Espace Banque & Droit

Vers un nouveau cadre réglementaire européen sur l’utilisation
de l’intelligence artificielle (IA) :
un changement de paradigme majeur pour le secteur bancaire ?

Créé le

04.06.2024

-

Mis à jour le

12.06.2024

Face au recours accru aux nouvelles technologies de l’intelligence artificielle (IA) et aux risques induits par son utilisation, la proposition de règlement européen sur l’IA1 vise à encadrer, de manière harmonisée, l’utilisation, au sein de l’UE, d’une l’IA digne de confiance en assurant un niveau élevé de protection des droits fondamentaux contre les risques liés à son utilisation en termes d’effets potentiellement néfastes. Le présent commentaire se bornera à l’examen des éléments essentiels de la version de la proposition de règlement européen sur l’IA2, adoptée définitivement par le Parlement européen le 13 mars 20243, tout en abordant, pour le secteur bancaire traversé par l’innovation technologique de l’IA, les principaux enjeux sur les cas d’usage de l’IA et les difficultés éventuelles liées à ce nouveau cadre réglementaire.

Revue Banque
Yasmina Bréchot
  • Docteure en Droit
  • Juriste en régulation bancaire Confédération Nationale du Crédit Mutuel

1. La proposition de règlement sur l’IA poursuit un double objectif : protéger contre les risques liés à l’utilisation de l’IA tout en encourageant l’innovation. Le premier objectif de la proposition de règlement sur l’IA est d’établir un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle au sein de l’UE, dans le respect des valeurs de l’Union4. Concrètement, ce cadre réglementaire vise à imposer des règles contraignantes directement applicables aux différents intervenants tout au long de la chaîne de valeur de l’IA au sein de l’UE5 afin de protéger contre les effets potentiellement néfastes des systèmes d’IA, tout au long de leur cycle de vie, sur la santé, la sécurité et les droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’Union européenne6. Le second objectif est de prévoir en parallèle un cadre permettant aux entreprises innovantes de se développer en faisant ainsi de l’UE un acteur de premier plan dans l’utilisation d’une IA digne de confiance7.

2. Un cadre réglementaire horizontal s’appliquant en cohérence avec les autres législations de l’Union déjà applicables aux secteurs d’activité utilisant des systèmes d’IA. Applicable à tout secteur d’activité8, la proposition de règlement sur l’IA instaure une réglementation horizontale9 harmonisée de l’IA requérant une cohérence avec la législation de l’Union existante par ailleurs applicable aux secteurs d’activité dans lesquels des systèmes d’IA à haut risque sont déjà utilisés10. Or il se trouve que le secteur bancaire est une terre d’élection de l’utilisation de la technologie d’IA mise au service des différentes activités de la banque11, allant de la relation client (de l’assistance avec le déploiement des chatbots12 ou de voicebots13 au conseil automatisé des robo-advice) à la gestion des risques (détection des fraudes, lutte contre le blanchiment, cybersécurité)14 en passant par le profilage15 et la notation (scoring) des clients. Conscient de cette réalité, le législateur européen a d’emblée indiqué qu’il conviendra « d’intégrer la procédure d’évaluation de la conformité et certaines des obligations procédurales des fournisseurs [d’IA] en ce qui concerne la gestion des risques, la surveillance après commercialisation et la documentation dans les obligations et procédures existantes au titre de la directive 2013/36/UE [dite “directive CRD”]16 » (soulignement ajouté) qui régit le cadre prudentiel des établissements de crédit17. En sens inverse, le législateur a également précisé qu’ « afin d’éviter des chevauchements », les obligations prévues par le règlement sur l’IA (i) pour les établissements de crédit, fournisseurs18 de systèmes d’IA à haut risque, de mettre en place un système de gestion de la qualité et (ii) pour les établissements de crédit, utilisateurs de systèmes d’IA à haut risque, de surveiller le fonctionnement du système sont réputées remplies dès lors que les règles relatives aux dispositifs, processus et mécanismes de gouvernance interne prévues par la directive CRD19 s’appliquent déjà à ces établissements20. Cela étant, la BCE semble vouloir aller au-delà de cette osmose équilibrée entre les obligations imposées entre le cadre réglementaire de l’IA et celles prévues par la réglementation sectorielle bancaire en soulignant que la proposition de règlement sur l’IA devrait s’appliquer sans préjudice des obligations prudentielles plus strictes incombant aux établissements de crédit prévues par la réglementation sectorielle. La BCE, dans son avis du 29 décembre 202121, a mentionné l’exemple du contrôle des dispositifs d’externalisation incombant aux établissements de crédit utilisateurs d’IA en vertu de la directive CRD22 laquelle est complétée par les orientations de l’ABE relatives à l’externalisation23. Selon la BCE, ces orientations de l’ABE devraient s’appliquer en cas d’externalisation par les établissements de crédit de systèmes d’IA.

3. Une définition large des systèmes d’IA nécessitant encore des clarifications notamment pour le secteur bancaire. En ce qui concerne la définition d’un système d’IA telle qu’elle est énoncée à l’article 3 du règlement proposé, elle est plus précise24 que la première définition proposée initialement par la Commission européenne le 21 avril 2021 qui restait vague en raison de l’objectif de neutralité souhaité de la réglementation de l’IA par rapport aux évolutions rapides des innovations technologiques de l’IA25. Si cette définition plus précise a permis d’exclure les systèmes logiciels ou les approches de programmation traditionnels plus simples, ainsi que les systèmes fondés sur les règles définies uniquement par les personnes physiques pour exécuter automatiquement des opérations26, des incertitudes subsistent encore, sur l’inclusion dans cette définition, de certaines technologies de l’IA utilisées depuis longtemps par les établissements de crédit.

