Soumises aux pressions technologiques, réglementaires et concurrentielles, les banques réinventent actuellement leur modèle économique. Premier catalyseur de cette transformation : le digital, qui bouleverse comportements clients et modes de consommation et dont l’instrument central est l’algorithme.
L’algorithme a trouvé dans l’environnement bancaire de multiples applications : des plus communes, comme la satisfaction, la prospection, le profilage et la fidélisation de la clientèle 1, aux plus spécifiques à son secteur – connaissance du client (KYC), robo-advisors 2, trading, fraude bancaire. Source d’une nouvelle rentabilité, les algorithmes sont devenus des actifs valorisés, vecteurs de concurrence, remettant profondément en cause les modèles économiques acquis, incitant à chercher une protection légale, judiciaire ou contractuelle, et engendrant des velléités de manque de transparence.
Autant d’éléments qui se confrontent à des droits tout aussi légitimes : respect de la vie privée, transparence desdécisions prises à son encontre. Autant de questions loin d’être simples dans un environnement auto-apprenant. D’où la proposition d’une étude en deux parties, autour des modes de protection des algorithmes en tant qu’asset (I.) contrebalancés par des principes éthiques et réglementaires (II.).
I. PROTECTION DE L’ALGORITHME EN TANT QU’ASSET ET LIMITES
La banque, en investissant dans la recherche d’algorithmes, cherche une protection de ses actifs, soit a priori par l’acquisition d’un droit ab initio (1.), soit a posteriori, par la reconnaissance d’un préjudice (2.). En cas d’abus sur le marché, on peut même imaginer que la banque puisse également bénéficier d’une protection contre les nouveaux arrivants sur le marché bancaire et financier (3.).
1. Protections au titre de la propriété intellectuelle
En matière d’algorithmes, le droit de la propriété intellectuelle se confronte au principe selon lequel « les idées sont de libre parcours », dont la déclinaison est de ne reconnaître aucune protection aux concepts, idées, techniques et procédés.
Seule l’intégration de l’algorithme dans un ensemble connu de la propriété intellectuelle lui permet d’être protégé. Ainsi, le code formalisant l’algorithme est protégé en tant que logiciel 3, l’intégration de l’algorithme dans une invention le fait accéder au statut du brevet 4, et son inscription dans une base de données 5 peut lui faire profiter de ce droit sui generis.
À chaque fois, ce n’est pas l’algorithme en tant que tel qui est protégé. Aussi, les récentes évolutions en matière de protection du secret d’affaires répondent plus efficacement à la problématique de protection de l’algorithme per se.
Pour favoriser la recherche, sécuriser les actifs immatériels des entreprises et uniformiser ce concept en Europe, la Commission européenne a adopté la directive Secret d’affaires, qui entre en vigueur en juin 2018 6.
Pour être protégé, il suffit de démontrer que l’algorithme est secret 7, qu’il a de fait une valeur commerciale, et qu’il fait l’objet de dispositions destinées à le garder secret.
Une fois ces critères satisfaits, une protection proche du droit de la propriété intellectuelle est consentie : toute appropriation/utilisation sans autorisation peut faire l’objet de mesures de prévention et de répression, et ce même si l’utilisateur ne savait pas qu’il était en situation d’illicéité 8.
2. Protections civilistes
L’algorithme, au même titre que toute forme de création, peut faire l’objet de plusieurs protections simultanées : à côté des droits de propriété intellectuelle, il existe des modes de protection trouvant leur fondement sur le terrain du droit civil.
À ce titre, une action en responsabilité peut être intentée sur le fondement du parasitisme défini comme l’usurpation de la valeur économique d’autrui, et ce, même en l’absence de la capacité de se prévaloir d’un droit privatif.
Il faut une faute, un préjudice et un lien de causalité. Sa sanction découle de l’article 1240 (ex 1382) du Code civil.
La jurisprudence a eu l’occasion de sanctionner l’utilisation du seul algorithme comme acte fautif, accordant une protection aux efforts de celui à qui le préjudice a été causé. La jurisprudence est à ce titre constante : « Si le droit de propriété des intimées n’avait pas été établi, elles auraient été fondées, par référence aux articles 1382 et 1383 du Code civil, à demander réparation d’agissements parasitaires ayant permis de s’approprier à moindres frais les fruits de l’effort économique d’autrui et quand bien même aucune situation concurrentielle n’aurait existé entre les parties 9. »
En parallèle, la conclusion d’un contrat s’avère intéressante pour définir les droits d’utilisation des algorithmes, les obligations de confidentialité et le sort des créations issues de l’algorithme.
