Partie II : Comment les régulateurs testent leur chemin vers la gouvernance de l’IA
Cette série en trois parties aborde la gouvernance de l’IA dans le secteur bancaire, en se concentrant sur l’assurance qualité (AQ) et les tests logiciels. La Partie II explore comment les régulateurs répondent aux risques liés à l’IA, pourquoi leurs approches diffèrent, et comment les fonctions de test sont devenues le mécanisme d’application pratique de la gouvernance de l’IA.
L’expansion des obligations de test
Alors que la Partie I de cette série spéciale s’est penchée sur les raisons pour lesquelles la gouvernance de l’IA est devenue une préoccupation pour l’AQ, la Partie II examine comment les régulateurs tentent de répondre à cette réalité et pourquoi leurs efforts intègrent de plus en plus le test et l’ingénierie de qualité au cœur de la surveillance de l’IA.
À travers les différentes juridictions, un schéma se dessine clairement. Les régulateurs ne demandent pas aux banques d’abandonner complètement l’utilisation de l’IA. Au contraire, ils exigent que les entreprises démontrent que les systèmes d’IA sont contrôlables, testables et responsables en pratique. Cette emphase place les équipes d’AQ et de tests logiciels au centre de la conformité réglementaire.
Le règlement sur l’IA de l’UE
Le règlement sur l’IA de l’UE représente la tentative la plus ambitieuse de réguler l’intelligence artificielle à l’échelle mondiale. Il introduit un cadre horizontal basé sur le risque qui s’applique à tous les secteurs, y compris la banque et l’assurance.
Selon le règlement, de nombreux cas d’utilisation des services financiers, tels que l’évaluation de la solvabilité, la détection de fraude et le profilage des risques clients, sont classés comme à haut risque. Les systèmes à haut risque doivent répondre à des exigences en matière de gestion des risques, de gouvernance des données, de supervision humaine, de robustesse et de surveillance post-commercialisation.
Pour les équipes d’AQ, cela élargit la portée de ce que signifie tester. Les tests ne se limitent plus à vérifier la correction fonctionnelle avant la mise en production. Les équipes d’AQ sont de plus en plus attendues pour valider la qualité des données d’entraînement, tester les biais et les dérives, évaluer la robustesse dans des cas extrêmes et surveiller le comportement au fil du temps.
Le changement vers la pratique
Les régulateurs prennent de plus en plus conscience que les cadres de gouvernance à eux seuls sont insuffisants. Ce qui importe, c’est de savoir si la gouvernance fonctionne dans des systèmes réels. Ce changement est visible dans l’accent croissant mis sur les contrôles tout au long du cycle de vie, plutôt que sur une validation ponctuelle.
Le Forum économique mondial a averti que les risques les plus graves liés à l’IA émergent souvent après le déploiement, lorsque les systèmes s’adaptent, interagissent avec d’autres modèles ou sont exposés à de nouvelles données.
Pour les équipes d’AQ, cela renforce la nécessité de tests et de surveillance continus. Les cas de test statiques et les processus d’approbation avant la mise en production ne suffisent plus lorsque le comportement de l’IA peut changer au fil du temps.
Le passage à des tests en direct
Au Royaume-Uni, l’Autorité de conduite financière (FCA) a adopté une approche explicitement expérimentale. Plutôt que d’émettre des règles sur l’IA, elle a lancé des initiatives pour tester les systèmes d’IA dans des conditions réelles sous supervision réglementaire.
Ed Towers, responsable de l’analyse avancée et de la science des données à la FCA, a décrit la motivation derrière cette approche. “Nous fournissons un espace structuré mais flexible où les entreprises peuvent tester des services alimentés par l’IA dans des conditions réelles”, a-t-il expliqué, en soulignant que cela se fait “avec notre soutien et notre supervision réglementaire.”
Pour les équipes d’AQ, cela marque un changement significatif. L’assurance de l’IA ne consiste plus à soumettre de la documentation à la fin du développement. Il s’agit de démontrer le comportement dans des conditions opérationnelles en direct.
La gouvernance pragmatique à Singapour
Dans d’autres régions, les régulateurs adoptent des approches différentes mais complémentaires. Singapour s’est positionnée comme un leader en matière de gouvernance pragmatique de l’IA, mettant l’accent sur l’humain, la transparence et l’explicabilité tout en évitant des règles rigides et prescriptives.
Lors du Forum économique mondial à Davos, le ministre des Communications de Singapour, S. Iswaran, a décrit l’intention du pays de contribuer à la gouvernance de l’IA de pointe en invitant des retours mondiaux sur son cadre modèle.
Il a souligné que les systèmes d’IA doivent être explicables, transparents et équitables, des principes qui influencent directement la manière dont les systèmes doivent être testés. Pour les équipes d’AQ, l’approche de Singapour renforce l’idée que la gouvernance est indissociable de la discipline d’ingénierie.
Conclusion : Pourquoi l’AQ devient la couche d’application
À travers les juridictions, une conclusion émerge : les régulateurs ne demandent pas aux équipes d’AQ de devenir des avocats. Ils leur demandent de rendre la gouvernance réelle.
Le test est l’endroit où des principes réglementaires tels que la robustesse, l’équité, la responsabilité et la résilience sont opérationnalisés. Lorsque les systèmes d’IA ne peuvent pas être testés ou surveillés de manière significative, ils deviennent des responsabilités réglementaires, indépendamment de leurs avantages en termes de performance.
Cela explique pourquoi les banques investissent massivement dans les capacités de test, la gouvernance des données synthétiques, la surveillance des modèles et l’ingénierie de qualité. Les équipes d’AQ sont appelées à faire plus non pas parce que les régulateurs sont obsédés par les tests, mais parce que le test est le seul endroit où la gouvernance de l’IA peut être prouvée de manière cohérente.
Dans la prochaine et dernière partie de cette série, nous examinerons pourquoi la gouvernance de l’IA dans l’AQ est devenue une préoccupation mondiale pour les groupes bancaires internationaux, et comment de grandes entreprises telles qu’Allianz et AstraZeneca répondent à cette tendance. Nous scrutons également pourquoi les organismes mondiaux et les législateurs considèrent de plus en plus le risque lié à l’IA comme un problème systémique qui doit être testé, et non seulement géré sur le papier.