Gouvernance de l'IA dans la conformité : l'écart de responsabilité et de contrôle que les régulateurs surveillent déjà
On demande aux responsables conformité de valider des décisions prises par l'IA qu'ils ne peuvent pas entièrement examiner, et les régulateurs au Royaume-Uni, dans l'UE, aux États-Unis et aux Émirats arabes unis y prêtent une attention particulière. L'écart de gouvernance entre la responsabilité légale et la visibilité pratique sur les systèmes d'IA est le risque opérationnel le plus pressant dans la conformité en matière de criminalité financière actuellement. Aucune norme internationale ne l'a résolu, et l'attendre n'est pas une stratégie viable.
Le paysage réglementaire : fragmenté par conception
Pourquoi l'harmonisation n'est pas pour bientôt
Les organisations opérant dans plusieurs juridictions ne naviguent pas dans un régime unique avec des variations locales. Elles sont confrontées à des philosophies nationales fondamentalement différentes sur la manière dont l'IA devrait être contrôlée. Cette divergence n'est pas un écart temporaire que les organismes de consensus combleront rapidement.
Le Groupe d'action financière (GAFI) et l'Organisation internationale des commissions de valeurs (OICV) sont des normalisateurs, pas des législateurs. Ils travaillent par consensus, et le consensus est lent. Au moment où l'un ou l'autre de ces organismes parviendra à une recommandation convenue sur l'IA dans la conformité, la technologie sous-jacente aura considérablement évolué, et toute directive publiée pourrait ne pas avoir la spécificité opérationnelle dont les firmes ont besoin. La réglementation locale, pilotée par les superviseurs nationaux, continuera à fixer la norme pratique.
Ce qu'une approche fondée sur des principes exige réellement
La posture réglementaire la plus viable observée à ce jour est fondée sur des principes. L'Autorité de régulation des actifs virtuels de Dubaï (VARA, Virtual Assets Regulatory Authority), par exemple, demande aux organisations d'expliquer comment elles utilisent l'IA et comment elles la gouvernent, plutôt que d'imposer une structure particulière. Cette approche est globalement cohérente avec ce que l'Autorité de conduite financière du Royaume-Uni (FCA, Financial Conduct Authority) attendrait d'une firme réglementée.
Un superviseur exigera des preuves que les résultats issus de l'IA sont cohérents et restent dans les paramètres de risque définis par la firme elle-même. Ce qu'un régulateur ne fera pas, c'est valider un système opaque. Le moment où un régulateur approuve formellement un modèle boîte noire, il s'expose soit à un aléa moral en cas de défaillance, soit à une capture réglementaire s'il devient trop proche de l'industrie pour protéger les résultats qu'il est censé sauvegarder. La réglementation fondée sur des principes transfère entièrement la charge de la preuve à la firme. Vous devez justifier la structure que vous avez choisie et être en mesure de démontrer qu'elle fonctionne.
L'écart de responsabilité : qui porte réellement le risque
Responsabilité sans contrôle significatif
La position juridique est établie. La personne autorisée, l'organisation et les personnes nommées en son sein restent responsables de chaque décision de conformité, qu'un modèle d'IA y ait contribué ou non. La question opérationnelle difficile est de savoir comment un responsable conformité (CCO, Chief Compliance Officer) ou un déclarant (MLRO, Money Laundering Reporting Officer) parvient à une position où il peut véritablement attester d'une politique qui délègue une part croissante des décisions de conformité à un système d'IA qu'il ne comprend pas entièrement.
Dans trop d'entreprises aujourd'hui, la personne dont le nom apparaît en haut de la fonction conformité ou risque n'a aucune visibilité en temps réel sur ce que fait un modèle d'IA ni comment ses paramètres ont pu changer depuis la dernière révision. C'est une responsabilité sans contrôle, et c'est la condition que les régulateurs sont le plus susceptibles de sanctionner quand quelque chose tourne mal.
La structure détermine l'ampleur de l'écart
La capacité d'une entreprise à gérer cette tension dépend fortement de l'infrastructure de gouvernance déjà en place. Une banque a généralement des cadres de gestion des risques matures mais peut être plus lente à s'adapter parce que ses couches de gouvernance interne ont été construites pour un rythme opérationnel différent. Un hedge fund, habitué aux changements rapides dans les algorithmes de trading, est souvent mieux configuré pour la vitesse à laquelle les modèles d'IA se mettent à jour. Aucun type d'institution n'est automatiquement mieux positionné. Le point est que votre structure existante détermine la largeur initiale de l'écart entre responsabilité et contrôle, et le combler nécessite un effort délibéré.
Cela concerne directement toute firme qui s'appuie sur des rapports de conformité crypto. La couche logicielle de comptabilité crypto qui alimente les données de transaction dans un programme de conformité n'est aussi fiable que la gouvernance qui l'entoure. Savoir comment vos données sont sourcées, traitées et présentées aux décideurs est une question de gouvernance, pas seulement d'approvisionnement technologique. Revoir les normes de qualité des données d'analyse blockchain et de diligence raisonnable est un exercice parallèle utile car les mêmes principes s'appliquent : si vous ne pouvez pas expliquer comment le résultat a été produit, vous ne pouvez pas le défendre devant un superviseur.