Le contrat offre la possibilité de revendiquer un manquement, ou encore de se prévaloir d’une clause pénale ou autre « indemnity » tant affectionnée des anglo-saxons, sans s’encombrer du dénouement incertain du droit de la propriété intellectuelle.
Le banquier, tantôt utilisateur tantôt divulgateur de données financières, n’est pas étranger à ces pratiques.
Il rencontre déjà cette problématique, notamment dans le domaine des market data 10.
Cette solution contractuelle est d’autant plus importante au regard de la propriété des résultats produits par le « Machine/Deep Learning » : le régime légal applicable n’existant pas, cela doit faire l’objet d’un contrat précisant à qui appartiennent les résultats.
Cette facilité contractuelle a toutefois, au même titre que le parasitisme, l’inconvénient de faire peser la charge de la preuve du manquement sur celui qui l’invoque ;
là où en matière de propriété intellectuelle ou de secret d’affaires, la loi offre une protection systématique indépendamment de l’existence d’une faute.
La protection du patrimoine à forte valeur économique ne doit cependant pas occulter les autres intérêts en présence, qui deviennent aujourd’hui autant d’éléments
différentiels en termes de concurrence.
3. Protection du marché
Aujourd’hui, on transfère « la confiance vers la puissance de calcul de la machine plutôt qu’aux tiers de confiance traditionnels qui étaient jusqu’à présent les banques », disait Milhad Douehli en parlant des problématiques liées à la blockchain 11. Mais peut-on imaginer que plus largement, in fine, les plus grands concurrents des banques seront probablement à terme les GAFA, très avantagés en termes de possessions technologiques 12 ? Comment les banques pourraient-elles prétendre rester concurrentielles ?
Le droit de la concurrence pourrait être la voie choisie à l’instar de ce qui a été fait dans l’affaire Google Shopping.
En effet, le 27 juin dernier, la Commission européenne a prononcé une sanction de 2,42 milliards d’euros à l’encontre de Google, accusée d’avoir bénéficier de sa position dominante pour favoriser les résultats de Google Shopping par rapport à ceux de ses concurrents 13.
Attendons de connaître l’issue de cette affaire car la décision de la Commission reste encore contestée, Google ayant déposé un recours en annulation le 11 septembre dernier.
D’autres intérêts doivent également être pris en compte.
II. L’ALGORITHME AU REGARD DES VALEURS ÉTHIQUES ET RÉGLEMENTAIRES
L’algorithme ne peut pas s’appréhender que sous l’angle de la propriété. Les effets qu’il induit, tant sur les individus (1.), que, plus spécifiquement, sur l’activité de trading (2.), ont incité les législateurs à réglementer son utilisation.
1. Réglementation de l’algorithme au regard de ses effets sur les individus
Ces trois dernières années, face à l’incompréhension grandissante qui entoure les mécanismes des algorithmes intelligents et de leur impact croissant sur les individus, pléthore d’écrits juridiques sont intervenus sur les algorithmes pour adopter des chartes d’éthiques.
La Loi informatique et libertés posait déjà quelques jalons de protection mais c’est en 2014, avec le rapport du numérique du Conseil d’État, que la nécessité de rendre les algorithmes transparents, de les contrôler et d’encadrer les prises de décisions sur les individus par l’intervention humaine a été mise en évidence 14.
Des réponses réglementaires ont in fine été adoptées. La Commission européenne – attablée alors sur les premiers projets du Règlement général sur la protection des données (RGPD) 15 – s’est attelée à ces questions (1.1.), tout comme la France avec la Loi pour une République numérique 16 (LRN) (1.2.).
1.1. Le RGPD
L’algorithme dit de Machine/Deep Learning se nourrit de données de toutes natures pour les utiliser en masse dans un but exploratoire 17. Or le RGPD vise à limiter l’utilisation des données personnelles, en imposant le respect des principes de limitation des finalités, de licéité, de loyauté, de transparence et de minimisation des données.
Au responsable de traitement de rester vigilant sur le type de données utilisées et sur la définition des finalités, quitte à faire de l’anonymisation, ce qui ne semble pas évident au regard des normes imposées par le G 29 18.
Ce fonctionnement est d’autant plus incompatible avec l’article 22 du RGPD qui impose que la prise de décision automatisée, « y compris un profilage », soit portée à la connaissance de la personne concernée, tout comme les informations utiles concernant la logique sous-jacente de l’algorithme, et les conséquences du traitement.
D’ici mai 2018, les banques devront préciser dans leurs conditions générales l’objectif visé par la collecte des données collectées tout au long du processus commercial, sans occulter le nécessaire consentement spécifique du client pour chaque finalité recherchée ou encore de devoir coder des algorithmes respectant le « privacy by design », en intégrant des systèmes d’anonymisation.
