Accès Rapide
S'identifier

Entre opportunité et risque : le défi de l’IA, au cœur de la révolution numérique et technologique du secteur financier

Par Camille Baudouin, Experte en services financiers, Enseignante ESLSCA, EDHEC, Sciences Po

Dans un contexte économique et technologique en plein bouleversement, l’intelligence artificielle vient bousculer les institutions financières. Quelles promesses et quelles réponses concrètes pour les banques ? Ces opportunités ne vont-elles pas sans risque ? Décryptage.

I – Introduction

Le secteur des services financiers est en plein bouleversement.

D’abord, un contexte de taux bas durables qui réduit les revenus des établissements de crédit.

Ensuite, une inflation réglementaire depuis la crise de 2007-2008, qui complexifie les processus opérationnels de la banque et sa chaîne de valeur, réduit ses sources de revenus ou encore alourdit significativement sa structure de coût, ce qui pèse fortement sur la rentabilité de la banque. Il est néanmoins possible pour les institutions financières d’appréhender différemment ces contraintes réglementaires et d’essayer d’en tirer parti pour les transformer en opportunités stratégiques. C’est l’objet des propos de mon ouvrage Stratégie bancaire et réglementation – De la contrainte à l’opportunité(1), paru aux éditions Dunod.

Enfin, le secteur bancaire fait l’objet d’une grande mutation technologique et numérique propice à l’arrivée de nouveaux acteurs (GAFA(2) /BATX(3), FinTech, néo-banque, RegTech, etc.) qui viennent directement concurrencer les banques historiques ; la digitalisation de la banque introduit de nouveaux usages et modifie la manière de « consommer » la banque (ex. : via les néo-banques) ; le développement accru des robots (Robotic Process Automation [RPA](4)) pour optimiser les processus internes et réduire les coûts ; la recherche d’applications de la technologie blockchain pour faciliter et sécuriser les échanges d’informations et plus globalement l’interaction entre les différents acteurs du secteur financier (ex. : Know Your Customer [KYC], règlement-livraison dans les services titres, etc.) ; et enfin l’intelligence artificielle (IA) dont les promesses semblent répondre à nombre des enjeux du secteur financier comme retrouver des niveaux de rentabilité satisfaisants, réussir le virage du digital et maîtriser le risque de non-conformité.

Le cyber risque, accru par l’exploitation de l’IA, est déjà devenu un enjeu majeur pour la banque : piratage de données, paiements frauduleux, attaque et saturation des sites de banques en ligne, faux sites de banques en ligne, etc. La Fédération bancaire française (FBF) fait état d’une augmentation annuelle de 32 % du nombre de cyberattaques (5) en 2018 en France.

La banque américaine Capital One(6) a fait l’objet d’un vol de données personnelles d’environ 100 millions de clients aux États-Unis et 6 millions au Canada cette année.

En France, les banques sont d’ailleurs considérées comme opérateurs d’importance vitale (OIV) dans le cadre de la loi de programmation militaire(7). Elles détiennent des données sensibles, des fonds et actifs financiers et sont un maillon essentiel au système économique. Un pays sans banques est paralysé.

II – L’IA dans les institutions financières : applications et limites

A- Applications et cas d’usage

Si le potentiel de l’IA dans les services financiers, et notamment chez les acteurs historiques, est très prometteur, leurs applications aujourd’hui relèvent relativement plus du machine learning (apprentissage automatique) que du véritable deep learning (apprentissage profond).

Les cas d’usage sont divers. Ils concernent notamment la relation client avec les chatbots ou conseillers virtuels des banques mobiles (ex. : via l’assistant IBM Watson), la reconnaissance faciale et la lecture des empreintes digitales depuis un smartphone pour accéder à l’application mobile de sa banque ou encore l’analyse de documents reçus des clients à des fins KYC ou fiscaux (ex. : pièce d’identité client lors de l’ouverture de compte, formulaires fiscaux : Foreign Account Tax Compliance Act [FATCA], Common Reporting Standard [CRS], etc.) ainsi que la génération automatique de documents.