Pression sur les effectifs : le risque de réduire trop tôt
Objectifs d'efficacité et séquence de validation
La pression commerciale liée au déploiement de l'IA dans la conformité est réelle. Les objectifs d'efficacité circulent rapidement une fois qu'un système est en place, et un objectif de réduction des effectifs arrivant quelques mois après le déploiement n'est pas inhabituel. Le problème avec la réduction de la capacité de conformité avant que l'IA n'ait été correctement validée est simple : cela supprime exactement la supervision humaine qui permet de détecter les défaillances des modèles, au moment où cette supervision est la plus cruciale.
La valeur actuelle de l'IA dans la conformité est d'amplifier l'efficacité des analystes, pas de remplacer le jugement humain. Cet équilibre évoluera avec le temps à mesure que les modèles mûrissent et que les superviseurs développent des attentes plus claires. Mais l'ordre des étapes est extrêmement important. Validez d'abord. Réduisez la capacité seulement une fois que le modèle a démontré qu'il peut supporter la charge qu'on lui demande, dans des conditions de stress opérationnel réel, pas seulement dans des environnements de test.
Deux questions que tout responsable conformité devrait pouvoir répondre
Le test de préparation à la gouvernance
Il y a deux questions que tout responsable conformité utilisant l'IA devrait pouvoir répondre avant d'étendre davantage d'autonomie à ces systèmes. Premièrement, que se passe-t-il lorsque les personnes portant la responsabilité légale n'ont aucune supervision réelle des systèmes dont elles sont responsables ? Deuxièmement, si un régulateur examinait votre documentation de gouvernance de l'IA demain, que montrerait-elle réellement, en termes de qualité de documentation et d'efficacité à prévenir des résultats nuisibles pour votre organisation ?
Ce ne sont pas des questions technologiques. Ce sont des questions de gouvernance. Les firmes qui traitent l'adoption de l'IA comme un projet de mise en œuvre technologique, suivi uniquement dans les cadres de risque informatique, classent mal l'exposition. L'IA dans la conformité est un risque réglementaire, et elle doit figurer dans le registre des risques en conséquence.
La FCA a déjà signalé dans son cadre réglementaire crypto finalisé que les normes de gouvernance pour la prise de décision automatisée seront scrutées. Les firmes se préparant à l'autorisation devraient examiner ce que le cadre réglementaire crypto finalisé de la FCA exige et mapper ces attentes sur leur documentation actuelle de gouvernance de l'IA avant qu'un examen de supervision n'arrive.
Mesures pratiques pour les responsables conformité
Construire une position de gouvernance défendable
Compte tenu de la fragmentation réglementaire et de l'absence de norme internationale définitive, l'approche la plus défendable est de construire la gouvernance de l'intérieur vers l'extérieur plutôt que d'attendre une direction extérieure. Cela signifie trois choses en pratique.
Premièrement, cartographiez la chaîne de responsabilité. Chaque décision assistée par l'IA dans votre programme de conformité doit avoir une personne nommée qui peut expliquer comment cette décision a été prise et quels contrôles de supervision l'entourent. Si cette cartographie n'existe pas, créez-la avant qu'un superviseur ne la demande.
Deuxièmement, maintenez l'explicabilité au niveau du modèle. Un régulateur fondé sur des principes n'acceptera pas une réponse du type « le modèle l'a signalé » comme justification d'une action de conformité. Vous devez être en mesure de décrire les entrées, la logique et les paramètres de risque. Cela nécessite un engagement continu entre la direction de la conformité et les équipes techniques gérant les modèles, pas seulement lors du déploiement mais tout au long de la vie opérationnelle du modèle.
Troisièmement, traitez la gouvernance de l'IA comme un point permanent à l'ordre du jour de votre comité des risques, pas comme une validation ponctuelle de mise en œuvre. Les modèles changent. Les paramètres de risque dérivent. Le responsable conformité qui a validé en janvier pourrait être responsable d'un système matériellement différent en juin sans s'en rendre compte.
Source : Elliptic
FAQ
La firme autorisée et les responsables conformité nommés en son sein restent entièrement responsables, quelle que soit la contribution de l'IA à la décision. Déléguer une décision à un algorithme ne transfère pas l'obligation réglementaire loin du CCO ou du MLRO.
Aucun de ces organismes n'est un législateur. Ils produisent des recommandations et des normes que les régulateurs nationaux peuvent choisir d'adopter, et ils travaillent par consensus, ce qui signifie que les directives évoluent lentement. Les firmes ne devraient pas attendre une harmonisation internationale avant d'établir des cadres internes de gouvernance de l'IA.
Des preuves que les résultats issus de l'IA sont cohérents, qu'ils restent dans les paramètres de risque définis par la firme, et que la structure de gouvernance peut être expliquée et justifiée. Les régulateurs ne valideront pas des systèmes opaques ou boîtes noires, car cela les exposerait à un aléa moral ou à une capture réglementaire.
Seulement après que le système d'IA a été validé dans des conditions opérationnelles réelles et a démontré qu'il peut supporter de manière fiable la charge de travail qui lui est assignée. Réduire la capacité d'analyse avant ce point supprime la supervision humaine la plus susceptible de détecter les défaillances des modèles.
Comme un risque réglementaire, pas simplement un risque de mise en œuvre technologique. Si l'IA influence les décisions de conformité, toute défaillance du modèle ou faiblesse de gouvernance est directement pertinente pour les obligations réglementaires de la firme et doit être suivie et rapportée en conséquence.
