles et la réalité n’est pas à ce point disponible au droit. Or, transformer les mathématiques en personnes, afin de pouvoir faire naître des obligations parce qu’on ne trouve pas d’autres pistes, c’est porter atteinte à la summa divisio que le droit établit entre les personnes et les choses. Or, si l’on s’autorise à traiter des choses comme des personnes (ce que l’on fait ici), l’on ne doit pas s’étonner par ailleurs que beaucoup ne trouvent rien à redire – ni en droit, ni en morale –, lorsque l’on traite des personnes comme des choses. Perdre la distinction entre les personnes et les choses fait perdre dans le droit non seulement son premier repère mais encore son premier garde-fou, contre sa tentation de disposer totalement de la réalité [12] . »

Une étude commandée par la Commission européenne des affaires juridiques elle-même reste très critique quant à la solution envisagée, en considérant que la construction d’une personnalité juridique propre est « inutile », et que les effets prévisionnels sont néfastes et inadaptés à l’intelligence artificielle existante et à celle projetée dans les dix ou quinze années à venir [13] .

La France dispose déjà de mécanismes propres en matière de responsabilité. Espérons que ces réflexions permettent de conserver un régime unifié et cohérent. Au-delà de ces considérations, un rappel des sanctions réglementaires peut s’avérer opportun en matière de risques auxquels on s’expose quand on utilise un algorithme, car l’utilisateur d’un algorithme en milieu bancaire et financier se doit de veiller également au respect des réglementations spécifiques à son activité, sous peine de se voir infliger de sanctions, qui sont loin d’être anodines.

 

II. SANCTIONS RÉGLEMENTAIRES

 

Les sanctions réglementaires impactant la mise en œuvre d’un algorithme dans le monde bancaire et financier découlent du RGPD (1.) et des réglementations financières (2.).

 

1. Sanctions issues du RGPD

Le RGPD vise à limiter l’utilisation des données personnelles en imposant le respect des principes de limitation des finalités, de licéité, de loyauté, de transparence et de minimisation des données. On ne peut que constater que ces principes s’accordent mal avec le fonctionnement même des algorithmes, et plus particulièrement, avec ceux dits de Machine/Deep Learning du

fait de leur nature « autoapprenante ». Il faut garder à l’esprit que les algorithmes se nourrissent de données sans cohérence les unes avec les autres afin d’en tirer des résultats non prédictibles par l’humain, et dont la logique n’est pas immédiatement accessible.

Plus le nombre de données mis à sa disposition est élevé, plus le résultat pourra s’avérer pertinent. Or, le RGPD impose des principes de minimisation de données, et de privacy by default qui risquent de s’avérer particulièrement délicats en matière d’algorithmes, sauf à respecter un des six cas prévus par l’article 6.1, al. 1, du RGPD, à savoir :

– traitement avec le consentement, ou – traitement sans consentement en cas de traitement nécessaire :

– à l’exécution d’un contrat ;

– au respect d’une obligation légale ;

– à la sauvegarde des intérêts vitaux ;

– à une mission d’intérêt public ;

– aux intérêts légitimes du responsable ;

– ou encore les exceptions visées par l’article 15.1 de la Directive 2002/58 Vie privée et Communications électroniques, pour ce qui concerne les métadonnées.

Par ailleurs, l’article 22 du RGPD impose que la prise de décision automatisée, « y compris par un profilage », soit portée à la connaissance de la personne concernée, tout comme les informations utiles concernant la logique sous-jacente de l’algorithme et les conséquences du traitement.

Voilà quelques points non négligeables, car à compter de l’entrée en vigueur du RGPD, les établissements bancaires et financiers s’exposeront à d’imposantes amendes administratives, en cas de non-respect de la réglementation pouvant aller jusqu’à 20 millions d’euros ou de 4 % du chiffre d’affaires annuel mondial de l’exercice de l’entreprise condamnée précédent.

Il existe deux catégories d’infractions :

– celles qui font l’objet d’une amende pouvant s’élever à 20 millions ou 4 % du chiffre d’affaires mondial annuel et ;

– celles qui font l’objet d’une amende moins importante pouvant s’élever à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires global annuel.

Ces dernières peuvent être infligées lorsqu’il y a violation de la réglementation et notamment en cas de :

– violation des principes relatifs au consentement : le traitement doit être autorisé sur la base d’un consentement, ou être fait sans le consentement de la personne concernée, car bénéficiant des exemptions que sont l’exécution d’un contrat, un intérêt légitime, ou encore l’accomplissement d’une obligation légale ;

– violation des droits des personnes concernées par le traitement : impossibilité pour la personne concernée d’exercer son droit d’accès, d’opposition, de rectification, de suppression ;

– violation des principes d’exercice d’un traitement :

le traitement doit être fait dans un but légitime, réalisé de manière à garantir la sécurité des données traitées ;

– violation des principes relatifs au transfert de données hors de l’Union européenne.

