L'avenir de l'évaluation du risque de crédit dans le cadre de la réglementation sur l'IA : implications pour l'UE et au-delà

Dans le secteur du crédit actuel, il est courant que les prêteurs affinent les scores de crédit externes des emprunteurs à l'aide de leurs propres indicateurs, de modèles statistiques avancés ou de méthodes heuristiques afin de prendre leurs décisions en matière de crédit.

Cependant, cette approche est désormais sur le point d'être soumise à une réglementation plus stricte, alors que la première loi européenne sur l'intelligence artificielle (IA) est sur le point d'entrer en vigueur. Face à ces nouvelles réglementations qui se profilent à l'horizon, deux questions cruciales se posent aux prêteurs :

1. Comment les activités de souscription de crédit seront-elles classées dans le cadre du projet de loi sur l'IA ?

2. Quelles sont les nouvelles réglementations que les prêteurs doivent connaître une fois que la loi entrera en vigueur ?

Maximilian Eber, directeur technique chez Taktile, et Philipp Hacker, professeur de droit et de technologie à l'Université européenne Viadrina de Francfort et conseiller politique sur la loi relative à l'IA (au niveau de l'UE), ont uni leurs forces pour répondre à ces questions.

Dans cet article, ils résument le projet de loi sur l'IA et analysent en détail les implications potentielles des nouvelles réglementations à venir pour les prêteurs, y compris ceux qui n'utilisent pas l'IA au sens strict du terme.

La loi sur l'IA est le texte législatif phare de l'Union européenne régissant le développement et le déploiement des systèmes d'IA dans de nombreux secteurs de la société, allant des applications commerciales telles que l'évaluation de la solvabilité et l'assurance jusqu'à l'administration et les forces de l'ordre.

Elle vise à encadrer les risques spécifiques liés à l'IA – tels que l'opacité, la discrimination, les comportements imprévisibles ou le manque de fiabilité prédictive – en imposant aux développeurs et aux utilisateurs de ces modèles plusieurs obligations juridiques spécifiques. 

Cette loi officialise et complète les bonnes pratiques couramment utilisées dans le secteur, en introduisant des règles spécifiques en matière de surveillance, de transparence, de documentation, de contrôle humain et de gouvernance des données.

Il existe actuellement trois versions différentes de la loi sur l'IA :

À l'heure actuelle, ces trois acteurs mènent des négociations à huis clos dans le cadre d'un processus appelé « trilogue ». La version définitive de la loi sur l'IA devrait être adoptée vers la fin de cette année, et la plupart de ses dispositions entreront en vigueur à partir de la mi-2026 environ. 

Toutefois, compte tenu de son champ d'application très large et de ses obligations étendues, les entreprises qui utilisent l'IA ou tout autre modèle décisionnel complexe devraient se préparer bien plus tôt à se conformer à la loi sur l'IA.

Comme vous le verrez plus loin, la loi sur l'IA devrait s'appliquer aux développeurs et aux utilisateurs de pratiquement tous les processus décisionnels complexes, qu'ils recourent ou non à des réseaux neuronaux, à l'IA générative ou à toute autre technologie avancée d'apprentissage automatique.

La loi sur l'IA prévoit quatre catégories de risque distinctes pour les modèles d'IA, en fonction des cas d'utilisation dans lesquels le système est déployé : 

1. Utilisations interdites
2. Utilisations à haut risque
3. Utilisations à risque limité
4. Utilisations non réglementées

Les risques interdits concernent des cas d'utilisation tels que le « scoring social » ou l'identification biométrique à distance dans les espaces publics (à quelques exceptions près). Cependant, la majeure partie de la loi sur l'IA porte sur des cas d'utilisation à haut risque, allant des applications de l'IA dans les domaines de l'immigration ou de la justice pénale aux applications économiques en médecine, à l'assurance chômage et à l'évaluation de la solvabilité. 

Tout autre système d'IA continuant à interagir avec des humains est considéré comme présentant un risque limité ; la principale obligation dans ce cas est d'informer les interlocuteurs humains qu'ils ont affaire à un système d'IA.

L'évaluation de la solvabilité est l'un des principaux cas d'utilisation économique identifiés comme présentant un risque élevé dans le cadre de la loi sur l'IA.

Deux exceptions sont toutefois envisagées, dans lesquelles la notation de crédit ne serait pas considérée comme présentant un risque élevé. La proposition initiale de la Commission et la version du Conseil prévoiraient d’exempter les PME si elles utilisent le modèle de notation de crédit pour leurs propres activités. Mais le Parlement européen ne souhaite pas épargner les PME ; il entend plutôt exempter les systèmes utilisés pour la détection de la fraude financière. Il est donc essentiel de suivre de près la version finale de la loi sur l’IA afin de savoir quelles exemptions, le cas échéant, ont été ajoutées en matière de notation de crédit.

