L’IA sous le regard de l’ACPR : respecter les normes d’explicabilité et de gouvernance en matière de lutte contre le blanchiment d’argent et de détection des fraudes

Si vous gérez un programme de lutte contre le blanchiment d'argent ou la fraude sur le marché français, vous savez peut-être que l' l'Autorité de contrôle prudentiel et de résolution (ACPR) est l’une des autorités de contrôle les plus exigeantes d’Europe. Ce qui a changé ces dernières années, c’est le niveau de documentation qu’elle attend.

Auparavant, la question était la suivante : « Disposez-vous de commandes et pouvez-vous montrer comment elles fonctionnent ? »

Aujourd'hui, on attend de plus en plus que l'on puisse démontrer comment fonctionnent les modèles, expliquer pourquoi ils ont pris telle ou telle décision, et identifier qui est responsable du résultat.

Cette évolution est importante, car de nombreuses solutions de lutte contre le blanchiment d'argent et la fraude ont été conçues principalement pour générer des alertes. Cet article explique ce que l'ACPR attend réellement de l'IA en matière de détection de la criminalité financière, et à quoi ressemble concrètement un programme conforme aux exigences de l'ACPR.

L'ACPR a été créée en 2010 en vertu de l’ordonnance n° 2010-76, qui a fusionné quatre organismes précédents : la Commission bancaire, l’ACAM, la CEA et la CECEI. Cette ordonnance a été ratifiée par la loi française sur la réglementation bancaire et financière plus tard dans l’année. Il s’agissait, à tous égards, d’une réforme post-2008 : l’objectif était de regrouper une supervision fragmentée sous une autorité unique disposant des ressources nécessaires pour mener à bien cette mission.

En juillet 2013, elle s'est vu conférer des pouvoirs en matière de résolution et est devenue l'ACPR, remplaçant ainsi l'ACP. Ce changement va bien au-delà d'un simple changement de nom. Cela signifie que l'organisme chargé de superviser vos contrôles en matière de lutte contre le blanchiment d'argent est également celui qui peut procéder à la résolution de votre établissement en cas de défaillance.

L'ACPR est dotée d'un personnel et bénéficie du soutien de la Banque de France, ce qui lui confère un réel poids institutionnel. Son double mandat porte sur la stabilité systémique et la protection des clients, et son champ d’action s’étend bien au-delà de ce que l’on imagine souvent: banques, assureurs, établissements de paiement, établissements de monnaie électronique et, par extension, les agents et partenaires avec lesquels ces entités agréées travaillent.

L'ACPR a publié son document de réflexion sur la gouvernance de l’IA dans le secteur financier en 2020. Il s’articulait autour de trois axes : la lutte contre le blanchiment d’argent et le financement du terrorisme (LBC/FT), la notation de crédit et la protection des clients. Cinq ans plus tard, ce document reste l’une des formulations les plus concrètes de ce qu’attend l’autorité de régulation française lorsque l’IA prend des décisions au sein d’un établissement financier.

Ce cadre repose sur quatre critères de performance :

Un aspect que de nombreuses équipes sous-estiment est la couche d’explicabilité. L’ACPR définit un modèle à plusieurs niveaux de transparence : observation, justification, approximation, reproductibilité. Le niveau requis dépend du public visé (validateur interne, superviseur, client concerné) et du risque lié à la décision.

C'est un aspect qui est souvent négligé dans les argumentaires des fournisseurs. L'ACPR ne demande pas une transparence totale sur chaque modèle, mais une gouvernance proportionnée au risque, avec la possibilité de demander des explications plus détaillées lorsque la situation l'exige.

Dans la pratique, les institutions ont tout intérêt à savoir à l'avance quel niveau d'explicabilité chaque système d'IA de leur infrastructure est capable d'offrir, et si ce niveau correspond à la décision sur laquelle le système exerce une influence.

Quatre volets réglementaires aboutissent désormais sur le même bureau.

Un établissement soumis à la surveillance de l’ACPR qui utilisera l’IA dans le cadre de son programme de lutte contre le blanchiment d’argent en 2027 devra satisfaire simultanément aux critères de gouvernance de l’ACPR, aux obligations découlant de la directive AMLD6, aux devoirs des fournisseurs et des exploitants prévus par la loi sur l’IA, ainsi qu’aux exigences de surveillance des fournisseurs prévues par la directive DORA, le tout au sein d’un environnement de contrôle cohérent. L’effet cumulatif de ces exigences mérite qu’on s’y attarde.

J'ai eu l'occasion d'observer de nombreuses solutions de lutte contre le blanchiment d'argent et la fraude. Celles qui peinent le plus à faire face au nouveau poids de la réglementation ont généralement en commun certaines caractéristiques.