Ces sanctions pécuniaires sont sans préjudice de la capacité pour l’Autorité de contrôle de demander l’arrêt immédiat du traitement, et de fait de l’activité exécutée en application de l’algorithme. Elles restent communes à toutes les entreprises, indépendamment de leurs domaines d’activité. En revanche, les sanctions applicables sur le terrain du trading algorithmique

– activité financière par excellence

– sont emblématiques de l’environnement bancaire et financier.

 

2. Sanctions issues des réglementations financières

Les établissements bancaires et financiers sont de grands consommateurs d’algorithmes en matière de trading. Cette consommation d’algorithmes s’est accompagnée d’un changement significatif de l’activité et de l’apparition de nouveaux risques que la réglementation MIF II encadre désormais.

Le règlement MAR comporte d’importantes dispositions relatives à la nature des mesures et des sanctions dont doivent disposer les régulateurs des États membres et à la publicité de ces sanctions, qui constituent le pendant des dispositions relatives aux sanctions pénales des abus de marché prévues par la Directive 2014/57/UE, dite « MAD II ».

Y figurent aussi des dispositions plus novatrices sur le montant des sanctions administratives et les critères de détermination du niveau de ces sanctions. Ces dispositions, ont été transposées dans la loi n° 2016- 1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, avec les dispositions équivalentes de la Directive MIF II, de la Directive OPCVM V, des règlements PRIIPS et dépositaires centraux de titres.

Le Règlement MAR prévoit que les autorités compétentes doivent avoir le pouvoir d’infliger des sanctions pécuniaires administratives d’un montant maximal d’au moins trois fois le montant de l’avantage retiré de la violation ou des pertes qu’elle a permis d’éviter, s’ils peuvent être déterminés. Si ces avantages ou ces pertes sont indéterminables, les personnes physiques doivent pouvoir se voir infliger, en cas d’abus de marché, des sanctions d’au moins 5 millions d’euros et les personnes morales de 15 millions d’euros ou 15 % du chiffre d’affaires annuel total.

L’entrée en application de ce Règlement au 3 juillet 2016 a entraîné des modifications du Code monétaire et financier, du règlement général de l’AMF et certaines positions ou recommandations de l’AMF.

C’est ainsi que l’article L. 621-15 du Code monétaire et financier, qui prévoyait depuis la loi du 22 octobre 2010, des sanctions pouvant aller dans les matières considérées jusqu’à 100 millions d’euros ou dix fois les profits réalisés, a été modifié à la marge, notamment pour introduire le critère du chiffre d’affaires.

L’algorithme était néanmoins soumis, en matière de trading avant l’entrée en vigueur du Règlement MAR, à l’article 631-1 du Règlement général de l’AMF, lequel distinguait :

– les ordres susceptibles de donner indications fausses ou trompeuses sur l’offre, la demande ou le cours d’un instrument financier ou de fixer le cours à un niveau artificiel ou anormal ;

– des procédés donnant une image fictive de l’état du marché ou à toute autre forme de tromperie ou d’ artifice [14] .

Deux décisions récentes [15] ont prononcé des sanctions au titre d’un manquement de manipulation de cours. Elles révèlent in fine que la manipulation de cours est et restera – y compris sous l’emprise de l’article 12 du Règlement MAR, un manquement dual, objectif ou intentionnel, que celui-ci résulte d’un dysfonctionnement d’un algorithme, ou de la volonté même d’un auteur d’algorithme.

Aussi bien au regard du RGDP que des réglementations plus spécifiques au secteur financier, on constate que la mise en oeuvre un algorithme, ne doit plus seulement poser la question de la responsabilité juridique.

Elle se doit de s’insérer dans une logique de « conformité » à des normes réglementaires. Ce n’est plus au seul département juridique d’évaluer les risques. Il appartient de plus en plus aux experts du domaine de la conformité, plus connue sous son terme anglophone « compliance », de mettre en place de mesures de gouvernance interne qu’ils jugent adéquates en vue d’assurer l’application effective des textes.

 

CONCLUSION

 

L’approche réglementaire rapportée ici présente néanmoins l’inconvénient d’avoir une portée, tout au plus, européenne voire circonscrite au territoire français pour ce qui concerne les décisions de l’AMF, prise en application de MAR – un constat qui ne va pas sans appeler un questionnement au niveau international.

Car c’est bien dans un cadre international que les données et les algorithmes évoluent, en marge de toute frontière, et que dans ce cadre international, le maître droit est bien souvent un droit souple, dit « soft law », par opposition au droit réglementaire.

