Logo

Site non disponible sur ce navigateur

Afin de bénéficier d'une expérience optimale nous vous invitons à consulter le site sur Chrome, Edge, Safari ou Mozilla Firefox.

adnews
  • Réglementation
  • Europe

Le débat sur l’IA continue : droit souple ou règlement pour 2021 ?

LES FAITS 

Le 8 octobre dernier, 13 pays de l’Union Européenne, dont la France, ont suivi l’initiative du Danemark pour solliciter la Commission Européenne sur le sujet de l'Intelligence Artificielle (IA). Ces 13 pays appellent de leurs voeux un droit souple (« soft law ») et non pas un règlement pour encadrer le développement des solutions à base d’Intelligence Artificielle. Cette proposition de régulation ouverte, quel que soit le secteur d'activité (donc paiement et bancaire compris), se baserait sur des standards auxquels les acteurs pourraient se référer avec des processus volontaires de certification ou de labellisation. Ce droit souple permettrait d’éviter les barrières à l’innovation.

Extrait :

“We should turn to soft law solutions such as self-regulation, voluntary labelling and other voluntary practices as well as robust standardisation process as a supplement to existing legislation that ensures that essential safety and security standards are met,”

“Along with Denmark, the paper has also been signed by Belgium, the Czech Republic, Finland, France Estonia, Ireland, Latvia, Luxembourg, the Netherlands, Poland, Portugal, Spain and Sweden.”

NOTRE DECRYPTAGE 

Cette position rejoint la position du 18 mai 2020 de la commission LIBE (Civil Liberties, Justice and Home Affairs) du parlement européen qui considère comme prématurée l’instauration d’un cadre règlementaire contraint. La commission LIBE oriente donc aussi vers un droit souple pour instaurer des principes éthiques de conception ( “ethics-by-default and by design”), en cohérence par défaut avec les principes de la charte des droits fondamentaux de l’Union Européenne.

Mais ces propositions de droit souple vont à l’encontre de la volonté exprimée par la Commission Européenne dans son livre blanc de février 2020 («  On Artificial Intelligence - A European approach to excellence and trust »). Ce livre blanc oriente en effet vers un règlement pour encadrer les solutions à base d’intelligence artificielle dites à haut risque, y compris dans des activités de secteur critique (police, santé, transport…). L’Europe souhaite légiférer en spécifiant des exigences sur les données d’entraînement, les données et leur conservation, l’information à communiquer, la robustesse et la précision, le contrôle humain, ceci pour renforcer la confiance dans cette technologie innovante qui doit être au service de l’humain. L’Allemagne, qui assure la présidence de la Commission Européenne, souhaite même élargir ce projet de règlement au-delà des cas à haut risque, en particulier au regard des enjeux de sécurité et de protection de la vie privée.

La protection de la vie privée est en effet au cœur du débat : le RGPD n’interdit pas le recours à l’IA mais n’a pas suffisamment précisé le cadre juridique lié aux algorithmes et le critère d’un usage raisonnable et proportionné des données d’inférence. Le rapport de juin 2020 du parlement européen sur l’impact du RGPD sur l’IA en témoigne. Ce rapport réalisé par le STOA (Scientific Foresight Unit) invite, outre à clarifier ces points, à solliciter obligatoirement l’avis d’une autorité de contrôle (DPA : Data Privacy Authority) pour chaque analyse d’impact vie privée de solutions à base d’IA traitant des données personnelles. Ce qui irait dans le sens d’un contrôle règlementaire systématique des mesures techniques et organisationnelles mises en place par le responsable de traitement et les sous-traitants.

En France, le rapport commun de la CNIL et du défenseur des droits, publié début juin 2020, sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, propose également d’aller plus loin que le RGPD sur les exigences légales d’information, de transparence et d’explicabilité des algorithmes, mais aussi sur le contrôle des algorithmes afin d’éviter tout risque de discrimination au fil des encodages successifs. Les autorités françaises proposent de suivre le modèle canadien, qui impose au secteur public depuis le 1er avril 2020 une évaluation systématique de l’incidence algorithmique intégrée à leur analyse d’impact vie privée.

