EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52021AB0040

Avis de la Banque centrale européenne du 29 décembre 2021 sur une proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (CON/2021/40) 2022/C 115/05

CON/2021/40

JO C 115 du 11.3.2022, p. 5–11 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

11.3.2022   

FR

Journal officiel de l’Union européenne

C 115/5


AVIS DE LA BANQUE CENTRALE EUROPÉENNE

du 29 décembre 2021

sur une proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle

(CON/2021/40)

(2022/C 115/05)

Introduction et fondement juridique

Le 3 novembre 2021, la Banque centrale européenne (BCE) a reçu une demande de consultation de la part du Conseil de l’Union européenne portant sur une proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union (1) (ci-après le « règlement proposé »).

La BCE a compétence pour émettre un avis en vertu de l’article 127, paragraphe 4, et de l’article 282, paragraphe 5, du traité sur le fonctionnement de l’Union européenne étant donné que le règlement proposé contient des dispositions relevant des domaines de compétence de la BCE, notamment en ce qui concerne les missions de la BCE ayant trait au contrôle prudentiel des établissements de crédit en application de l’article 127, paragraphe 6, du traité. Conformément à l’article 17.5, première phrase, du règlement intérieur de la BCE, le présent avis a été adopté par le conseil des gouverneurs.

1.   Observations générales

1.1.

La BCE accueille favorablement l’objectif du règlement proposé qui vise à améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation d’une intelligence artificielle (IA) digne de confiance dans le respect des valeurs de l’Union. La BCE reconnaît l’importance d’établir des exigences harmonisées spécifiques aux systèmes d’IA pour garantir un niveau cohérent et élevé de protection des raisons impérieuses d’intérêt général telles que la santé, la sécurité et les droits fondamentaux.

1.2.

La BCE reconnaît en outre l’importance croissante de l’innovation reposant sur l’IA dans le secteur bancaire. Compte tenu de la nature et des possibilités transfrontalières inhérentes à l’innovation en matière d’IA dans le cadre des activités bancaires, la BCE, en tant qu’autorité de surveillance prudentielle au niveau de l’Union, soutient résolument la nécessité de garantir la mise en œuvre harmonisée, par les établissements de crédit, du règlement proposé lorsque les risques et exigences prudentiels sont concernés. Dans le même ordre d’idées, et compte tenu de l’importance croissante de l’IA, le législateur de l’Union est invité à envisager, à l’avenir, la possibilité d’établir une autorité indépendante en matière d’IA au niveau de l’Union qui serait responsable de l’application harmonisée du règlement proposé dans l’ensemble du marché unique en ce qui concerne les questions portant sur la santé, la sécurité et les droits fondamentaux.

1.3.

En ce qui concerne les systèmes d’IA à haut risque fournis ou utilisés par des établissements de crédit, la BCE comprend que le règlement proposé intègre certaines obligations dans les procédures prévues par la directive 2013/36/UE du Parlement européen et du Conseil (2) (ci-après la « CRD »). En particulier, le règlement proposé vise à renforcer la cohérence avec la CRD en intégrant certaines obligations des fournisseurs et des utilisateurs en matière de gestion des risques et de gouvernance dans le système de gouvernance interne des établissements de crédit (3). En raison de la nouveauté et de la complexité de l’IA et des normes de haut niveau du règlement proposé, des orientations supplémentaires sont nécessaires pour clarifier les attentes prudentielles relatives aux obligations en matière de gouvernance interne.

1.4.

La BCE accueille favorablement l’intention du règlement proposé d’éviter des chevauchements avec le cadre législatif existant en intégrant certaines de ses dispositions dans les dispositions pertinentes de la CRD (4). À cet égard, la BCE accueille favorablement le fait que l’obligation des établissements de crédit fournisseurs de systèmes d’IA à haut risque de mettre en place un système de gestion de la qualité et l’obligation des établissements de crédit utilisateurs de systèmes d’IA à haut risque de surveiller le fonctionnement du système sont réputées remplies dès lors que les règles relatives aux dispositifs, processus et mécanismes de gouvernance interne énoncées dans les dispositions pertinentes de la CRD sont respectées (5).

1.5.