Enfin, une dernière solution sera pour les banques de puiser de l’information dans l’open data qui peut être un complément important à leurs bases de données, et ayant déjà fait l’objet d’une adaptation du droit français par la LRN.
1.2. LRN
La LRN vise à promouvoir l’innovation et le développement de l’économie numérique dans une société numérique ouverte, fiable et protectrice des droits des citoyens.
Outre la mise à disposition du public de certaines données, la LRN, est allée un pas plus loin que le RGPD dans le renforcement du droit à l’autodétermination informationnelle des personnes, en introduisant un régime pour les données personnelles des personnes décédées 19, la possibilité d’exercer les droits par voie électronique 20, et encore l’obligation de respecter le secret des correspondances électroniques.
Le traitement automatisé d’analyse des mails à des fins publicitaires, statistiques ou d’amélioration du service apporté aux utilisateurs est interdit, sauf consentement exprès, renouvelé a minima annuellement 21.
Enfin, la LRN consacre, au bénéfice du consommateur 22, le principe de « loyauté des plateformes » 23, dans un but d’information et de régulation des avis en ligne.
Ces obligations d’information sont imposées aux plateformes, entendues de manière large 24, et donc également aux banques, puisque la définition s’applique également aux sites proposant de l’intermédiation 25. La banque est également impactée dans l’utilisation des algorithmes, plus particulièrement dans son activité de trading.
2. Réglementation de l’algorithme au regard de ses effets sur l’activité de trading
Les banquiers utilisent l’algorithme dans leurs activités de trading 26, dont la plupart 27 sont réalisées sans intervention humaine, grâce aux algorithmes dits de Deep/Machine Learning 28. On parle alors de technique de trading algorithmique à haute fréquence, qui permet de trouver les meilleurs prix applicables par les différents opérateurs, en effectuant un nombre élevé de requêtes, ce qui a pu, par le passé, provoquer des baisses brutales de cours 29. La directive de régulation des marchés d’instruments financiers (« MIF II ») 30 notamment encadre désormais le trading algorithmique 31 et la technique de trading algorithmique à haute fréquence pour améliorer la qualité du marché, en prévenant et gérant les dysfonctionnements du marché liés aux innovations technologiques 32, et éviter les manipulations de marché 33.
Techniquement, la régulation repose sur l’enregistrement des données de transaction, des tests de robustesse des plateformes financières, et l’obligation pour les opérateurs de notifier l’utilisation d’algorithmes.
En pratique, la régulation repose sur l’exploitation quotidienne d’indicateurs d’anomalies de marché, ainsi que sur l’obligation pour tous les opérateurs de déclarer les opérations suspectes.
Dans le cadre de la transposition de MIF II, la Commission européenne vient de publier une série de règles et définitions, dont celle, très attendue, des utilisateurs des techniques de trading algorithmique à haute fréquence.
Seront considérées y ayant recours, début 2018, les sociétés de trading qui envoient au moins deux « messages » (ordres, cotations, annulations de cotation, confirmations…) par seconde sur un instrument et une plateforme ou quatre messages sur plusieurs instruments et sur une plate-forme. Les bourses et plates-formes alternatives devront donc, chaque mois, donner aux firmes de trading concernées une estimation de leurs volumes de « messages ».
Comme tout producteur d’algorithmes, la banque dispose donc d’armes légales pour en faire reconnaître la valeur. Elles seront à terme quasiment aussi efficaces que celles proposées aux titulaires de droit de propriété intellectuelle. Cette reconnaissance d’un droit privatif doit toutefois être contrebalancée par le respect d’autres intérêts légitimes et mis en exergues à travers des réglementations spécifiques. Se pose plus largement, et d’autant plus avec les algorithmes auto-apprenants, la question de la mise en jeu de la responsabilité de la banque lorsqu’elle utilise l’algorithme 34.
1. A. Couget, « Le Machine Learning : quelles opportunités et quels enjeux dans une banque en ligne moderne ? », https://www.riskinsight-wavestone.com/2016/11/machine-learningopportunites-enjeux-banque-ligne-moderne/.
2. E. Leroux, « Épargne : trop robot pour être vrai », Le Monde Économie, 26 septembre 2015 : http://www.lemonde.fr/argent/article/2015/09/26/conseillers-virtuels-trop-robot-pouretre-vrai_4772939_1657007.html.
3. CA Paris 24 novembre 2015, n° 13/24577.
4. Pour ce qui est de la France. Le deuxième alinéa de l’article L. 610-11 du Code de la propriété intellectuelle disposant que « ne sont pas considérées comme des inventions les découvertes ainsi que les théories scientifiques et les méthodes mathématiques ».