 

QU'EN EST-IL POUR LES BANQUES ?

Dès début 2020, l’autorité bancaire européenne  (ABE) avait bien identifié ces challenges liés à l’IA. Le prérequis de confiance requiert d’accompagner l’utilisation de ces technologies d’IA par des mesures de prévention des biais de calcul, de transparence et d’applicabilité des calculs, d’une bonne qualité des données, et de la protection des consommateurs.

L’intérêt de l’usage de l’IA pour le domaine bancaire et des paiements est en effet grandissant :

  • Pour la cybersécurité : Le recours à l’IA pour la cybsersécurité peut-être d’un intérêt certain pour le secteur bancaire. Cependant certains acteurs modèrent cet enthousiasme dans l’efficacité des algorithmes, car des cybercriminels de plus en plus affûtés pourraient directement attaquer les processus algorithmiques eux-mêmes… Sur ce sujet, nous noterons avec intérêt que Mastercard a rejoint le groupe de travail lancé par l’ENISA (Agence de l’Union Européenne pour la cybsersécurité) pour traiter des challenges de cybersécurité des technologies IA.
  • Pour la conformité RGPD : L’IA peut être un outil RGPD pour la classification des données structurées et non structurées, étape essentielle pour une cartographie des données de l’ensemble du système d’information afin de respecter les principes du RGPD et les droits des clients (demandes d’accès …).
  • Pour la lutte contre la fraude : Outre atlantique, Visa dévoilait cet été un outil de prévention de la fraude au crédit à base d’IA. En France, nos experts IA ne sont pas en reste. Par exemple, Bleckwen, spin-off d'Ercom (financée mi-2019 par un tour de table de 9 M€ auquel a participé Bpifrance) a développé en partenariat avec BNP Paribbas une solution pour lutter contre la fraude avec un outil facile à utiliser, paramétrer et contrôler par les banques, sans besoin d’expertise en datascience.
  • Pour l’authentification par reconnaissance faciale : L'identification à distance du client (pour le eKYC, la signature électronique) et le process d’authentification (facteur d’inhérence pour la conformité à l’authentification forte RTS/DSP2) sont deux parcours bancaires pour lesquels la reconnaissance faciale est un processus d’authentification biométrique avec comparaison d’une photo sur un support existant, avec celle saisie à l'instant, sous le contrôle de l'utilisateur. Ce support existant peut être matériel, via un titre d'identité, ou immatériel, comme un téléphone mobile.
  • Pour l’identification biométrique : l'identification biométrique d’une personne procède par comparaison de sa caractéristique physique (exemple son visage) avec l’ensemble des modèles (gabarits) biométriques stockés dans une base de donnée. Toutefois, au regard des risques, la proportionnalité d’une telle identification biométrique pourrait être remise en cause et doit faire l’objet d’une validation d’impact vie privée, au cas par cas, par les autorités européennes ou nationales. La CNIL vient de publier pour le cas d'usage aéroport, une position qui va dans ce sens et qui privilégie l'authentification à l'identification, pour le respect du principe privacy by design. Dans le cadre du futur règlement sur l’IA souhaité par la Commission Européenne, l’identification biométrique faciale automatique, dite « live facial recognition », pourrait même faire l’objet dès 2021 d’un moratoire, voire d’une interdiction, dans le cas où elle serait utilisée dans l’espace public. Les biais discriminants et de fiabilité, voire la maturité insuffisante des technologies IA associées, accroissent les risques déjà très élevés de l’identification biométrique faciale sur les personnes, personnes dont la vie privée est protégée par l’article 8 de la convention européenne des droits de l’homme.

Extrait :

Le directeur de la Cnil européenne, Wojciech Wiewiórowski, a déclaré qu'il "essaiera de convaincre la Commission qu'un tel moratoire peut être utile dans de nombreuses situations où les technologies ne sont pas assez matures ou pas assez discutées pour élargir leur utilisation aux espaces publics".