4. Une approche fondée sur les risques liés à une utilisation des systèmes d’IA susceptible de porter atteinte aux droits fondamentaux. Présentation générale. La proposition de règlement impose aux fournisseurs, aux développeurs et aux utilisateurs d’IA des obligations différenciées en fonction de catégories prédéfinies de risques27 inhérents à tel ou tel usage de systèmes d’IA. Plus le risque lié à l’utilisation de tel ou tel système d’IA est élevé, plus les obligations sont strictes. Les usages des systèmes d’IA, tout au long de la chaîne de valeur de l’IA, sont classés en quatre catégories de niveaux de risque28 par rapport à l’atteinte potentielle aux droits fondamentaux29 selon que l’utilisation du système d’IA présente i) un risque inacceptable, ii) un haut risque, iii) un risque limité, ou iv) un risque faible. En dehors des systèmes d’IA à niveau de risques dit « inacceptables » et donc interdits30, ces obligations impliqueront le respect de certaines exigences, plus ou moins renforcées, en fonction des trois autres catégories de risques. Au plus haut de l’échelle de gradation de ces trois autres catégories de risques, se situent les usages31 des systèmes d’IA classés comme « systèmes d’IA à haut risque »32 dont certains sont présumés à haut risque33 dès lors qu’ils sont visés dans la liste des huit domaines mentionnée à l’annexe III au règlement sur l’IA34. Ces usages impliqueront le respect d’exigences renforcées35 en matière de système de gestion des risques36, de gouvernance des données, de documentation technique, d’enregistrement, de transparence, de contrôle humain effectif 37 et de mesure de la robustesse technique et de cybersécurité38. Au plus bas de l’échelle, figurent les systèmes d’IA à risque faible39 qui sont librement utilisables. Entre les deux, certains systèmes d’IA à risque limité impliquent des obligations de transparence, mises à la charge des fournisseurs et des déployeurs de certains systèmes d’IA notamment destinés à interagir directement avec des personnes physiques40.

Implications pour le secteur bancaire. En ce qui concerne le secteur bancaire, l’approche réglementaire fondée sur les risques est un modèle de régulation bien connu des établissements de crédit fondamentalement régis par des règles prudentielles41 qui permettent de vérifier si les risques pris par un établissement ne sont pas excessifs et ne portent pas préjudice à leur obligation de gestion saine et prudente. Cela étant, au cas présent, l’approche fondée sur les risques, prévue par la proposition de règlement, est différente de la précédente voire inversée puisque le risque n’est pas appréhendé par rapport à la protection de l’établissement de crédit mais par rapport à la protection des droits fondamentaux au sens de la Charte de l’UE qui concernent donc les personnes physiques. Dès lors que le règlement sur l’IA entend promouvoir une IA axée sur l’humain au moyen d’une approche fondée sur les risques permettant de garantir un niveau de protection élevée des droits fondamentaux des personnes physiques, les établissements de crédit devront renforcer leur processus décisionnel en intégrant cette nouvelle dimension.

5. Des activités bancaires classées comme des systèmes d’IA à haut risque alors qu’elles sont déjà fortement encadrées par la réglementation bancaire. Parmi les huit domaines de systèmes d’IA classés à haut risque au sens de l’article 6, paragraphe 2 de la proposition de règlement et dont la liste est énumérée à l’annexe III à cette proposition, figurent les systèmes d’IA utilisés pour évaluer la solvabilité de personnes physiques ou établir leur note de crédit42. L’article 6, paragraphe 3 de la proposition de règlement sur l’IA précise en outre qu’un système d’IA visé à l’annexe III dont font partie les systèmes d’IA utilisés pour évaluer la solvabilité de personnes physiques ou établir leur note de crédit est toujours considéré comme étant à haut risque lorsqu’il effectue un profilage de personnes physiques43.

Or les établissements de crédit utilisent régulièrement des modèles pour évaluer la solvabilité des personnes physiques (creditworthiness) ou établir une notation de crédit (credit scoring). Ils seraient donc assujettis aux nouvelles obligations, découlant du classement des systèmes d’IA comme système d’IA à haut risque, les systèmes d’IA utilisés pour évaluer la solvabilité de personnes physiques ou établir leur note de crédit. Dans ces conditions, les nouvelles obligations liées à la fourniture ou à l’utilisation de systèmes d’IA à haut risque par les établissements de crédit pourraient faire double emploi44, voire impliquer potentiellement des contradictions avec l’actuelle réglementation européenne bancaire. Cette dernière impose déjà des exigences en matière de gouvernance interne et de gestion des risques applicables dans le cadre de la fourniture de leurs services, y compris lorsqu’ils font usage de systèmes d’IA. La mise en œuvre de ces nouvelles obligations pourrait, en outre, engendrer des surcoûts inutiles pour l’industrie bancaire tout en freinant le plein exercice du cœur de métier des banques qui consiste principalement en l’octroi de crédits pour financer l’économie.

Il convient, certes, de relever que le règlement proposé sur l’IA vise à une meilleure articulation avec la directive dite « CRD » relative au cadre prudentiel des établissements de crédit en prévoyant que certaines obligations relatives aux systèmes de gestion de la qualité incombant aux établissements de crédit en tant que fournisseurs de systèmes d’IA à haut risque sont réputées remplies dès lors que les règles relatives à la gouvernance interne prévues par CRD sont respectées45. Il en est de même, s’agissant des obligations de surveillance du fonctionnement du système d’IA à haut risque incombant aux établissements de crédit en tant que déployeurs46 de systèmes d’IA à haut risque47. Mais cela ne concerne qu’une partie des nombreuses obligations renforcées48 prévues par la proposition de règlement. En outre, la proposition de règlement sur l’IA ne prévoit pas l’articulation avec les autres réglementations bancaires régissant les activités de crédits à la consommation49 ou immobiliers50 qui encadrent précisément l’évaluation de la solvabilité des personnes physiques et les décisions basées sur des traitements automatisés de données y compris via la technologie de l’IA51.