Il est important de noter que la loi sur l'IA ne s'applique que si le modèle d'évaluation de solvabilité relève de la définition de l'IA. 

La définition large de l'IA donnée par la loi sur l'IA englobe non seulement l'apprentissage automatique avancé, tel que l'apprentissage profond utilisé pour l'IA générative, mais aussi les modèles statistiques, tels qu'ils sont généralement utilisés dans l'évaluation de la solvabilité. Les systèmes de décision automatisés, composés de scores externes, de modèles statistiques internes, d'heuristiques et de règles, sont également susceptibles d'être considérés comme relevant de l'IA au sens de la définition donnée par la loi sur l'IA.

Pour reprendre l'exemple donné en introduction, imaginons à nouveau qu'une banque, pour prendre une décision en matière de crédit, utilise une note de crédit externe, l'enrichisse de certains indicateurs qui lui sont propres et recoure à des modèles statistiques, à des heuristiques ou à des règles. Cela revient-il à utiliser l'IA au sens de la loi sur l'IA ? Très probablement, oui.

La définition de l'IA n'est pas encore définitivement arrêtée, et son interprétation fait l'objet de divergences considérables. Toutefois, la proposition de la Commission et la version du Conseil de ce texte de loi incluent actuellement « les techniques statistiques d'apprentissage et d'inférence […] ainsi que les méthodes de recherche et d'optimisation ». 

Il est intéressant de noter que le Parlement européen souhaite inclure « les approches fondées sur la connaissance, l’estimation bayésienne ou les arbres de décision » en plus des processus classiques d’apprentissage automatique. Si tel était le cas, la loi sur l’IA pourrait être considérée comme la « loi sur la prise de décision complexe ». 

Il est également important de noter que le fait d’être établi en dehors de l’UE ne dispense pas les entreprises visées par la loi sur l’IA. À l’instar du RGPD, cette loi s’appliquera dès lors que des services « basés sur l’IA » sont proposés ou que des modèles sont utilisés en rapport avec un client de l’UE. Il suffit même que les résultats du système soient utilisés dans l’UE pour que celui-ci relève du champ d’application de la loi sur l’IA.

Bien que la loi sur l'IA fasse souvent référence, à divers endroits, à la réglementation bancaire en vigueur, elle propose plusieurs articles et obligations supplémentaires.

Vous trouverez ci-dessous un bref aperçu des principales dispositions de la loi sur l'IA que les prêteurs du secteur des technologies financières et les établissements financiers doivent connaître.

Vous trouverez plus de détails sur ces dispositions ici (voir « Informations complémentaires »).

Les fournisseurs de systèmes d'intelligence artificielle devront mettre en place un dispositif de gouvernance des données garantissant des données d'apprentissage de haute qualité, non discriminatoires et représentatives.  

Pour les prêteurs, cela signifie que les données doivent être nettoyées et représentatives des segments de clientèle. Ils doivent également être en mesure de certifier que leurs données sont conformes à ces nouvelles normes, qui s’ajoutent à la réglementation bancaire existante.

De plus, les prêteurs devront mettre en place des procédures exhaustives en matière de documentation et de conservation des données. Les modèles devront être suffisamment transparents et fonctionner sous contrôle humain. Et, surtout, ils devront respecter des normes rigoureuses en matière de performance, de robustesse et de cybersécurité. 

Ces obligations sont indépendantes de la réglementation bancaire existante et s’y ajoutent. Bien que le Parlement européen ait introduit dans la loi sur l’IA certaines dispositions visant à renforcer le recours à la réglementation sectorielle existante – telle que le droit bancaire –, on ignore dans quelle mesure ces références figureront dans la version finale de la loi sur l’IA.

Une fois que la loi sur l'IA entrera en vigueur, les prêteurs bénéficieront d'une certaine sécurité juridique quant à la manière de fonctionner lorsqu'ils utilisent des systèmes faisant appel à l'IA. 

Ils auront également l'occasion de renforcer la relation de confiance avec leurs clients. 

Pour les établissements de crédit réglementés, une procédure d’évaluation de la conformité à la loi sur l’IA sera intégrée à la procédure de contrôle et d’évaluation prévue par la législation bancaire. En outre, les prêteurs pourront demander eux-mêmes une certification attestant à leurs clients qu’ils opèrent dans le respect de la loi sur l’IA en matière de sécurité et d’expertise lors du stockage et de l’utilisation des données.