La BCE souligne que le règlement proposé devrait être sans préjudice des obligations prudentielles plus spécifiques ou plus strictes incombant aux établissements de crédit énoncées dans la réglementation sectorielle et complétées par des orientations prudentielles. Par exemple, les obligations en matière de gouvernance interne incombant aux établissements de crédit utilisateurs de systèmes d’IA en vertu de la CRD (6) s’étendent au contrôle effectif des dispositifs d’externalisation, y compris l’identification, l’évaluation et l’atténuation de tous les risques associés, comme précisé dans les orientations de l’ABE relatives à l’externalisation (7). Si le règlement proposé attribue différentes obligations aux fournisseurs et aux utilisateurs de systèmes d’IA à haut risque, les orientations de l’ABE relatives à l’externalisation n’opèrent aucune distinction de ce type dans le contexte des externalisations entre des fournisseurs tiers de solutions technologiques et les établissements de crédit. À cet égard, l’externalisation ne diminue pas l’obligation des établissements de crédit de se conformer aux exigences réglementaires, et l’autorité de surveillance prudentielle reste compétente pour surveiller les risques prudentiels posés par les fonctions externalisées. Dans ce contexte, la BCE souhaiterait obtenir davantage de clarifications sur les exigences applicables et les autorités compétentes en ce qui concerne les externalisations par les établissements de crédit utilisateurs de systèmes d’IA à haut risque.

1.6.

Il convient que le rôle de la BCE dans le cadre du règlement proposé soit précisé, notamment en ce qui concerne : 1) les compétences de la BCE en matière de surveillance prudentielle de manière générale, et en ce qui concerne la surveillance du marché et l’évaluation de la conformité ; et 2) l’application du règlement proposé dans l’accomplissement des missions confiées à la BCE en vertu du traité.

1.7.

La BCE reste attachée à une approche neutre sur le plan technologique dans le cadre de la surveillance prudentielle des établissements de crédit. Son rôle est de garantir la sécurité et la solidité des établissements de crédit, en maintenant un niveau élevé de surveillance prudentielle indépendamment de l’application de toute solution technologique particulière. La BCE entend maintenir des conditions de concurrence équitables en matière de surveillance prudentielle des établissements de crédit, conformément au principe directeur « même activité, mêmes risques, même surveillance » (8).

2.   Le rôle de la BCE dans le cadre du règlement proposé

2.1.   Clarifications sur les compétences de surveillance prudentielle de la BCE en matière de surveillance du marché

2.1.1.

Le règlement proposé dispose que le règlement (UE) 2019/1020 du Parlement européen et du Conseil (9) s’applique aux systèmes d’IA couverts par le règlement proposé (10) et que toute référence à un produit en vertu du règlement (UE) 2019/1020 doit s’entendre comme incluant tous les systèmes d’IA relevant du champ d’application du règlement proposé (11). À cet égard, la BCE relève que l’objectif du règlement (UE) 2019/1020 est d’améliorer le fonctionnement du marché intérieur en renforçant la surveillance sur le marché des produits couverts par la législation d’harmonisation de l’Union afin de veiller à ce que seuls les produits conformes qui répondent aux exigences garantissant un niveau élevé de protection des intérêts publics tels que la santé et la sécurité en général, la santé et la sécurité sur le lieu de travail, la protection des consommateurs, la protection de l’environnement et de la sécurité publique et de tout autre intérêt public protégé par la législation d’harmonisation de l’Union soient mis sur le marché de l’Union (12).

2.1.2.

Le règlement proposé définit l’autorité de surveillance du marché comme l’autorité nationale assurant la mission et prenant les mesures prévues par le règlement (UE) 2019/1020 (13). Le règlement (UE) 2019/1020 définit quant à lui l’autorité de surveillance du marché comme une autorité désignée par un État membre en vertu du règlement (UE) 2019/1020 comme étant chargée d’assurer la surveillance du marché sur le territoire de ce dernier (14). En outre, le considérant 9 du règlement (UE) 2019/1020 précise que la responsabilité de faire appliquer la législation d’harmonisation de l’Union devrait incomber aux États membres, et leurs autorités de surveillance du marché devraient être tenues de veiller à ce que la législation soit pleinement respectée (15). Sur cette base, la BCE comprend qu’en vertu du règlement proposé, la BCE ne constitue en aucun cas une autorité de surveillance du marché.

2.1.3.