6. Une exigence d’analyse d’impact sur les droits fondamentaux par les banques utilisant des systèmes d’IA à haut risque pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit. La proposition de règlement52 prévoit une obligation, pour les déployeurs53 de systèmes d’IA à haut risque, destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit54, (donc principalement les banques) et avant la mise en service de ces systèmes, d’effectuer une analyse de l’impact sur les droits fondamentaux de l’utilisation de ces systèmes. Cette nouvelle obligation d’analyse d’impact sur les droits fondamentaux, qui n’est pas actuellement pas prévue dans la réglementation bancaire, constituerait un frein à l’exercice habituel de leur métier d’octroi de crédits dont l’évaluation préalable de la solvabilité est déjà une obligation réglementaire55. En effet, les décisions sont souvent déterminées sur la base de la technique dite du scoring56. Il convient, par ailleurs, d’avoir à l’esprit que la protection des données à caractère personnel fait partie des droits fondamentaux tels qu’ils sont protégées par la Charte des droits fondamentaux de l’UE57. Dès lors que l’analyse d’impact peut concerner la protection des données personnelles58, il convient de rappeler que les établissements de crédit sont déjà tenus de respecter le règlement (UE) 2016/679 dit « RGPD »59. En ce qui concerne plus précisément le credit scoring, le RGPD doit en effet être pris en compte : une décision récente de la CJUE60 a conclu, pour la première fois, que (i) le credit scoring s’apparente au profilage61 au sens de l’article 22 du RGPD et (ii) qu’il constitue en tant tel une « décision individuelle automatisée » au sens de cet article, lorsque les banques lui accordent un rôle déterminant dans la décision ou non d’octroi de crédits62. Dans ce sens, la décision, fondée sur un credit scoring, est en principe interdite sauf si notamment la personne y consent. La problématique demeure identique en cas de credit scoring ou de profilage63 basé sur l’IA d’autant plus que ce dernier est défini dans le règlement sur l’IA par référence à la définition prévue par le RGPD. Cette importante dimension « respect du RGPD » soulevée par les risques induits par l’IA explique sans doute le fait que la CNIL n’a pas tardé à se manifester et a publié le 8 avril 2024 ses premières recommandations sur le développement des systèmes d’IA de manière respectueuse des droits des personnes conformément au RGDP64.

7. Un encadrement spécifique pour les systèmes d’IA à usage général en plein essor dans le secteur bancaire. Initialement non régis par la proposition initiale du règlement sur l’IA par la Commission européenne, les systèmes d’IA à usage général65 (ou plus communément « IA générative ») dont les modèles à usage général66 sont capables de générer du texte, des images et d’autres contenus (comme ChatGPT4)67 sont désormais encadrés, à l’instigation du Parlement européen, via par un régime plus strict68 compte tenu de leur puissance69 et de leur capacité à manipuler. Ces exigences encore plus strictes vont des obligations de transparence avant leur mise sur le marché par les fournisseurs, à des exigences plus fortes pour les modèles d’IA à usage général présentant un risque systémique70 en passant par le respect du droit d’auteur. Les établissements de crédit ayant recours l’IA générative, qui est en plein essor principalement dans le service fourni aux clients et dans l’optimisation des processus internes,71 lesquels sont déjà eux-mêmes considérés comme des systèmes à haut risque devront se poser la question de l’articulation entre ce régime propre aux modèles d’IA et celui encadrant les systèmes d’IA à haut risque. Des clarifications seront nécessaires à cet égard.

8. Une clarification nécessaire sur l’enchevêtrement de plusieurs autorités de surveillance en matière d’utilisation de l’IA par le secteur bancaire déjà fortement supervisé. La proposition de règlement prévoit un système de gouvernance partagé (i) entre le niveau de l’UE impliquant plusieurs organismes72 et (ii) le niveau national auprès des autorités nationales compétentes73. Dès lors que les systèmes d’IA sont assimilés à des produits74, l’autorité de surveillance du marché est définie75 comme l’autorité nationale prévue par le règlement (UE) 2019/1020 sur la surveillance du marché et la conformité des produits76. Cela pose question en termes de conflits de normes en cas d’utilisation de systèmes d’IA par les banques, sachant que la législation européenne de 2019 régissant la sécurité des produits garantit un niveau élevé de protection des intérêts publics tels que, par exemple, la protection des consommateurs. Or, cette dernière est également une des finalités recherchées par la réglementation bancaire77. Conformément au principe « même activité, mêmes risques, même surveillance », les autorités de surveillance prudentielle en matière bancaire se positionnent en tant qu’autorités naturelles de surveillance du marché des systèmes d’IA lorsqu’ils sont utilisés, fournis ou déployés par des établissements de crédit. Plus précisément, la compétence de l’ACPR, autorité de surveillance des établissements de crédit, s’impose en tant qu’autorité nationale de surveillance du marché au sens de la proposition de règlement d’autant plus que ce dernier prévoit dans une autre disposition que, « pour les systèmes d’IA à haut risque mis sur le marché, mis en service ou utilisés par des établissements financiers régis par la législation de l’Union sur les services financiers, l’autorité de surveillance du marché aux fins du présent règlement est l’autorité nationale responsable de la surveillance financière de ces établissements en vertu de cette législation dans la mesure où la mise sur le marché, la mise en service ou l’utilisation du système d’IA est directement liée à la fourniture de ces services financiers. »78(soulignement ajouté)79. Reste à savoir si l’ACPR sera investie des pouvoirs de sanction dans ce domaine, le règlement sur l’IA prévoyant des amendes administratives pour non-conformité au règlement sur l’IA80 et leur montant est fixé soit, en fonction d’un pourcentage du chiffre d’affaires annuel global de l’entreprise incriminée au cours de l’exercice précédent, soit en montant prédéterminé, le plus élevé des deux étant retenu81.

9. Un cadre réglementaire encourageant néanmoins l’innovation. C’est la première fois, qu’une norme juridiquement contraignante comme la proposition de règlement sur l’IA prévoit la mise en œuvre de « bacs à sable réglementaires » dans le domaine de l’IA82, au niveau national, pour faciliter le développement et la mise à l’essai de systèmes d’IA innovants sous un contrôle réglementaire strict avant leur mise sur le marché. Les bacs à sable réglementaires de l’IA ont pour objectif (i) de favoriser l’innovation dans le domaine de l’IA afin de garantir la conformité des systèmes d’IA innovants avec le présent règlement et d’autres actes législatifs pertinents de l’Union et des États membres, (ii) de renforcer la sécurité juridique pour les innovateurs ainsi que (iii) le contrôle et la compréhension, par les autorités compétentes, des possibilités, des risques émergents et des conséquences de l’utilisation de l’IA83. Rapporté au secteur bancaire, les conclusions à la suite d’un bac à sable réglementaire sur un système d’IA pourraient être différentes entre les entités d’un même groupe bancaire selon que telle ou telle autorité nationale compétente se prononcent dans un sens de conformité ou de non-conformité.

Conclusion. Face à un secteur bancaire fortement concerné par les enjeux de la régulation de l’IA de par les gains liés à l’utilisation actuelle ou potentielle des outils d’IA, source d’innovation technologique dans tous ses domaines d’activité, le nouveau cadre réglementaire européen sur l’IA nécessite des clarifications liées notamment à son articulation avec la réglementation bancaire et prudentielle existante qui régit les activités des établissements de crédit y compris lorsqu’ils font usage de systèmes d’IA.