L’IA permet également à la banque d’accroître sa capacité à lutter contre le blanchiment d’argent, par exemple en l’utilisant pour améliorer les scénarios détection dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme [LCB-FT] (à partir des données de transaction des comptes bancaires) ou encore de l’aider à déterminer le profil de risque des clients, obligatoire dans le cadre de la directive européenne « Markets in Financial Instruments Directive » (MiFID II). La RegTech Neuropofiler réalise un profilage du risque via un questionnaire client ludique basé sur de la finance comportementale embarquant de l’IA.

Grâce à sa capacité d’analyse prédictive, l’IA peut aussi servir à améliorer le recouvrement du crédit d’une banque. Par exemple, via un applicatif utilisant l’IA, qui assiste le chargé de recouvrement et qui l’aide à prédire l’arrivée en défaut d’un crédit sur la base d’informations du client (ex. : âge, profession), de son historique de remboursement de crédit mais aussi d’informations publiques (ex. : taux de chômage régional).

Les institutions financières consomment aussi de l’IA de façon indirecte en ayant recours à des solutions de cloud computing (ex. : IBM Cloud, Amazon Web Services) intégrant de l’IA.

B – Limites

L’usage de l’IA dans le secteur financier continue de s’étendre, mais force est de constater que pour l’instant une majorité des applications sont plus des solutions toutes prêtes achetées par ces institutions plutôt que développées par elles. En effet, développer de l’IA en interne demande de gros budgets de recherche & développement (R&D) ainsi que des compétences spécifiques. De plus, les solutions d’éditeurs de logiciels sont déjà existantes et éprouvées. La prise de risque est donc minimale, mais il est aussi possible de rencontrer des difficultés à intégrer ces solutions externes à la nébuleuse des systèmes d’information (SI) de la banque.

Par ailleurs, qui dit IA, dit big data. Pour faire fonctionner de l’IA, une grande quantité mais surtout une bonne qualité de ses données est nécessaire. Si dans le secteur financier le nouveau standard de réglementation bancaire mis en place par le Comité de Bâle (BCSB 239) puis le règlement général sur la protection des données (RGPD) y ont contribué, la ligne d’arrivée n’est pas encore tout à fait atteinte pour certains établissements financiers. De plus, les plus petits acteurs bénéficiant d’un volume de données moindre pourraient être pénalisés (par rapport aux plus grandes structures), à moins de nouer des partenariats par exemple.

De plus, mettre de l’IA en place, comme du RPA, demande une très bonne maîtrise de ses processus, de ses données et de la gouvernance associée. Les banques se restructurent et se modernisent, mais pour pouvoir développer et déployer soi-même une technologie il faut d’abord bien la comprendre. Pour certains acteurs historiques, une évolution en termes de culture technologique doit se poursuivre.

Enfin, l’un des points importants pour les banques, qui sont contrôlées par le régulateur, est l’explicabilité ou encore l’« auditabilité » de l’IA. Un arrêté du 3 novembre 2014 impose à la banque de parfaitement maîtriser son fonctionnement, sa structure ainsi que ses SI, via son département « contrôle interne ». Les auditeurs internes d’une institution financière sont-ils qualifiés pour auditer de l’IA ?

L’IA dans la banque ne révélera, semble-t-il, tout son potentiel que lorsque les banques investiront massivement dans des programmes d’IA de grande envergure et ne se limiteront pas à utiliser des technologies toutes faites, bien que très utiles. Les banques sont-elles déjà des entreprises technologiques, comme le déclare Lloyd Blankfein, l’ancien patron de la banque américaine Goldman Sachs (« Nous sommes une entreprise de technologie. Nous sommes une plateforme »(8)) ? Le deviendront-elles vraiment un jour ?

III – L’approche du régulateur vis-à-vis de l’IA : risques et enjeux

Le rôle du régulateur(9) est de veiller à la stabilité du système bancaire et financier. Dans ce cadre, il supervise et contrôle les banques et autres institutions financières (sociétés de gestion, entreprises d’investissement, prestataires de services de paiements, etc.).