Toutefois, le règlement proposé prévoit également que pour les systèmes d’IA mis sur le marché, mis en service ou utilisés par des établissements financiers régis par la législation de l’Union sur les services financiers, l’autorité de surveillance du marché aux fins du règlement proposé est l’autorité responsable de la surveillance financière de ces établissements en vertu de cette législation (16). En outre, le considérant 80 du règlement proposé précise que la législation de l’Union sur les services financiers comprend des règles et des exigences en matière de gouvernance interne et de gestion des risques qui sont applicables aux établissements financiers réglementés dans le cadre de la fourniture de ces services, y compris lorsqu’ils font usage de systèmes d’IA. Il précise par ailleurs qu’afin d’assurer l’application et la mise en œuvre cohérentes des obligations découlant du règlement proposé et des règles et exigences pertinentes de la législation de l’Union sur les services financiers, les autorités chargées de la surveillance et du contrôle de l’application de la législation sur les services financiers, y compris, le cas échéant, la BCE, devraient être désignées en tant qu’autorités compétentes aux fins de la surveillance de la mise en œuvre du règlement proposé, y compris pour les activités de surveillance du marché, en ce qui concerne les systèmes d’IA fournis ou utilisés par des établissements financiers réglementés et surveillés. À cet égard, il est également fait référence à la nécessité de renforcer encore la cohérence entre le règlement proposé et les règles applicables aux établissements de crédit régis par la CRD.

2.1.4.

En vertu de l’article 127, paragraphe 6, du traité, le Conseil peut, à l’unanimité, confier à la BCE des missions spécifiques ayant trait aux politiques en matière de contrôle prudentiel des établissements de crédit et autres établissements financiers, à l’exception des entreprises d’assurances. Sur cette base, le règlement (UE) n° 1024/2013 (17) (ci-après le « règlement MSU ») confie à la BCE des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit afin de contribuer à la sécurité et à la solidité des établissements de crédit et à la stabilité du système financier au sein de l’Union et dans chaque État membre, en tenant pleinement compte de l’unité et de l’intégrité du marché intérieur et en remplissant à cet égard un devoir de diligence, un traitement égal étant réservé aux établissements de crédit pour éviter les arbitrages réglementaires (18). À cet égard, la BCE est seule compétente, à des fins de surveillance prudentielle, pour veiller au respect de tous les actes pertinents de l’Union qui imposent aux établissements de crédit des exigences en vertu desquelles ceux-ci doivent disposer, entre autres, de dispositifs solides en matière de processus de gestion des risques et de mécanismes de contrôle interne (19). Le rôle de surveillance prudentielle de la BCE à cet égard se limite à veiller à ce que les établissements de crédit mettent en œuvre des politiques et des processus permettant d’évaluer et de gérer leur exposition au risque prudentiel, y compris les risques liés aux différents aspects des modèles d’entreprise, de la gouvernance et du risque opérationnel des banques, et qui découlent de l’utilisation de solutions technologiques pour garantir la sécurité et la solidité des établissements de crédit ainsi que la stabilité du système financier (20).

2.1.5.

La surveillance du marché ne vise pas à garantir la sécurité et la solidité des établissements de crédit, mais se concentre plutôt sur la protection des intérêts des personnes physiques qui pourraient éventuellement être affectées par des systèmes d’IA abusifs en veillant à ce que ces systèmes répondent aux exigences nécessaires pour assurer un niveau élevé de protection des intérêts publics tels que la santé et la sécurité des personnes. Par conséquent, la BCE comprend que le législateur de l’Union n’entend pas que la BCE agisse en tant qu’autorité de surveillance du marché à l’égard des établissements de crédit placés sous sa surveillance en vertu du règlement proposé. Cette conclusion est conforme aux considérants du règlement MSU, qui précisent que les autorités nationales ont pour mission d’assurer un niveau élevé de protection des consommateurs (21).

2.1.6.

Sur cette base, la BCE suggère qu’afin d’être conforme aux compétences confiées à la BCE en matière de surveillance prudentielle par l’article 127, paragraphe 6, du traité et par le règlement MSU, le texte du règlement proposé précise sans ambiguïté que la BCE n’est pas désignée en tant qu’autorité de surveillance du marché et qu’aucune mission de surveillance du marché ne lui est confiée.

2.1.7.