Certes, la proposition de règlement de l’IA apporte déjà des réponses en assurant une cohérence avec la réglementation bancaire en intégrant certaines obligations prévues par cette dernière dans le règlement sur l’IA ou en prévoyant l’application de la réglementation bancaire pertinente pour les établissements de crédit utilisateurs de systèmes d’IA. Cet alignement sur les obligations prévues par la réglementation bancaire se justifie, à la lumière de ce commentaire, par une analogie des approches et des méthodes (approche fondée sur les risques ainsi que la mise en place de dispositifs, processus et mécanismes de gouvernance interne).

Mais de nombreuses questions suscitées sur la mise en œuvre de ce règlement sur l’IA par le secteur bancaire subsistent et elles n’ont pas échappé à l’attention des autorités de surveillance. L’Autorité bancaire européenne a, par exemple, déjà annoncé qu’elle ferait le point sur la réglementation sur l’IA en réalisant une cartographie complète des mesures prudentielles existantes et à venir ainsi que des exigences de protection des consommateurs concernant l’utilisation de l’IA dans le secteur bancaire, en se concentrant principalement sur l’évaluation de la solvabilité des personnes physiques84. La BCE, quant à elle, a également manifesté sa volonté de clarifier les attentes prudentielles en complément des obligations similaires à celles prévues par la directive CRD incombant aux établissements de crédit utilisateurs de systèmes d’IA à haut risque prévues par le règlement sur l’IA85. Il reste à espérer que le besoin « d’explicabilité » des IA soit également respecté par les autorités de surveillance prudentielle lorsqu’elles feront également elles-mêmes usage de l’IA dans le contrôle prudentiel des établissements de crédit utilisateurs de systèmes IA86. n

