L’IA générative met à risque la chaîne de responsabilité dans les banques

Avec une IA générative capable de faire des recommandations poussées, le chargé d’affaires sera augmenté et nombre de ses tâches facilitées. C’est l’un des arguments des groupes bancaires pour promouvoir l’adoption de l’IA Gen en interne. De fait, le potentiel est énorme et les cas d’usage en cours de test se comptent par centaines. N'étant pas seulement une innovation technique mais d’usage, l’IA générative irrigue peu à peu toutes les strates de la finance.

Se pose alors la question de la responsabilité en cas d’erreur, d’imprécision ou défaut de conseil induit par l’IA. «La banque est un secteur déjà très régulé et à haut niveau de conformité. C’est donc plutôt un avantage pour s’adapter aux nouvelles obligations liées à l’IA Gen, indique Marc Mossé, avocat senior counsel du cabinet August Debouzy. Toutefois, certains usages à hauts risques comme le scoring, l’octroi de crédit ou les conseils de placements peuvent poser des questions de responsabilité en cas de défaut. L’IA n’a pas inventé ces risques mais pourrait les intensifier.»

Le flou juridique n’est pas encore éclairé

Avec le règlement sur les données personnelles (RGPD), la directive sur la résilience des infrastructures IT (Dora) et l’IA Act qui vise à réguler les usages de l’IA, l’Europe dispose d’une base juridique sur laquelle s’appuyer. «Néanmoins, l’IA Act ne traite pas directement la question de la responsabilité», pointe Marc Mossé. De plus, «les régulateurs eux-mêmes sont dans une situation complexe. Il leur appartient de réglementer l’utilisation des outils d’intelligence artificielle faite par les établissements assujettis, mais en parallèle, ils vont mettre en place des outils d’intelligence artificielle pour l’accomplissement de leur mission de supervision», pointe Hubert Blanc-Jouvan.

«Une analyse intéressante à mener consisterait à se demander qui est responsable juridiquement d’un préjudice causé par une décision prise sur le fondement de l’IA. Je pense qu’il est totalement illusoire de penser qu’une banque pourrait s’exonérer de sa responsabilité parce que c’est l’IA qui a pris la décision. Le risque majeur est plutôt celui de la dilution des responsabilités, où personne ne se sent responsable parce que le système de lA n’aura pas révélé une fraude par exemple,» poursuit l’avocat.

Il n’existe à ce jour pas encore de jurisprudence en la matière. Mais certains cas même s’ils sont encore isolés et lointains émergent. «Une compagnie aérienne canadienne dont le chatbot avait fourni une réponse trop imprécise pour être exacte sur un tarif a été condamnée par le tribunal local saisi qui a considéré que l’agent conversationnel avait induit en erreur le consommateur», illustre Marc Mossé d’August Debouzy.

A lire aussi: La réglementation pousse les banques françaises à innover dans le numérique

Supervision humaine incontournable

Un autre risque étroitement lié à celui de la responsabilité est celui de l’absence de supervision humaine. Il s’accentuera encore demain avec l’IA agentique, qui ne se contentera plus seulement de recommander mais pourra aussi agir. «On va arriver à des systèmes IA qui pourraient être en théorie très autonomes et d’ailleurs le remplacement par l’IA de certaines tâches ou collaborateurs est mis en balance. Attention à ne pas aller trop loin dans l’autonomisation, pointe Mathieu Gosselin, associé chez Bartle. Il est très important de pouvoir débrancher l’IA et de garder un contrôle permanent. Celui-ci peut être en partie fait par des IA mais à un moment donné il est nécessaire d’avoir une vérification, une responsabilité humaine.»

Avoir une organisation «du sol au plafond» qui permet de maintenir un contrôle humain devient nécessaire. Autrement dit une gouvernance de l’IA avec définition des rôles clés et acculturation de l’ensemble du groupe, du développeur IT au chargé d’affaires jusqu’au directeur général et aux administrateurs de la banque. «Au niveau des organes de gouvernance, il est vraisemblable que le sujet IA échoie souvent aux mêmes personnes que celles qui s’occupent de traitement des données et de sécurité informatique, même si d’autres risques générés par l’IA ne sont pas des risques technologiques,» alerte Hubert Blanc-Jouvan.

A lire aussi: L’IA reste un défi pour la gouvernance des entreprises françaises

Pour Mehdi Charif, spécialiste des sujets de gouvernance IA chez IBM, le premier frein à la gouvernance de l’IA n’est pas lié à la technique mais à l’organisation de l’entreprise. Il ne suffit pas d’avoir une équipe opérationnelle (IA Ops) pour superviser l’IA et mener les actions de remédiation. «Il faut avant tout définir les rôles et responsabilités de chacun et ensuite viendront les aspects techniques. De même, l’erreur serait de décorréler la conformité de l’opérationnel, la cartographie des risques IA et leur pilotage via la gouvernance.»