Bien que les missions de surveillance du marché n’aient pas été confiées à la BCE, il se peut que certains États membres envisagent de désigner des autorités compétentes nationales participant à la surveillance des établissements de crédit en tant que responsables de la surveillance du marché dans le cadre du règlement proposé, dans la mesure où leur mandat le permet et à tout le moins dans la mesure où des missions de surveillance du marché s’appliquent aux situations dans lesquelles un système d’IA est mis en service pour un usage propre. La désignation d’autorités compétentes nationales qui participent actuellement à la surveillance d’établissements de crédit en tant que responsables d’une telle surveillance du marché pourrait être considérée comme un moyen de garantir la cohérence et le rapport coût/efficacité des résultats en matière de surveillance, tout en mettant à profit l’expertise de ces autorités dans l’exercice de leurs pouvoirs d’enquête et de surveillance à l’égard des établissements de crédit.

2.1.8.

Enfin, la BCE relève que les dispositions du règlement proposé relatives à la surveillance du marché ne traitent pas de manière adéquate les situations dans lesquelles un système d’IA est mis en service pour un usage propre. Par exemple, le pouvoir des autorités de surveillance du marché, en vertu du règlement proposé, de rappeler ou de retirer un système d’IA pourrait ne pas aboutir à l’abandon de ce système dans des situations d’usage propre (22). Le législateur de l’Union est donc invité à préciser les mesures restrictives et les pouvoirs connexes des autorités compétentes qui devraient s’appliquer aux situations d’usage propre.

2.2.   Clarifications sur les compétences de surveillance prudentielle de la BCE dans le domaine de l’évaluation de la conformité

2.2.1.

Le règlement proposé prévoit (23) que pour les systèmes d’IA à haut risque destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit (24) et qui sont mis sur le marché ou mis en service par des établissements de crédit, une évaluation de la conformité doit être effectuée dans le cadre du processus de contrôle et d’évaluation prudentiels (supervisory review and evaluation process – SREP) (25). Le règlement proposé définit (26) l’évaluation de la conformité comme la procédure permettant de vérifier que les exigences obligatoires pour les systèmes d’IA à haut risque énoncées dans le règlement proposé (27) ont été respectées.

2.2.2.

Comme indiqué plus haut, le Conseil a, conformément à l’article 127, paragraphe 6, du traité, confié à la BCE des missions spécifiques ayant trait aux politiques en matière de contrôle prudentiel des établissements de crédit afin de contribuer, entre autres, à la sécurité et à la solidité des établissements de crédit et à la stabilité du système financier au sein de l’Union et dans chaque État membre (28). Afin d’éviter d’aller au-delà des missions qui lui sont confiées par le traité, la BCE souligne qu’elle peut être en mesure de surveiller la mise en œuvre des exigences pertinentes dans le cadre du SREP tout en se concentrant sur les risques prudentiels auxquels les établissements de crédit peuvent être exposés. À cet égard, le législateur de l’Union est invité à examiner dans quelle mesure plusieurs éléments de l’évaluation de la conformité pourraient ne pas être de nature prudentielle en ce qu’ils concernent en grande partie l’évaluation technique des systèmes d’IA visant à protéger la santé et la sécurité des personnes et à garantir le respect des droits fondamentaux en réduisant au minimum le risque de processus erronés ou biaisés assistés par l’IA. En particulier, les dispositions pertinentes du règlement proposé exigent que les systèmes d’IA à haut risque soient conçus ou conçus et développés 1) sur la base de jeux de données d’entraînement, de validation et de test qui satisfont certains critères de qualité lorsque ces systèmes font appel à des techniques qui impliquent l’entraînement de modèles au moyen de données ; 2) en prévoyant des fonctionnalités permettant l’enregistrement automatique des événements (« journaux ») afin de garantir un degré de traçabilité du fonctionnement du système tout au long de son cycle de vie qui soit adapté à sa destination ; 3) de manière à garantir un contrôle effectif par des personnes physiques, notamment au moyen d’interfaces homme-machine, afin de prévenir ou réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux qui peuvent apparaître lorsqu’un système d’IA à haut risque est utilisé ; et 4) dans l’objectif d’atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité (29). Comme précisé dans les considérants du règlement proposé, ces exigences concernant la qualité des jeux de données utilisés, la documentation technique et la tenue de registres, la transparence et la fourniture d’informations aux utilisateurs, le contrôle humain, ainsi que la robustesse, l’exactitude et la cybersécurité sont nécessaires pour atténuer efficacement les risques pour la santé, la sécurité et les droits fondamentaux (30).