Comme pour la blockchain et les cryptomonnaies, l’IA devenant un phénomène de grande ampleur dans le secteur financier, les régulateurs français et européens (ACPR, Bundesanstalt für Finanzdienstleistungsaufsicht [BaFin](10), etc.) et autres organisations internationales (Financial Stability Board [FSB](11)) ont donc commencé à s’intéresser de près à ce sujet depuis quelques années, afin d’en évaluer l’impact et les risques.

Pour pouvoir appréhender ce phénomène, les régulateurs doivent évoluer avec les banques. Par exemple, l’ACPR a créé le pôle « FinTech Innovation » pour traiter des sujets technologiques, a créé une task force sur l’IA avec les acteurs bancaires (banques, FinTech, FBF, etc.) et a lancé en décembre 2018 une consultation sur l’IA dont les résultats ont été publiés en mai 2019.

A – Risques de l’IA identifiés par le régulateur

Parmi les risques identifiés par le régulateur figurent les biais des algorithmes qui sont accrus par leur complexité (ex. : d’origine humaine et involontaire, méthodologique, etc.) et qui faussent leurs résultats. Comment la banque peut-elle le vérifier ? Via un expert (ex. : un data scientist) ?

L’IA accroît également les cyber risques. En détenant des données clients sensibles, i.e. personnelles (ex. : empreintes digitales) et bancaires, les banques sont encore plus la cible de cyberattaques pour voler ces données. On parle de la data comme du nouvel « or noir ». Est-ce que les petits acteurs ont les moyens de protéger suffisamment les données de leurs clients et leurs systèmes d’information ?

Pour rappel, le cyber risque est considéré comme un risque systémique pour les banques, i.e. que l’ensemble du système financier pourrait être affecté par une attaque cyber de grande ampleur, une banque après l’autre, par ricochet (car elles sont toutes interdépendantes).

L’ « auditabilité » de l’IA est aussi un exercice complexe pour le régulateur, et pas seulement pour le contrôle interne de la banque. Comment s’assurer que les chatbots respectent certaines règles comme la protection du client et de son intérêt ?

Enfin, la menace d’un oligopole (américain et asiatique), avec le cloud computing, inquiète le régulateur, dans le sens où il identifie un risque de dépendance et un changement des rapports de force entre banques et sous-traitants (prix artificiellement élevés, relations commerciales déséquilibrées, problèmes de souveraineté liés au contrôle des plateformes, etc.). Cela signifierait aussi une perte pour l’Europe de la maîtrise de ses processus et technologies.

B – Les enjeux pour le régulateur

Pour le régulateur, un des points essentiels est de s’assurer que le cadre de développement de l’IA dans les institutions financières ne va pas engendrer de dérives ou de risques pour certains acteurs mais aussi pour le système financier dans son ensemble (donc aux niveaux micro et macro).

Comment le régulateur doit-il accompagner les banques par rapport à l’IA ? Faut-il définir une gouvernance appropriée des algorithmes ? Un code de bonne conduite ? Un code d’éthique ?

Le RGPD apporte certainement un cadre bénéfique, bien que parfois également critiqué pour ses contraintes vis-à-vis du développement de l’IA.

Le régulateur ne souhaite pas non plus édicter trop de normes qui feraient obstacle à l’IA. Il a bien conscience qu’un trop fort encadrement à un phénomène récent pourrait justement brider et nuire à son développement.
Mais lorsque cela semble nécessaire, certaines mesures sont prises, comme la deuxième directive sur les services de paiements (DSP2) pour lutter contre la fraude liée aux moyens de paiement (cartes bancaires, sites Internet marchands et le 3D Secure, etc.), en en profitant pour ouvrir la concurrence sur le marché des paiements avec la mise en place d’interfaces de programmation d’application (Application Programming Interface [API]) et de l’authentification forte (Strong Customer Athentification [SCA]).

Un autre point d’attention du régulateur est l’impact de l’IA sur le travail des salariés, en termes d’organisation du travail et de responsabilité.