À retrouver dans la revue
Banque et Droit Nº215
Notes :
Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union (dénommée, en anglais, « AI Act »).
2 Ci-après, dénommée dans le présent commentaire, « la proposition de règlement ».
3 Version du texte adopté le 13 mars 2024 par le Parlement européen consultable sur le lien : https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_FR.pdf. Le texte doit encore être adopté formellement par le Conseil de l’UE avant d’être publié au JOUE et d’entrer en vigueur vingt jours après sa publication. Il sera pleinement applicable 24 mois après son entrée en vigueur à l’exception de certaines interdictions (applicables 6 mois après) et obligations (applicables 12 mois après).
4 Voir le considérant n°1 de la proposition de règlement.
5 En plus de s’appliquer aux fournisseurs, développeurs et déployeurs de systèmes d’IA établis dans l’UE, ce règlement aura une portée extraterritoriale en s’appliquant également aux fournisseurs, développeurs et déployeurs établis hors de l’UE dès lors que leurs services seront mis à la disposition des utilisateurs de l’UE.
6 Selon le considérant n°1 de la proposition de règlement, ce sont les droits fondamentaux consacrés dans la Charte des droits fondamentaux de l'Union européenne, y compris la démocratie, l'État de droit et la protection de l'environnement. Charte consultable : https://www.eba.europa.eu/sites/default/files/2024-01/690f7f02-4496-4e44-ada6-469dbc351235/JM%20Campa%20keynote%20speech%20at%208th%20annual%20FinTech%20and%20Regulation%20Conference_Afore%20consulting.pdf
7 Voir l’article 1er de la proposition de règlement. Le Parlement européen a bien résumé ce double objectif dans son communiqué de presse : « ce règlement vise à protéger les droits fondamentaux, la démocratie, l’État de droit et la durabilité environnementale contre les risques liés à l’intelligence artificielle (IA), tout en encourageant l’innovation et en faisant de l’Europe un acteur de premier plan dans ce domaine. » : Intelligence artificielle: les députés adoptent une législation historique : https://www.europarl.europa.eu/news/fr/press-room/20240308IPR19015/intelligence-artificielle-les-deputes-adoptent-une-legislation-historique
8 Cependant, la proposition de règlement sur l’IA exclut, de son champ d’application, notamment les systèmes d'IA à des fins militaires, de défense ou de sécurité nationale quel que soit le type d'entité exerçant ces activités (voir l’article 2, paragraphe 3).
9 La Commission européenne a fortement insisté sur cet aspect horizontal de cette réglementation, dans l’exposé des motifs, lors de la publication de la proposition législative le 21 avril 2021 (COM/2021/206 final) : https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0020.02/DOC_1&format=PDF Caractère horizontal partagé aussi par une initiative législative interdépendante qu’est la proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA : COM/2022/496 final) et qui facilitera l’indemnisation des victimes d’un dommage causé par un système d’IA.
10 Voir le point 1.2 de l’exposé des motifs de la proposition de règlement publiée le 21 avril 2021.
11 Voir pour les proportions des différents cas d’usage de l’IA par la banque, le questionnaire de l’ABE sur l’évaluation des risques publié en 2024, RAQ Booklet Autumn 2023.pdf : https://www.eba.europa.eu/sites/default/files/2024-01/c2256ff3-11dd-41ec-a6ed-74410fed0ce8/RAQ%20Booklet%20Autumn%202023.pdf
12 Traduit par « Envoi et réception de messages écrits ».
13 Traduit par « Envoi et réception de messages vocaux ».
14 Voir pour un panorama complet des diverses utilisations de l’IA dans la banque tant de détail que d’investissement, le « Dossier IA : artificielle et efficace », Revue Banque, n°890, mars 2024.
15 Le profilage, défini par l’article 3 point 52 de la proposition dur l’IA, permet en pratique, à partir d’un ensemble de données personnelles peu probantes prises individuellement, de dresser un profil précis du comportement d’une personne en analysant les données dans leur ensemble.
16 Directive 2013/36/UE du Parlement européen et du Conseil, du 26 juin 2013, concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO 2013, L 176, p. 338). Voir le considérant n°158 de la proposition de règlement et le point 1.3 de l’avis de la BCE du 29 décembre 2021 sur une proposition de règlement établissant des règles harmonisées concernant l’IA qui acte de l’intégration de certaines obligations prudentielles prévues par la directive CRD dans certaines dispositions de la proposition de règlement. Lien sur l’avis de la BCE : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021AB0040
17 Voir le considérant n°158 de la proposition de règlement et le point 1.3 de l’avis de la BCE du 29 décembre 2021 sur une proposition de règlement établissant des règles harmonisées concernant l’IA qui acte de l’intégration de certaines obligations prudentielles prévues par la directive CRD dans certaines dispositions de la proposition de règlement. Lien sur l’avis de la BCE : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021AB0040
18 La notion de « fournisseurs » est définie comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; » (voir l’article 3, point 3 de la proposition de règlement sur l’IA).
19 Les dispositifs, processus et mécanismes de gouvernance interne, tels que définis à l’article 74, paragraphe 1, de la directive CRD.
20 Voir le considérant n°158 de la proposition de règlement et le point 1.3 de l’avis de la BCE du 29 décembre 2021 précité.
21 Voir l’avis de la BCE sur le lien précité.
22 Voir l’article 74 de la directive 2013/36/UE .
23 EBA Draft Guidelines on outsourcing arrangements : https://www.eba.europa.eu/sites/default/files/documents/10180/2761380/6565c789-487b-4528-8a17-4b94147dc5b8/EBA%20revised%20Guidelines%20on%20outsourcing_FR.pdf
24 L’article 3 paragraphe 1) de la proposition de règlement sur l’IA définit le « systèmes d’IA » comme « un système automatisé conçu pour fonctionner à différents niveaux d'autonomie, qui peut faire preuve d'une capacité d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d'entrée qu'il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. » (soulignement ajouté). Ce faisant, cette définition s’inspire largement de celle retenue par l’OCDE : https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449
25 Voir le point 5.2.1. de l’exposé des motifs de la proposition de règlement dans la version publiée par la Commission européenne le 21 avril 2021 précitée.
26 Voir le considérant n°12 de la proposition de règlement le précisant et indiquant que la caractéristique essentielle des systèmes d’IA est leur capacité d'inférence laquelle est d’ailleurs bien incluse dans la définition retenue du système d’IA à l’article 3, paragraphe 1) de la proposition de règlement.
27 Le risque est défini comme « la combinaison de la probabilité d'un préjudice et de la sévérité de celui-ci » (voir l’article 3, paragraphe 2) de la proposition de règlement.
28 Pour une présentation, sous forme pyramidale, des quatre niveaux de risques, voir le site de la Commission européenne : Loi sur l’IA | Bâtir l’avenir numérique de l’Europe : https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai
29 Voir la note de bas de page n°3. Il s’agit des droits fondamentaux consacrés par la Charte des droits fondamentaux de l’UE qui est juridiquement contraignante (voir son article 6 paragraphe 1, du Traité sur l'UE).
30 Sont, par exemple, interdits les systèmes d’IA utilisés pour la notation sociale basée sur le comportement social (social scoring) ou pour l’identification biométrique à distance (reconnaissance faciale) dans les lieux publics pour éviter une surveillance de masse des populations. Les Etats membres ont pu néanmoins obtenir des exemptions pour certaines missions des forces de l’ordre au titre de la lutte contre le terrorisme.