5. Répondant ainsi aux critères de l’article L. 341-1 du Code de la propriété intellectuelle.
6. Directive (UE) 2016/943 Du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
7. En ce sens que, dans sa globalité ou dans sa configuration ou dans l’assemblage exact de ses éléments, il n’est pas généralement connu des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles.
8. M. Delamorinière, « Secret d’affaires, Tout est question de mesure ! », Expertises des
systèmes d’information n° 417, octobre 2016.
9. CA Paris 5 avril 1990, Juris-Data n° 021579.
10. N. Weinbaum et M. Delamorinière, « Le statut des données dans les contrats de market data », Expertises des systèmes d’information n° 395, octobre 2014.
11. Interview de M. Doueihi par Wavestone, in La Vie privée à l’ère du numérique : au-delà de la conformité, un enjeu de confiance : https://www.wavestone.com/app/uploads/2017/01/Vieprivee-numerique-confiance.pdf.
12. H. Sitruk et J. Braun, « Un bouleversement porté par l’innovation et les nouvelles réglementations », La Jaune et la Rouge n° 724, avril 2017.
13. Commission européenne, communiqué de presse en date du 27 juin 2017 : http://europa.eu/rapid/press-release_IP-17-1784_fr.htm.
14. Rapport au nom de l’office parlementaire d’évaluation des choix scientifiques et technologiques « pour une intelligence artificielle maîtrisée, utile et démystifiée » déposé
par M. Claude de Ganay, député, et Mme Dominique Gillot, sénatrice le 15 mars 2017.
15. Règlement(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE.
16. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
17. L’algorithme n’a pas besoin de se nourrir de données cohérentes pour trouver des résultats. Par exemple, il pourrait récupérer des données qui avaient pour finalité la
recherche d’un risque de fraude par exemple pour proposer des offres de prêts.
18. Il s’agit d’un organe consultatif instauré par la directive 95/46/CE. Il réunit des représentants des autorités compétentes en matière de protection des données de chaque pays membre de l’Union européenne.
19. L’article 40-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
20. Le nouvel article 43 bis de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
21. Le nouvel article L. 32-3 au Code des postes et des communications électroniques.
22. Conseil national du numérique - Avis n°2015-3 relatif au projet de loi pour une République numérique.
23. Articles 49 et suivants de la LRN.
24. Article L. 111-7 du Code de la consommation.
25. L. Grynbaum, « Loyauté des plateformes : un champ d’application à redéfinir dans les limites du droit européen. – A propos du projet de loi pour une République numérique », La Semaine Juridique Edition Générale n° 16, 18 avril 2016, 456.
26. Près de 60 % des transactions en Europe, et 75 % aux États-Unis sont réalisées via des algorithmes.
27. Près des deux tiers de ces opérations.
28. Ils testent en permanence le marché, en passant de nombreux ordres dont la plupart sont annulés très rapidement : le ratio d’ordres exécutés par rapport aux ordres saisis peut être très faible (moins de 1 % pour certains traders HFT). Sur Euronext, les ordres étaient enregistrés à la seconde jusqu’en 2009, on utilise aujourd’hui 6 chiffres après la virgule !
29. B. Gizard, « Le trading algorithmique : entre défis et défiance », Revue de Droit bancaire et financier n° 4, juillet 2016, dossier 24, et plus particulièrement au paragraphe 6.
30. Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE.
31. Elle est définie à l’article 4.39 MIF II par référence à la négociation d’instruments financiers dans laquelle un algorithme informatique détermine automatiquement les différents paramètres des ordres avec une intervention humaine limitée ou inexistante. Cette définition doit être précisée par un acte délégué de la Commission européenne.
32. Mise en place d’un régime harmonisé des pas de cotation (tick sizes) minimums fondé sur le prix et la liquidité des instruments financiers concernés (à savoir les actions,
certificats de dépôts et ETF négociés sur plates-formes européennes) et renforcement des exigences organisationnelles applicables aux acteurs de marché ayant recours à la
négociation algorithmique afin d’assurer la résilience et la capacité de leurs systèmes de négociation.
33. Introduction d’un corps d’obligations minimales applicables à toute personne souhaitant exercer cette activité (notamment s’agissant du temps de présence, de la taille et du prix des cotations) et d’exigences visant à assurer que les dispositifs des plates-formes sont équitables et non discriminatoires et à prévoir des mécanismes d’incitation en période de stress, encadrement des structures de frais des plates-formes de négociation ainsi que les services de colocalisation que celles-ci peuvent proposer en imposant que ces frais et services soient transparents, équitables et non discriminatoires.
34. Ces questions seront abordées dans un article à paraître prochainement dans Banque et Droit.