Enfin, le régulateur a également conscience du potentiel que l’IA peut représenter pour lui-même et étudie l’opportunité de mettre l’IA à son service, par exemple l’utiliser pour réaliser ses missions ou encore avoir recours à des SupTech(12) (Supervisory Technology).

IV – Conclusion

L’IA représente donc une multitude d’opportunités (pour les banques, leurs clients, le régulateur) mais qui ne va pas sans risque. Cependant, l’IA dans la banque n’en est qu’à ses débuts, et devrait révéler tout son potentiel à terme mais à quelques conditions : maîtriser la qualité de ses données, acquérir des compétences en interne et investir significativement en R&D en IA – pour développer ses propres modèles d’analyse prédictive, et exploiter stratégiquement ses données au maximum.

Un contexte économique favorable (sortir des taux bas, absence de grosse crise économique, etc.) semble nécessaire afin que les banques puissent réaliser ces investissements en IA.

De plus, pour garantir une IA pérenne, notamment dans le secteur financier, il semble important de permettre le développement d’une IA éthique, soit naturellement poussée par les acteurs du marché, soit par le régulateur (ex. : via la définition de standards en termes de gouvernance d’IA). N’oublions pas que les banques sont et doivent rester des intermédiaires de confiance – ce ne sont pas des entreprises ordinaires. Et pour cela, une coordination au niveau européen et international paraît plus qu’opportune.

Notes : 

(1) C. Baudouin, Stratégie bancaire et réglementation – De la contrainte à l’opportunité, Dunod, févr. 2019 : https://www.dunod.com/entreprise-economie/strategie-bancaire-et-reglementation-contrainte-opportunite.

(2) L’acronyme GAFA désigne quatre des entreprises les plus puissantes du monde de l’Internet (et du monde tout court !) : Google, Apple, Facebook et Amazon : https://www.glossaire-international.com/pages/tous-les-termes/gafa.html.

(3) Les BATX sont les équivalents asiatiques des GAFA : https://start.lesechos.fr/actus/digital-technologie/qui-sont-les-batx-ces-nouveaux-gafa-asiatiques-10225.php .

(4) Pour plus d’informations : https://www.lebigdata.fr/rpa-robotic-process-automation-definition.

(5) FBF, La DSP2 et les enjeux de sécurité, Mémo n° 8 : http://www.fbf.fr/fr/la-federation-bancaire-francaise/publications/memos-banque/la-dsp2-et-les-enjeux-de-securite.

(6) Vol de données de 106 millions de clients chez Capital One, Le Droit, juill. 2019 : https://www.ledroit.com/affaires/vol-de-donnees-de-106-millions-de-clients-chez-capital-one-eb7d050b665d66fe9182c171e02ce11b.

(7) L. n° 2018-607 du 13 juill. 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense.

(8) L. Blankfein, We are a technology firm. We are a platform : https://digital.hbs.edu/platform-digit/submission/goldman-sachs-a-technology-company/.

(9) En France, l’Autorité de contrôle prudentiel et de résolution (ACPR) et l’Autorité des marchés financiers (AMF).

(10) Big Data meets artificial intelligence : https://www.bafin.de/SharedDocs/Downloads/EN/dl_bdai_studie_en.html.

(11) Artificial intelligence and machine learning in financial services. : https://www.fsb.org/2017/11/artificial-intelligence-and-machine-learning-in-financial-service/.

(12) FSI Insights on policy implementation, n° 9. Innovative technology in financial supervision (SupTech) – the experience of early users : https://www.bis.org/fsi/publ/insights9.pdf.

TOUTE L’ACTUALITÉ DU DROIT & DE LA GESTION PATRIMONIALE

abonnez-vous
Div qui contient le message d'alerte

Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire

Mot de passe oublié

Déjà abonné ? Créez vos identifiants

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ? Remplissez les informations et un courriel vous sera envoyé.

Div qui contient le message d'alerte

Envoyer l'article par mail

Mauvais format Mauvais format

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format

Div qui contient le message d'alerte

Contacter la rédaction

Mauvais format Texte obligatoire

Nombre de caractères restant à saisir :

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format