31 La notion d’usage des systèmes d’IA est entendue au sens large et recouvre leur mise sur le marché de l’UE, leur mise en service ou leur utilisation.
32 Voir l’article 6, paragraphes 1 et 2 de la proposition de règlement.
33 L’article 6, paragraphe 4 de la proposition de règlement précise que la présomption selon laquelle certains systèmes d’IA classés dans l’annexe III sont à haut risque, peut être renversée si le fournisseur documente son évaluation que son système d’IA n’est pas à haut risque avant que ce système ne soit mis sur le marché ou mis en service.
34 Cependant, cette présomption peut être renversée si le fournisseur qui considère qu'un système d'IA visé à l'annexe III n'est pas à haut risque documente son évaluation avant que ce système ne soit mis sur le marché ou mis en service.
35 Voir l’article 8 et suivants de la proposition de règlement.
36 Le considérant n° 65 de la proposition de règlement précise que « Le système de gestion des risques devrait consister en un processus itératif continu planifié et se dérouler sur l'ensemble du cycle de vie d'un système d'IA à haut risque. Ce processus devrait viser à identifier et à atténuer les risques des systèmes d'IA qui se posent pour la santé, la sécurité et les droits fondamentaux. » Voir aussi l’article 9.
37 Le contrôle effectif par des personnes physiques pendant leur période d'utilisation vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux (article 14 de la proposition de règlement).
38 Pour une définition de ces exigences dont certaines sont élevées au rang de principes, voir le considérant n°27 de la proposition de règlement.
39 Ces systèmes d’IA à faible risque sont de loin les plus nombreux (ex : jeux vidéo ou filtres anti-spams).
40 Les agents conversationnels (chabots) sont un exemple de systèmes d’IA interagissant avec l’humain. Sont considérés aussi comme systèmes d’IA à risque limité, les systèmes de reconnaissance des émotions ou de catégorisation biométrique et ceux qui génèrent ou manipulent des images ou des contenus audio ou vidéo constituant un hypertrucage indiquent que les contenus ont été générés ou manipulés par une IA (deepfakes). Une des obligations consiste à informer les utilisateurs que le contenu été généré par l’IA afin qu’ils puissent prendre des décisions éclairées.
41 Voir la directive CRD sur les exigences prudentielles.
42 Voir l’annexe III, point 5, b) de la proposition de règlement répertoriant ces systèmes d’IA dans la catégorie plus générique intitulée « Accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels » (sont cependant exclus de ces systèmes d’IA à haut risque, les systèmes d'IA utilisés à des fins de détection de fraudes financières dont on peut présumer que la LCB-FT en fait partie). Cette liste pourra être mise à jour par la Commission pour tenir compte de l’évolution rapide des technologies (voir l’article 7 du règlement proposé).
43 Cette précision fait suite au fait que le paragraphe 2 de l’article 6 prévoit que « par dérogation au paragraphe 2, un système d'IA n'est pas considéré comme étant à haut risque s'il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris en n'ayant pas d'incidence significative sur le résultat de la prise de décision. ».
44 Voir le considérant n°158 de la proposition de règlement qui reconnaît un potentiel double emploi.
45 Voir l’article 17, paragraphe 3 de la proposition de règlement et l’article 74 de la directive CRD relatif aux dispositifs, processus et mécanismes de gouvernance interne des établissements de crédit.
46 La notion de « déployeur » est définie à l’article 3 paragraphe 4) de la proposition de règlement sur l’IA comme « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d'IA sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel ; ».
47 Voir l’article 26, paragraphe 5 de la proposition de règlement et l’article 74 de la directive CRD.
48 Voir notamment le paragraphe suivant consacré à l’obligation de réaliser une analyse d’impact.
49 Voir l’article 18 paragraphe 6 de la directive (UE) 2023/2225 du 18 octobre 2023 relative aux contrats de crédits aux consommateurs et en cours de transposition dispose que « Les États membres veillent à ce que le prêteur accorde le crédit au consommateur uniquement si le résultat de l’évaluation de la solvabilité indique que les obligations découlant du contrat de crédit seront vraisemblablement respectées conformément à ce qui est prévu par ledit contrat, compte tenu des facteurs pertinents visés au paragraphe 1. » (soulignement ajouté). Voir aussi la section 4.3.4. intitulée « Modèles pour l’évaluation de la solvabilité et la prise de décision en matière de crédit » des Orientations de l’ABE relatives à l’octroi et au suivi des prêts (EBA/GL/2020/06).
50 L’article 18, paragraphe 1 de la directive 2014/17/UE du Parlement européen et du Conseil du 4 février 2014 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel dispose que « Les États membres veillent à ce que, avant de conclure un contrat de crédit, le prêteur procède à une évaluation rigoureuse de la solvabilité du consommateur. Cette évaluation prend en compte, de manière appropriée, les facteurs pertinents permettant de vérifier la probabilité que le consommateur remplisse ses obligations aux termes du contrat de crédit » (soulignement ajouté).
51 Toutes les évaluations de solvabilité, y compris les traitements automatisés via la technologie de l’IA, sont encadrées par la directive (UE) 2023/2225 relative aux crédits aux consommateurs : voir le considérant n°56 de cette même directive.
52 Voir l’article 27 de la proposition de règlement.
53 Pour mémoire, le déployeur est l’entreprise qui exploite un système d’IA.
54 Voir l’article 27, paragraphe 1 de la proposition de règlement qui vise, par renvoi à l'annexe III, point 5, b) de la proposition de règlement, les déployeurs de systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit, à l'exception des systèmes d'IA utilisés à des fins de détection de fraudes financières.
55 Voir l’article 18 paragraphe 6 de la directive (UE) 2023/2225 précitée pour les crédits à la consommation et l’article 18, paragraphe 1 de la directive 2014/17/UE précitée pour les crédits immobiliers
56 La technique du scoring consiste à attribuer à une personne une note (score) à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques notamment pour évaluer sa solvabilité.
57 Voir de l’article 8 de la Charte des droits fondamentaux de l’UE.
58 La notion de données à caractère personnel est d’ailleurs définie à l’article 3, paragraphe 50) de la proposition de règlement.
59 Voir aussi l’obligation de déclaration UE de conformité du système d’IA notamment au RGPD prévue à l'article 47 de la proposition de règlement pour les fournisseurs de systèmes d’IA à haut risque lorsque le système d'IA nécessite le traitement de données à caractère personnel.
60 CJUE, 7 décembre 2023, OQ c/ Land Hessen, C-634/21, ECLI:EU:C:2023:957 (arrêt plus connu sous le nom de « arrêt Schufa », nom de la société spécialisée dans le credit scoring).
61Le considérant n°71 du RGPD précise que « le «profilage» (...) consiste en toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant notamment sa situation économique ou son comportement dès lors qu'il produit des effets juridiques concernant la personne en question ou qu'il l'affecte de façon similaire de manière significative. ».
62 Voir mon article « Credit scoring et conformité au RGPD », dans la revue Banque et Droit, n°214, mars-avril 2024, p. 42. Au cas d’espèce, le recours concernait l’établissement automatisé d’un credit scoring par une société spécialisée pour les besoins de ses clients tels que les banques. Mais l’arrêt reste ambigu sur le fait de savoir si la décision elle-même d’octroi de crédit par la banque peut constituer une décision individuelle automatisée dès lors qu’elle se fonderait uniquement sur le credit scoring établi par des prestataires externes.