La loi sur l’IA sera finalisée au cours des prochains mois, probablement d’ici la fin de l’année 2023. L’un des points cruciaux sur lesquels les négociateurs doivent encore s’accorder concerne la période de transition entre la publication de la loi sur l’IA au Journal officiel de l’Union européenne et son entrée en vigueur pour les entreprises. 

En ce qui concerne l'évaluation de la solvabilité, la loi sur l'IA entrera probablement en vigueur deux ans après sa publication, soit vers le milieu de l'année 2026. 

Toutefois, les systèmes de modélisation, de conformité et de gestion doivent être mis à jour dès maintenant afin de garantir la mise en œuvre en temps voulu de fonctionnalités conformes à la loi sur l’IA. Quelle que soit la version finale, il sera plus important que jamais de disposer d’une infrastructure solide et agile – notamment en matière de gouvernance des données – pour prendre des décisions de crédit automatisées.

La Commission européenne se verra également confier le mandat de mettre à jour régulièrement la loi sur l’IA, et chaque fois qu’elle le jugera opportun. Cela concernera probablement surtout la liste des cas d’utilisation à haut risque, qui pourrait être élargie. Il est important de noter que les PME (définies comme des entreprises comptant moins de 250 salariés et dont le chiffre d’affaires est inférieur à 50 millions d’euros ou dont le total du bilan est inférieur à 43 millions d’euros) pourraient être exemptées de certaines obligations liées aux utilisations à haut risque, en fonction du résultat des négociations en trilogue. 

Pour l'UE, la loi sur l'IA restera au cœur des préoccupations des législateurs, et on peut s'attendre à des mises à jour rapides si de nouveaux développements surviennent sur le plan technologique ou politique. 

La normalisation constitue un domaine important à suivre de près. Bon nombre des termes assez vagues de la loi sur l’IA – tels que la représentativité et l’absence d’erreur, mentionnés dans le cadre de la gouvernance des données – seront définis plus précisément dans les normes actuellement élaborées par les organismes de normalisation. 

Ces normes devraient, espérons-le, offrir une certaine sécurité aux entreprises qui utilisent l’IA ou prennent des décisions complexes, à condition qu’elles puissent les intégrer dans leurs modèles et procédures d’évaluation de la solvabilité. Par conséquent, tout processus d’évaluation de la solvabilité pérenne devrait suivre de près les évolutions relatives à la loi européenne sur l’IA et ses efforts de normalisation.

Avertissement
Les informations fournies dans cet article ne constituent pas et ne visent pas à constituer des conseils professionnels ou juridiques ; toutes les informations, tous les contenus et tous les documents sont fournis à titre informatif et éducatif uniquement. Par conséquent, avant de prendre toute mesure sur la base de ces informations, nous vous recommandons de consulter les professionnels compétents.

Q : Qu'est-ce que la loi européenne sur l'intelligence artificielle (IA) ?

R : La loi européenne sur l'intelligence artificielle est la première réglementation globale en matière d'IA ; elle classe l'octroi de crédit parmi les cas d'utilisation de l'IA à haut risque. Elle impose des exigences strictes en matière de transparence, de gouvernance des données et de contrôle humain dans le cadre de la prise de décision automatisée.

Q : Quel sera l'impact de la loi sur l'IA sur l'évaluation de la solvabilité ?

R : Les modèles d'évaluation du risque de crédit utilisant des scores de crédit, des modèles statistiques ou des algorithmes d'intelligence artificielle seront soumis à de nouvelles obligations de conformité. Les prêteurs devront documenter leurs décisions, garantir la qualité des données et mettre en place des processus d'évaluation du risque de crédit explicables et vérifiables.

Q : La loi sur l'IA s'applique-t-elle en dehors de l'UE ?

R : Oui. À l'instar du RGPD, la loi sur l'IA s'applique à tout prêteur proposant des services de crédit à des clients de l'UE, même si l'entreprise est établie en dehors de l'UE. Les prêteurs internationaux doivent s'y préparer dès maintenant afin de rester en conformité.

Q : Quelles mesures les prêteurs doivent-ils prendre pour se préparer à la réglementation en matière d'IA ?

R : Les prêteurs devraient commencer par renforcer la gouvernance des données, l'infrastructure de prise de décision en matière de crédit et la transparence des modèles. L'utilisation de plateformes flexibles et automatisées permet de s'assurer d'être prêt à se conformer à la loi sur l'IA.

Q : Comment Taktile peut-il faciliter la souscription de crédit conforme aux exigences en matière d'IA ?

R : Taktile propose une plateforme décisionnelle « low-code » dotée de pistes d'audit intégrées, d'intégrations de données transparentes et d'outils d'IA explicables. Demandez une démonstration pour découvrir comment Taktile permet aux prêteurs de rester agiles et conformes à la loi européenne sur l'IA.