L’IA dans la banque : une révolution sous haute surveillance

L’intelligence artificielle (IA) redessine le paysage bancaire mondial avec à la clé une amélioration des usages, une sécurité accrue et une augmentation de la performance. Mais plus l’IA s’intègre aux processus clés et plus, elle expose les institutions financières à des enjeux de sécurité, d’éthique et de conformité. La révolution de l’IA sera donc aussi réglementaire.

Une contribution d’Abdelhafid El Attar, Responsable des solutions risques chez SAS Institute

Une adoption fulgurante, des gains potentiels massifs

Selon McKinsey, l’IA générative pourrait générer jusqu’à 340 milliards de dollars de gains annuels pour le secteur bancaire, notamment grâce à l’automatisation des processus commerciaux, à la personnalisation des offres et à la réduction des coûts d’exploitation [1]. Pourtant, la réalité est plus nuancée : Une étude récente du CapGemini Research Institute révèle que seulement 6 % des banques de détail ont déjà élaboré une feuille de route pour une transformation à l’échelle de l’entreprise basée sur l’IA alors même que la majorité de leurs dirigeants sont convaincus de l’intérêt qu’elle représente [2]. Le potentiel est là, mais son déploiement exige méthode, gouvernance et, surtout, vigilance.

Un cadre réglementaire qui se construit et se renforce

Face à cette généralisation des usages IA, l’Union européenne, au travers de l’AI Act, a classé les systèmes d’IA selon leur niveau de risque, les entreprises se voyant imposer des obligations de transparence, d’auditabilité et de supervision. Le règlement DORA quant à lui, renforce la résilience numérique des organisations financières en imposant des règles strictes en matière de continuité opérationnelle. La directive NIS2, de son côté, élargit les obligations de cybersécurité à un plus grand nombre d’acteurs. Enfin, des textes plus transversaux comme le DSA (Digital Services Act) et le DMA (Digital Markets Act) visent à garantir un espace numérique sûr et équitable. L’enjeu pour les entreprises est de garantir que leurs modèles d’IA sont fiables, traçables et conformes, tout au long du cycle de vie.

Gouvernance des modèles : le nouveau défi stratégique

Dans ce contexte, la notion de Model Risk Management, c’est-à-dire la gestion des risques liés aux modèles (de machine learning et systèmes IA), devient stratégique. L’enjeu est clair : il s’agit de cartographier tous les modèles et systèmes déployés, d’évaluer leurs risques, de surveiller leur comportement en temps réel et de générer des rapports auditables à l’intention des régulateurs ou à minima du conseil d’administration. Une gouvernance efficace doit reposer sur plusieurs piliers : tout d’abord, un inventaire centralisé. Celui-ci doit référencer tous les modèles utilisés dans l’organisation, et les classer selon leur nature (statistique, machine learning, gen AI) et leur criticité. Ensuite, des processus rigoureux d’évaluation des risques doivent inclure les biais algorithmiques, l’impact stratégique potentiel et les implications éthiques. Les institutions financières doivent également réaliser un monitoring en temps réel pour détecter les dérives statistiques ou les anomalies de performance. Autre élément clé, un monitoring automatisé, standardisé et conforme aux attentes réglementaires. Enfin, une gouvernance collaborative doit être mise en place, mobilisant à la fois les directions métiers, les fonctions conformité, les équipes de data science et les responsables des risques. Ce cadre exigeant n’est plus une option. Il constitue une condition de pérennité pour toute organisation bancaire qui souhaite capitaliser sur l’IA dans la durée.

La distinction entre développement et gouvernance

D’un côté, les développeurs et data scientists utilisent principalement des plateformes techniques permettant la création et le déploiement de modèles. De l’autre, les équipes de gouvernance – généralement positionnées en seconde ligne de défense côté risque – nécessitent des solutions spécifiques de Model Risk Management (MRM) ou de gouvernance de l’IA. Cette séparation des rôles est fondamentale : les équipes de gouvernance sont responsables de l’application des politiques internes et du respect des réglementations. Leurs besoins vont au-delà des simples outils de développement. Elles doivent pouvoir effectuer des évaluations de risques complètes, produire des rapports de niveau conseil d’administration, et assurer une supervision constante des modèles en production. Faciliter l’innovation doit être compatible avec les exigences réglementaires et les politiques de gestion des risques de l’établissement.

L’accompagnement au changement : un facteur clé de succès

Si des groupes de travail internationaux émergent régulièrement afin de travailler à l’harmonisation des bonnes pratiques, au renforcement des standards de supervision, et à l’anticipation des évolutions réglementaires, la communication interne joue également un rôle déterminant. Elle permet de faire comprendre l’importance de ces dispositifs, sensibiliser toutes les parties prenantes aux enjeux, et faciliter l’adoption des nouvelles pratiques. Cette approche passe par une appropriation des concepts, une compréhension partagée des objectifs, et la mise en place d’un langage commun entre les différents acteurs de l’écosystème IA de l’entreprise. Les retours d’expérience montrent que les démarches imposées “d’en haut” sans ce travail d’explication et d’accompagnement se heurtent souvent à des résistances qui ralentissent considérablement la transformation.

Pour tirer pleinement parti de cette révolution de l’IA, les banques devront conjuguer innovation technologique et rigueur méthodologique. Une IA responsable, c’est une IA surveillée, encadrée et donc gouvernée. Cette gouvernance, c’est le prix à payer pour que les banques puissent se transformer durablement… sans transgresser.

[1] Etude McKinsey Global Institute – l’IA dans la Banque et la Finance – Décembre 2023
[2] Etude CapGemini Research Institute – World Retail Banking report

À lire également : La France, nouvel Eldorado de l’économie numérique