2.2.3.

Dans ce contexte, le législateur de l’Union est invité à poursuivre sa réflexion sur la nécessité de désigner des autorités compétentes concernées en tant que responsables de la surveillance de l’évaluation de la conformité effectuée par les établissements de crédit en ce qui concerne les questions portant sur la santé, la sécurité et les droits fondamentaux, et à examiner la nécessité d’assurer une application harmonisée du règlement proposé dans l’ensemble du marché unique en établissant à l’avenir une autorité en matière d’IA au niveau de l’Union.

2.2.4.

En outre, certaines exigences applicables aux systèmes d’IA à haut risque ne sont pas tout à fait claires ou suffisamment spécifiques pour permettre une compréhension suffisante des attentes prudentielles. Par exemple, l’exigence selon laquelle les jeux de données d’entraînement, de validation et de test doivent être pertinents, représentatifs, exempts d’erreurs et complets (31) est susceptible de nécessiter des précisions supplémentaires. Compte tenu de la portée étendue du mandat confié à des organisations européennes de normalisation (32), et donc du risque potentiel d’affaiblissement des normes fixées par le règlement proposé, il convient que les exigences relatives aux systèmes d’IA à haut risque énoncées dans le règlement proposé soient suffisamment spécifiques.

2.2.5.

Enfin, la BCE comprend que l’évaluation de la conformité des systèmes d’IA fournis par les établissements de crédit pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit fait partie d’un contrôle interne ex ante effectué par l’établissement de crédit (33). À cet égard, il convient de modifier le règlement proposé (34) pour tenir compte de la nature ex post de l’évaluation spécifique devant être effectuée par l’autorité de surveillance prudentielle dans le cadre du SREP.

2.3.   Clarifications sur les compétences de surveillance prudentielle de la BCE, de manière générale

La BCE ne peut être considérée comme une autorité compétente que dans la mesure cela est nécessaire à l’accomplissement des missions qui lui sont confiées en vertu du règlement MSU. Afin d’éviter toute insécurité juridique quant à la question de savoir si le règlement proposé confie de nouvelles missions à la BCE, celle-ci suggère qu’au lieu de faire directement référence à la BCE en tant qu’autorité compétente, le règlement proposé fasse référence aux autorités compétentes telles que définies dans les actes pertinents du droit de l’Union, tels que la CRD. Il découlerait alors du règlement MSU que la BCE ne doit être considérée comme une autorité compétente qu’aux fins de l’exécution de ses missions de surveillance prudentielle (35).

2.4.   Clarifications sur l’indépendance de la BCE dans l’accomplissement de ses missions au titre du traité

La BCE comprend que lorsqu’elle agit en tant que fournisseur mettant sur le marché ou mettant en service des systèmes d’IA dans l’Union, ou en tant qu’utilisateur de systèmes d’IA situés dans l’Union, elle peut elle-même être soumise au règlement proposé (36). Il en va de même pour les banques centrales nationales (BCN). Le règlement proposé dispose que lorsque les institutions de l’Union relèvent de son champ d’application, le Contrôleur européen de la protection des données (CEPD) agit en tant qu’autorité compétente responsable de leur surveillance et comme leur autorité de surveillance du marché (37). Les BCN pourraient être placées sous la surveillance des autorités compétentes nationales (38). À cet égard, il importe de souligner qu’il convient que la BCE et les BCN soient en mesure d’accomplir de manière indépendante les missions qui leur ont été conférées par le traité (39), par exemple lorsqu’elles utilisent une application d’IA pour définir et mettre en œuvre une politique monétaire et pour promouvoir le bon fonctionnement des systèmes de paiement (40). Il faut toutefois reconnaître que l’indépendance du SEBC dans l’accomplissement de ses missions ne l’exempte pas de toute règle de droit de l’Union (41). La BCE comprend que toute surveillance éventuelle de la BCE par le CEPD et des BCN par les autorités compétentes nationales serait limitée à des contrôles appropriés et à la gouvernance d’un système d’IA, et ne serait en aucun cas destinée à empiéter sur la capacité de la BCE et des BCN à accomplir de manière indépendante les missions qui leur ont été conférées par le traité.

3.   Classification des systèmes d’IA

3.1.