63 Voir la définition de la notion de profilage à l’article 3 paragraphe 52 de la proposition de règlement.
64 IA : la CNIL publie ses premières recommandations sur le développement des systèmes d’intelligence artificielle : https://www.cnil.fr/fr/ia-la-cnil-publie-ses-premieres-recommandations-sur-le-developpement-des-systemes-dintelligence
65 Les systèmes d’IA à usage général sont définis à l’article 3 paragraphe 66) de la proposition de règlement.
66 Les modèles à usage général sont définis à l’article 3 paragraphe 6 ») de la proposition de règlement
67 Voir le considérant n°105 de la proposition de règlement.
68 Prévu au chapitre V de la proposition de règlement.
69 Ils sont constitués à partir de masses de données et sont dotés de performances supérieure à la moyenne.
70 Pour déterminer si un modèle d'IA à usage général doit être classé comme un modèle présentant des risques systémiques, voir l’article 3 paragraphe 65 de la proposition de règlement et les questions/réponses de la Commission européenne sur l’IA : Intelligence artificielle - Questions et réponses : https://ec.europa.eu/commission/presscorner/detail/fr/QANDA_21_1683
71 Voir la réponse des banques à la question n° 27 dans le questionnaire de l’ABE sur l’évaluation des risques publié en 2024, RAQ Booklet Autumn 2023.pdf : https://www.eba.europa.eu/sites/default/files/2024-01/c2256ff3-11dd-41ec-a6ed-74410fed0ce8/RAQ%20Booklet%20Autumn%202023.pdf
72 Au niveau européen, la gouvernance, prévue par la proposition de règlement de l’IA, sera exercée par i) le Comité européen de l’intelligence artificielle composé des représentants des Etats membres (articles 65 à 66), ii) le Forum consultatif composé des parties prenantes de l’industrie chargé de donner un avis d’expert (article 67), iii) le Bureau de l’IA (articles 64) dont les conditions de fonctionnement ont été précisées par décision de la Commission européenne du 24 janvier 2024 : Décision de la Commission instituant le Bureau européen de l’IA | Bâtir l’avenir numérique de l’Europe (https://digital-strategy.ec.europa.eu/fr/library/commission-decision-establishing-european-ai-office) et iv) le Groupe scientifique d'experts indépendants (article 68).
73 L’article 70 de la proposition de règlement prévoit que « Chaque État membre établit ou désigne en tant qu'autorités nationales compétentes au moins une autorité notifiante et au moins une autorité de surveillance du marché aux fins du présent règlement. »
74 Voir l’article 74, paragraphe 1, point b) de la proposition de règlement.
75 Voir l’article 3, point 26 de la proposition de règlement.
76 Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2029 sur la surveillance du marché et la conformité des produits (JO L 169 du 25.6.2019, p. 1).
77 La protection des consommateurs en matière de crédits est, par exemple, au centre de la directive n°2023/2225/UE du 18 octobre 2023 relative aux contrats de crédit aux consommateurs et abrogeant la directive 2008/48/CE, publiée au JOUE du 30 octobre 2023. Ce qui pose des problèmes d’articulation.
78 Voir l’article 74, paragraphe 6 de la proposition de règlement.
79 Voir le considérant n°158 de la proposition de règlement.
80 Voir l’article 99 de la proposition de règlement.
81 Les amendes s'élèveraient à (i) 35 millions d'euros ou 7 % pour les infractions les plus graves (notamment la mise en œuvre d’IA interdites), (ii) 15 millions d'euros ou 3 % pour les violations des autres obligations prévues par le règlement sur l'IA et (iii) jusqu'à 7,5 millions d'euros ou 1 % pour la fourniture d'informations inexactes, incomplètes ou trompeuses.
82 Le « bac à sable réglementaire de l'IA », est défini par l’article 3, point 55 de la proposition de règlement comme « un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d'IA la possibilité de développer, d'entraîner, de valider et de tester, lorsqu'il y a lieu en conditions réelles, un système d'IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire.».
83 Voir les considérants n°139 et suivants ainsi que les articles 57 et suivants de la proposition de règlement.
84 Voir p. 6 du document de l’ABE, consultable : JM Campa keynote speech at 8th annual FinTech and Regulation Conference : https://www.eba.europa.eu/sites/default/files/2024-01/690f7f02-4496-4e44-ada6-469dbc351235/JM%20Campa%20keynote%20speech%20at%208th%20annual%20FinTech%20and%20Regulation%20Conference_Afore%20consulting.pdf
85 Voir le point 1.3. (sur la gestion des risques dans le système de gouvernance interne en matière de systèmes d’IA à haut risque) et le point 2.2.4 (de l’avis de la BCE du 29 décembre 2021.
86 Voir l’article d’Alessio Azzutti et alii, publié le 27 avril 2023, dans EBI Working Paper Series, n° 140 : Navigating the Legal Landscape of AI-Enhanced Banking Supervision: Protecting EU Fundamental Rights and Ensuring Good Administration by Alessio Azzutti, Pedro Magalhães Batista, Wolf-Georg Ringe : https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4430642
87 CRR III et CRD VI devront encore être formellement adoptés par le Conseil de l’UE, avant de pouvoir être publiés au JOUE.
88 Règlement (UE) n°575/2013 modifié concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement (Capital Requirement Regulation - CRR).
89 La version du règlement CRR III adoptée le 24 avril 2024 de manière définitive par le Parlement européen consultable sur ce lien : https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4430642
90 Directive 2013/36/UE modifiée concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement (Capital Requirement Directive - CRD).
91 La version de la directive CRD VI adoptée le 24 avril 2024 de manière définitive par le Parlement européen consultable sur ce lien : https://www.europarl.europa.eu/doceo/document/TA-9-2024-0362_FR.pdf
92 Une participation est considérée comme importante lorsqu'elle est égale ou supérieure à 15 % des fonds propres éligibles du candidat acquéreur.
93 Le transfert envisagé est considéré comme important pour une entité lorsqu'il est au moins égal à 10 % du total de ses actifs ou passifs, à moins que l'opération envisagée ne soit exécutée entre des entités faisant partie du même groupe, auquel cas l'opération envisagée est considérée comme importante pour une entité lorsqu'elle est au moins égale à 15 % du total de ses actifs ou passifs.
94 A l’inverse des deux catégories d’opérations précédentes, il n’y a pas de seuil lié à l’importance de l’opération. Les fusions/scissions sont importantes en tant que telles.
95 A cet effet, une demande d’évaluation de l’aptitude doit être déposée auprès de l’autorité de surveillance, au moins 30 jours, avant leur entrée en fonction.
96 Aujourd’hui, l’évaluation des membres de l’organe de direction par l’autorité de surveillance a lieu après leur nomination (évaluation ex post).
97 Sur initiative de la Commission européenne publiée le 18 avril 2023 : La Commission propose une réforme de la gestion des crises b : https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_2250. Le paquet législatif (dit « cadre CMDI ») comprend quatre propositions de modifications de textes existants (dont seuls les trois premiers constituent depuis 2014 le cadre CMDI) i) du règlement (UE) n° 806/2014 dit « règlement sur le mécanisme de résolution unique » ; ii) de la directive 2014/59/UE dite « directive relative au cadre de redressement et à la résolution bancaire » dite « directive BRRD » ; iii) de la directive 2014/49/UE dite « directive relative aux systèmes de garantie des dépôts » et iv) de la directive modifiant la directive 2014/59/UE et le règlement (UE) n° 806/2014 en ce qui concerne certains aspects de l’exigence minimale de fonds propres et d’engagements éligibles dite « Daisy chains ».