Une surveillance basée sur des règles, conçue pour un volume d'alertes différent. Lorsque le nombre de déclarations STR dépasse de plus de 20 % le rythme de l'année dernière et que votre système de surveillance des transactions reste calibré sur des seuils statiques fixés il y a trois ans, deux scénarios peuvent se produire : le volume d'alertes explose et le rapport signal/bruit s'effondre.

Les taux de faux positifs peuvent dépasser les 95 %, et le coût opérationnel est considérable. Le risque lié à la conformité, moins évident mais plus dangereux, est la « fatigue des alertes » : lorsque les analystes ne parviennent pas à suivre le rythme, de véritables cas sont classés sans avoir fait l'objet d'un examen approprié.

Les modèles de type « boîte noire » dépourvus de piste d'audit. Certaines institutions ont adopté des systèmes de détection basés sur l'apprentissage automatique, mais ne sont pas en mesure d'expliquer pourquoi une alerte donnée s'est déclenchée. Dans le cadre réglementaire de l'ACPR, cela peut être considéré comme un manquement à la gouvernance, et non comme une simple curiosité technique. Si vous n'êtes pas en mesure de fournir une justification ou une explication, même approximative, lorsque l'autorité de contrôle vous le demande, le modèle lui-même peut devenir un risque.

Des processus manuels qui ne résistent pas à un examen approfondi. Lorsqu’un organisme de régulation demande comment une décision a été prise il y a dix-huit mois, on s’attend à ce que la réponse soit reproductible. De nombreux programmes ne sont pas en mesure de reconstituer la logique décisionnelle, l’historique des versions ou les preuves d’une intervention humaine remontant à une période aussi lointaine. Ces informations existent bel et bien quelque part, mais elles sont dispersées entre des tableurs, des notes de gestion des dossiers et la mémoire des analystes.

Des environnements fournisseurs fragmentés, dépourvus de piste d'audit unifiée. De nombreuses institutions n'ont pas acquis leurs capacités de lutte contre le blanchiment d'argent et la fraude sous la forme d'un système unique. Elles les ont constituées à partir de solutions ponctuelles couvrant le filtrage, la surveillance, la gestion des dossiers et la notation des risques clients. Chaque fournisseur dispose de son propre journal d'audit, de son propre format d'exportation et de sa propre politique de conservation des données. Rassembler toutes ces informations pour en faire un récit cohérent à l'intention d'un superviseur peut se transformer en un projet s'étalant sur plusieurs mois.

Il est utile de mettre en correspondance les quatre critères de l'ACPR avec les capacités opérationnelles. Cela permet de déterminer clairement ce qu'il faut développer et ce qu'il faut abandonner.

La gestion des données revient à une orchestration intégrée des données. Le système doit collecter, normaliser et gérer les versions des données sur lesquelles il agit, et il doit le faire de manière à ce que vous puissiez en rendre compte à un supérieur hiérarchique.

L'explicabilité se traduit par une traçabilité au niveau de la prise de décision. Chaque alerte, chaque score, chaque escalade doit générer un élément qui explique ce que le modèle a détecté, quelles caractéristiques ont été déterminantes et quelle était la signification du résultat fourni par le modèle.

La performance implique une évaluation et une remise en question permanentes. Cela passe par des tests rétrospectifs, des configurations « champion/challenger », la surveillance des dérives et, le cas échéant, des tests de biais. La performance peut être considérée comme une obligation permanente, et les autorités de surveillance s'attendent de plus en plus à disposer d'une trace documentaire à cet égard.

La stabilité passe par la gestion des versions et le contrôle des modifications. Chaque modèle, chaque règle, chaque modification de seuil doit être suivi, daté, attribué et réversible. Lorsqu'un responsable demande ce que faisait le système à une date précise il y a dix-huit mois, la réponse doit pouvoir être fournie en quelques minutes, et non en plusieurs semaines.

Il en découle quelques points relatifs à la conception opérationnelle :

Les institutions les mieux placées pour s'imposer en France au cours des prochaines années sont celles qui pourront démontrer que leurs programmes de lutte contre le blanchiment d'argent et la fraude sont bien encadrés, transparents et résilients sur le plan opérationnel. Elles ont tendance à remporter des partenariats, car les entités agréées sont susceptibles de choisir des partenaires qu'elles peuvent justifier auprès d'une autorité de contrôle. Elles peuvent se développer plus rapidement, car les frictions réglementaires peuvent devenir un avantage asymétrique pour les entreprises qui ont déjà effectué ce travail. Et elles peuvent éviter les préjudices réputationnels et financiers que le Comité des sanctions est désormais en mesure d’infliger à grande échelle.

La convergence entre le cadre existant de l'ACPR et la directive AMLD6, la loi européenne sur l'IA, la loi AMLA et la directive DORA devient la nouvelle norme de référence. La barre est placée de plus en plus haut, ce qui avantage les établissements qui ont intégré dès le départ les principes de gouvernance, d'explicabilité et de contrôle humain dans leurs programmes d'IA.