Le règlement proposé vise à garantir un cadre réglementaire proportionné par rapport à ses objectifs en adoptant une approche fondée sur les risques qui n’impose des charges réglementaires que lorsqu’un système d’IA est susceptible de présenter des risques élevés pour les droits fondamentaux et la sécurité. Néanmoins, le règlement proposé anticipe les évolutions futures de la technologie de l’IA et définit de manière large les logiciels qui peuvent être considérés comme un système d’IA. Par conséquent, un logiciel qui est développé pour générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions, en utilisant des approches statistiques et d’apprentissage automatique, ainsi que des méthodes de recherche et d’optimisation, constitue un système d’IA (42). Cette définition large couvrirait toute une gamme d’activités entreprises par les établissements de crédit, notamment en ce qui concerne les systèmes destinés à établir la note de crédit des personnes physiques.

3.2.

En vertu du règlement proposé (43), la grande majorité des activités de notation de crédit utilisant des systèmes d’IA serait automatiquement soumise aux exigences minimales horizontales imposées aux systèmes d’IA à haut risque. Par conséquent, plusieurs activités, y compris le ciblage aux fins de l’acquisition marketing, la modélisation des recouvrements et les modèles standard de notation de crédit (par exemple, un tableau de bord utilisant la régression logistique), devraient remplir les mêmes exigences. Afin d’accroître la clarté des attentes en matière prudentielle et conformément à l’approche neutre de la BCE sur le plan technologique, il est suggéré que les systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit et qui s’appuient sur l’utilisation autonome d’une régression linéaire ou logistique ou d’arbres de décision sous surveillance humaine ne soient pas classés comme des systèmes d’IA à haut risque, sous réserve que l’incidence de ces approches de l’évaluation de la solvabilité ou de la note de crédit des personnes physiques soit mineure.

3.3.

Étant donné que les activités de notation de crédit sont régulièrement exercées par les établissements de crédit dans la pratique quotidienne, la BCE suggère que l’entrée en vigueur des exigences relatives à la qualification des systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit en tant que « systèmes d’IA à haut risque » soit reportée jusqu’à l’adoption par la Commission de spécifications communes (44) en la matière. En particulier, ces spécifications communes devraient à la fois préciser les conditions dans lesquelles les systèmes d’IA à haut risque dans ce domaine seront présumés conformes aux exigences applicables et définir les cas dans lesquels les systèmes d’IA devraient être considérés comme étant « mis en service par de petits fournisseurs et utilisés exclusivement par ces derniers » et donc relever du champ de l’exception à la qualification en tant que système d’IA à haut risque (45). Dans ce contexte, il convient que la BCE figure sur la liste des organismes consultés avant l’adoption de ces spécifications communes, lorsque celles-ci portent sur des systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit (46).

3.4.

Enfin, la BCE accueille favorablement la possibilité de mettre à jour la liste des systèmes d’IA à haut risque figurant à l’annexe III du règlement proposé (47) et se tient prête à coopérer avec la Commission, et à être consultée par celle-ci, en ce qui concerne l’identification d’autres risques liés aux systèmes d’IA susceptibles de présenter un risque de préjudice pour la santé et la sécurité, ou un risque d’incidence négative sur les droits fondamentaux. Outre les systèmes d’IA utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit, le règlement proposé ne désigne pas comme étant à haut risque d’autres systèmes qui pourraient être mis en service spécifiquement par des établissements de crédit. Néanmoins, les établissements de crédit développent ou envisagent de développer et d’utiliser une modélisation de données d’IA permettant de relier les données sur les ventes, les opérations et les performances afin de disposer d’une vue d’ensemble claire du risque de conduite dans un domaine donné. De même, les systèmes d’IA pourraient être utilisés pour le suivi en temps réel des paiements, ou le profilage des clients ou des opérations, à des fins de lutte contre le blanchiment de capitaux et le financement du terrorisme.

Lorsque la BCE recommande de modifier le règlement proposé, des suggestions de rédaction particulières, accompagnées d’une explication, sont formulées dans un document de travail technique séparé. Le document de travail technique peut être consulté en anglais sur le site internet EUR-Lex.

Fait à Francfort-sur-le-Main, le 29 décembre 2021.

La présidente de la BCE

Christine LAGARDE


(1)  COM(2021) 206 final.

(2)  Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338).