98 Ce sont les objectifs mêmes de la résolution bancaire énumérés à l’article 31, paragraphe 2 de la directive BRRD transposée au I de l’article L. 613-50 du code monétaire et financier.
99 L’évaluation de l’intérêt public, qui relève d’un large pouvoir d’appréciation du CRU, et permettant de conclure à la nécessité de soumettre l’établissement à une procédure de résolution (comparée à une procédure d’insolvabilité ne pouvant pas atteindre les objectifs de la résolution dans la même mesure) dépend de chaque cas spécifique de défaillance.
100 Ces conditions, outre la condition que la défaillance de l’établissement soit avérée ou prévisible, sont prévues par l’article 32 de la directive BRRD.
101 L’instrument de renflouement interne d’un établissement en difficulté, prévu aux articles 43 à 55 de la directive BRRD, permet d’absorber les pertes en utilisant ses ressources internes hauteur de 8% du total des passifs valorisés au moment de la résolution (actionnaires et créanciers). Ce mécanisme doit être mis en œuvre par les autorités de résolution pour financer des opérations de résolution avant tout recours au FRU.
102 En effet, il manque la strate intermédiaire entre les fonds propres et les dépôts de la dette émise sur des créanciers. Voir l’article « Un nouvel élan pour finaliser l’Union bancaire », par M. Donnay, Th. Grebot et J. Hautemanière, dans la Revue Banque, janvier 2024, n°887, p.37.
103 Ce cadre, élaboré suite à la crise financière mondiale de 2008, avait en effet pour ambition de changer de paradigme consistant à passer du renflouement externe (bail-out) au renflouement interne (bail-in).
104 Les mesures présentées, dans ce commentaire, sont issues des versions de la directive BRRD (https://www.europarl.europa.eu/doceo/document/TA-9-2024-0327_FR.pdf) et du règlement MRU (https://www.europarl.europa.eu/doceo/document/TA-9-2024-0326_FR.pdf) adoptées par le Parlement européen le 24 avril 2024.
105 Sous réserve du respect de la capacité d’absorption des pertes en cas de défaillance d’un établissement de crédit par les actionnaires et les créanciers qui demeure toujours la première ligne de défense.
106 Les dépôts couverts par les systèmes de garantie des dépôts bénéficiaient avant d’une « super-préférence » qui sera supprimée.
107 Publiée au JOUE du 22 avril 2024 : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202401174
108 Directive 2014/59/UE publiée au JO L 173 du 12.6.2014, p. 190.
109 Règlement (UE) n° 806/2014 publiée au JO L 225 du 30.7.2014, p. 1.
110 Le cadre réglementaire de l’exigence de MREL est fixé principalement par la directive BRRD notamment son article 45, le règlement MRU et le règlement délégué 2016/1450 complétant la directive BRRD.
111 L’exigence de « MREL interne » a été introduite par la directive (UE) 2019/879 dite « directive BRRD 2 » publiée au JO L 150 du 7.6.2019, p. 296 et le règlement (UE) 2019/877 publié au JO L 150 du 7.6.2019, p. 226. L’exigence de MREL est dite « interne » lorsqu’elle est établie au niveau individuel de chaque filiale de l’entité de résolution mais qui n’est pas elle-même entité de résolution. Cette exigence de MREL interne pouvait être respectée par ces établissements et entités au moyen d’instruments émis en faveur de l’entité de résolution, et achetés par celle-ci soit directement, soit indirectement par l’intermédiaire d’autres entités du même groupe de résolution. Cette exigence de MREL interne coexiste avec l’exigence de MREL dite « externe » qui est applicable au niveau du groupe de résolution (constitué de l'entité de résolution et ses filiales).
112 D’où la dénomination de cette directive dite « daisy chains » qui signifie « structures en guirlande ».
113 Règlement (UE) 2022/2036 du 19 octobre 2022 modifiant le règlement (UE) n°575/2013 et la directive 2014/59/UE en ce qui concerne le traitement prudentiel des établissements d’importance systémique mondiale selon une stratégie de résolution à points d’entrée multiples et des méthodes pour la souscription indirecte d’instruments éligibles pour l’exigence minimale de fonds propres et d’engagements éligibles, publié au JOUE L 275, 25.10.2022, p. 1.
114 Voir le considérant n°2 de la directive précisant que « le règlement [2022/2036] a inscrit dans la directive 2014/59/UE une obligation pour la Commission d’examiner l’incidence de la souscription indirecte d’instruments éligibles à la MREL sur une égalité des conditions de concurrence entre les différents types de structures de groupes bancaires, y compris lorsque des groupes comprennent une société opérationnelle entre la société holding désignée comme entité de résolution et ses filiales. ».
115 Cas de chaîne de souscription directe.
116 Il s’agit d’un MREL interne fixé sur une base consolidée pour un périmètre d’entités plus large que celui résultant de l’application de la directive BRRD et du règlement MRU, c’est-à-dire pour un périmètre incluant les établissements et entités qui ne sont pas eux-mêmes des entités de résolution, mais qui sont des filiales d’entités de résolution et qui contrôlent d’autres filiales (dénommées «entités intermédiaires») du même groupe de résolution (voir le considérant n°3 ainsi que l’article 1er, paragraphe 3) de la directive).
117 Au lieu du 14 novembre 2024 (voir le considérant n°13 et l’article 3 de la directive).
118 Le 20 juillet 2021, la Commission européenne avait publié ce paquet législatif LCB-FT désignant un ensemble de 4 propositions législatives visant à renforcer les règles de l'UE en matière de LCB-FT et à mieux les faire respecter : Anti-money laundering and countering the financing of terrorism legislative package : https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en?prefLang=fr&etrans=fr
119 Ces trois textes doivent encore être formellement adoptés par le Conseil de l’UE avant d’être publiés au JOUE. La 4ème proposition législative du paquet législatif LCB-FT liée à une proposition de règlement du Parlement européen et du Conseil sur les informations accompagnant les transferts de fonds et de certains crypto-actifs ne sera pas étudiée dans le présent commentaire.
120 Voir la version du règlement LCB-FT adoptée par le Parlement européen le 24 avril 2024 : https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_2250
121 Directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE (JO L 156 du 19.6.2018, p. 43).
122 Les entités assujetties sont les établissements de crédit et les établissements financiers définis à l’article 2, paragraphe 1, points 5 et 6 ainsi que les professions non financières désignées (par exemple, les avocats et les comptables).
123 Personnes physiques et personnes morales.
124 Une définition de la notion de « bénéficiaire effectif » a été introduite afin d'accroître la transparence des structures d'entreprise complexes afin d’avoir accès à des informations exactes et pour remonter le cas échéant jusqu'aux criminels masquant leur identité.
125 Voir la version de la directive adoptée par le Parlement européen le 24 avril 2024 : https://www.europarl.europa.eu/doceo/document/TA-9-2024-0364_FR.pdf
126 L’insertion de cette disposition relative à l’accès aux informations concernant les bénéficiaires effectifs fait suite à une invalidation, au regard de l’atteinte au droit à la vie privée, par la CJUE d’une disposition de la 5ème directive LCB-FT de 2018 qui permettait l’accès de tout membre du grand public aux informations sur les bénéficiaires effectifs. Voir, CJUE (Grande Chambre), 22 novembre 2022, WM et Sovim SA c/ Luxembourg Business Registers, aff. jointes C37/20 et C601/20, ECLI:EU:C:2022:912.
127 Voir la version du règlement AMLA adoptée par le Parlement européen le 24 avril 2024 : https://www.europarl.europa.eu/doceo/document/TA-9-2024-0366_FR.pdf