Dans un monde où les enjeux numériques ne peuvent se limiter au niveau national ou européen, et où il semble difficile de voir une frange du monde imposer à l’autre sa vision des choses, il semble primordial pour chacun de reconnaître que transparence, loyauté et éthique sont autant de nouveaux éléments de marketing au service du droit [16] , et que les diverses réglementations visant à plus de transparence, de loyauté et de grands principes des droits de l’homme devraient servir la promotion d‘innovations davantage « consciencieuses ».

Le recours aux systèmes d’autorégulation de type ISO pourrait être une réponse adéquate, et respectueuse des principes de responsabilisation, et de contrôle des individus sur leurs données, de privacy by design et pourquoi pas de « transparence by design », « d’éthique by design » ou encore de « loyauté by design », logique similaire à celle proposée par le RGPD.

Comme le soulignent Mmes Rochefeld et Zolinsky, « on ne regrettera pas […] les innovations que connaissent l’encadrement et la sanction : l’utilisation de l’e-réputation et de la labellisation. […] C’est en effet la première pierre d’une “régulation par la data” » [17] .

Dans la même lignée, des résultats d’évaluation pourraient être périodiquement publiés par une agence de notation des bonnes pratiques. C’est la régulation « réputationnelle » qui se trouve ici promue, via l’élaboration de guides de bonnes pratiques et la publication de listes d’acteurs vertueux ou non. La loyauté est ainsi appelée à devenir un argument marketing, en tant que vecteur de différenciation converti en avantage compétitif.

Et ce n’est qu’alors que la prophétie de Rabelais pourra être évitée.

1 N. Weinbaum et M. Delamorinière, « Algorithmes en milieu bancaire : une équation à deux inconnues entre propriété et transparence », Banque et Droit n° 176, pp. 22-25. 2 F. Rabelais, Pantagruel, 1542. 3 Nous proposons ici de limiter l’étude à la responsabilité extra-contractuelle. 4 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE. 5 Règlement (UE) 596/2014 du Parlement européen et du Conseil du 16 avril 2014 sur les abus de marché (règlement relatif aux abus de marché) et abrogeant la directive 2003/6/CE du Parlement européen et du Conseil et les directives 2003/124/CE, 2003/125/CE et 2004/72/CE. 6 Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE. 7 G. Courtois, « Robots intelligents et responsabilité : quels régimes, quelles perspectives ? », Dalloz IP/IT, juin 2016, p. 287. 8 Cette solution semble d’autant plus plausible qu’une réponse ministérielle (JOAN Q, 24 août 1998, p. 4728 – Réponse de la garde des Sceaux à la question du 15 juin 1998 n° 15677, M. de Chazeaux) confirme que ce régime a vocation à englober l’ensemble de la catégorie juridique des meubles, dont les logiciels. 9 Notamment A. Benssoussan, « La “personnalité robot” », Figaro blog expert, 11 février 2015 : http://blog.lefigaro.fr/bensoussan/2015/02/la-personnalite-robot.html. 10 Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2103(INL)). La résolution invite la Commission à réfléchir sur la création d’une agence européenne pour la robotique et l’intelligence artificielle, chargée d’apporter aux autorités publiques une expertise technique, éthique et réglementaire ainsi qu’un cadre juridique sur la responsabilité des robots. Par ailleurs, elle propose la construction d’un code de conduite éthique volontaire comportant des règles pour déterminer qui serait responsable des conséquences de la robotique sur les aspects sociaux, sur l’environnement et sur la santé humaine, et qui garantirait que ces responsables opèrent en respectant les normes juridiques, de sécurité et d’éthique. Les députés soulignent que des règles à l’échelle de l’UE sont nécessaires pour exploiter pleinement le potentiel économique de la robotique et de l’intelligence artificielle, tout en garantissant un niveau standard de sûreté et de sécurité. Le rapport estime ainsi qu’il appartient à l’UE de prendre l’initiative en matière de normes réglementaires, afin de ne pas être contrainte de suivre celles fixées par des pays tiers. 11 Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux. 12 M-A. Frison-Roche, « Droit et morale : un algorithme peut-il être loyal ? », mafr.fr, 26 octobre 2014 : http://mafr.fr/fr/article/distinction-personnechose-un-algorythmepeut- il-et/. 13 En ce sens, voir le chapitre 3 de l’étude commandée par la Commission des affaires juridiques du Parlement européen sur les règles européennes de droit civil en robotique 14 AMF, Règl. gén., art. 631-1, 2°. 15 J. Chacornac, « Manquement d’une entreprise de marché à ses obligations professionnelles – Manipulation de cours par recours au trading algorithmique », Revue de Droit bancaire et financier n° 1-2016, janvier, comm. 45. 16 J. Serris et I. Pavel, « Modalités de régulation des algorithmes de traitement des contenus », Rapport à Madame la Secrétaire d’État chargée du Numérique, 13 mai 2016. 17 . Rochfeld et C. Zolynski, « La loyauté des plateformes. Quelles plateformes ? Quelle loyauté ? », Dalloz IP/IT 2016, p. 520.