(3)  Voir l’article 9, paragraphe 9, l’article 18, paragraphe 2, l’article 20, paragraphe 2, et l’article 29, paragraphe 5, du règlement proposé, et l’article 74 de la CRD.

(4)  Voir l’article 74 de la CRD.

(5)  Voir l’article 17, paragraphe 3, et l’article 29, paragraphe 4, du règlement proposé.

(6)  Voir l’article 74 de la CRD.

(7)  Voir les orientations de l’ABE relatives à l’externalisation (https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements).

(8)  Voir Andrea Enria, président du conseil de surveillance prudentielle de la BCE, A binary future? How digitalisation might change banking, Nederlandsche Bank, le 11 mars 2019, disponible en anglais sur le site internet de la BCE consacré à la supervision bancaire : www.bankingsupervision.europa.eu.

(9)  Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n° 765/2008 et (UE) n° 305/2011 (JO L 169 du 25.6.2019, p. 1).

(10)  Voir l’article 63, paragraphe 1, du règlement proposé.

(11)  Voir l’article 63, paragraphe 1, point b), du règlement proposé.

(12)  Voir l’article 1er, paragraphe 1, du règlement (UE) 2019/1020.

(13)  Voir l’article 3, point 26), du règlement proposé.

(14)  Voir l’article 3, point 4), du règlement (UE) 2019/1020.

(15)  Voir le considérant 9 du règlement (UE) 2019/1020.

(16)  Voir l’article 63, paragraphe 4, du règlement proposé.

(17)  Règlement (UE) n° 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63).

(18)  Voir l’article 1er, premier alinéa, du règlement MSU.

(19)  Voir l’article 4, paragraphe 1, point e), du règlement MSU.

(20)  Voir le considérant 30 du règlement MSU, ainsi que les pages 53 et 54 du document « ESCB/European banking supervision response to the European Commission’s public consultation on a new digital finance strategy for Europe/FinTech action plan », août 2020, disponible en anglais sur le site internet de la BCE consacré à la supervision bancaire.

(21)  Voir les considérants 28 et 29 du règlement MSU.

(22)  Voir l’article 3, points 16) et 17), l’article 65, paragraphe 2, deuxième alinéa, l’article 65, paragraphe 5, et l’article 67, paragraphe 1, du règlement proposé.

(23)  Voir l’article 19, paragraphe 2, et l’article 43, paragraphe 2, du règlement proposé.

(24)  Voir l’annexe III, point 5 b), du règlement proposé.

(25)  Les articles 97 à 101 de la CRD traitent du SREP.

(26)  Voir l’article 3, point 20), du règlement proposé.

(27)  Voir le titre III, chapitre 2, articles 8 à 15, du règlement proposé.

(28)  Voir l’article 1er, premier alinéa, du règlement MSU.

(29)  Voir les articles 10, 12, 14 et 15 du règlement proposé.

(30)  Voir le considérant 43 du règlement proposé.

(31)  Voir l’article 10, paragraphe 3, du règlement proposé.

(32)  Voir l’article 40 et le considérant 61 du règlement proposé.

(33)  Voir l’article 43, paragraphe 2, première phrase, et l’annexe VI du règlement proposé.

(34)  Voir l’article 19, paragraphe 2, et notamment l’article 43, paragraphe 2, seconde phrase, du règlement proposé.

(35)  Voir l’article 6 du règlement MSU.

(36)  Voir l’article 2 du règlement proposé.

(37)  Voir l’article 59, paragraphe 8, et l’article 63, paragraphe 6, du règlement proposé.

(38)  Voir l’article 59, paragraphe 2, du règlement proposé.

(39)  Voir l’article 130 du traité.

(40)  Voir l’article 127, paragraphe 2, premier et quatrième tirets, du traité.

(41)  Voir l’arrêt du 10 juillet 2003, Commission/BCE, C-11/00, EU:C:2003:395, points 130 à 135.

(42)  Voir l’article 3, paragraphe 1, et l’annexe I du règlement proposé.

(43)  Voir l’annexe III, point 5 b), du règlement proposé.

(44)  Voir l’article 41, paragraphe 1, du règlement proposé.

(45)  Conformément à l’annexe III, point 5 b), du règlement proposé.

(46)  Voir l’article 41, paragraphe 2, du règlement proposé.

(47)  Voir l’article 7, paragraphe 1, du règlement proposé.


Top