Cet article mettra l'accent sur les principales évolutions réglementaires et les étapes pratiques que les institutions financières doivent adopter dans cet environnement en évolution rapide.

Auteur de l'article, source : Xiao Naiying, Fei Si, Yu Leimin, Études King & Wood Mallesons

L'IA générative s'accélère dans son adoption — les autorités de régulation se concentrent sur les pratiques concrètes

Alors que les institutions financières continuent d'adopter l'intelligence artificielle générative (« IA générative »), les autorités de régulation passent de déclarations politiques fondées sur des principes à une attention portée à la mise en œuvre concrète. Le guide intitulé « IA générative pour les institutions financières », publié en janvier 2025 [1], a déjà indiqué que le paysage réglementaire de l'IA générative est en train de se former, bien que les cadres existants soient encore principalement fondés sur des principes [2].

Par la suite, l'accent réglementaire est passé des principes macroscopiques à la gouvernance opérationnelle. Hong Kong, Chine, passe de la phase expérimentale à une application responsable, tandis que la réglementation sur le continent devient de plus en plus détaillée, notamment en matière de gouvernance des contenus, de traitement des données, d'obligations d'enregistrement et de régulation des modèles. Cet article met l'accent sur les principales évolutions réglementaires et les étapes pratiques que les institutions financières doivent adopter dans cet environnement en évolution rapide.

Hong Kong : de l'expérimentation à l'application structurée

Les récents développements à Hong Kong indiquent que le secteur des services financiers adopte une approche plus mature et pragmatique pour déployer l'IA générative. La réglementation se concentre sur la capacité des institutions financières à mettre en œuvre ces technologies de manière responsable, contrôlable, axée sur la protection des investisseurs et résistante à l'audit réglementaire.

Le rapport intitulé « La nouvelle ère de l'IA générative : favoriser l'application responsable de l'intelligence artificielle dans les services financiers » [3], publié par l'Autorité monétaire de Hong Kong (« AMH ») en avril 2025, indique que la perception de l'IA générative à Hong Kong évolue — 75 % des institutions financières interrogées ont déjà mis en œuvre ou sont en cours de développement d'applications d'IA, avec une prévision d'atteindre 87 % dans les trois à cinq prochaines années.

En parallèle, les directives pratiques deviennent de plus en plus spécifiques. Par exemple, le Bureau de l'administrateur de la vie privée des données personnelles de Hong Kong a publié en mars 2025 une liste de vérification sur l'utilisation de l'IA générative par les employés [4], transformant les préoccupations en matière de vie privée et de gouvernance en mesures de contrôle opérationnelles concrètes. Cette liste recommande d'établir des politiques claires concernant l'utilisation des outils, l'entrée des données, le stockage et la conservation des résultats, la vérification, la correction des biais et la déclaration, le marquage et l'étiquetage, l'accès aux appareils, ainsi que la déclaration des incidents.

Le « Guide sur les technologies et applications de l'intelligence artificielle générative à Hong Kong », publié pour la première fois en avril 2025 et mis à jour en décembre de la même année par le Bureau des politiques numériques de Hong Kong [5], fournit des orientations sur les meilleures pratiques, en mettant l'accent sur les principes d'équité, de transparence, du droit de choix des utilisateurs et de correction des biais. Les établissements financiers utilisant l'IA générative pour l'interaction avec les clients, les moteurs de recommandation, le soutien à l'adéquation, la classification interne ou le filtrage des risques doivent considérer ce guide comme un élément essentiel de leur cadre global de conformité.

Un progrès particulièrement important est l'élargissement continu du cadre de régulation de l'IA générative à Hong Kong. Comme indiqué dans notre article de janvier 2025, la Monetary Authority a lancé en 2024, en collaboration avec Cyberport, un sandbox pour l'IA générative, offrant aux institutions agréées un environnement contrôlé pour développer et tester des cas d'utilisation innovants de l'IA générative dans le secteur bancaire.

En octobre 2025, la Monetary Authority a publié le « Premier rapport du sandbox GenA.I. » [6], identifiant la gestion des risques, les mesures anti-fraude et l'expérience client comme les trois domaines d'essai, tout en soulignant des défis techniques et de gouvernance tels que les hallucinations de contenu et les erreurs d'information. Cela marque un changement de l'accent réglementaire, passant de l'encouragement à l'innovation à la compréhension de la manière d'intégrer en toute sécurité l'IA générative dans les opérations bancaires.

En outre, le deuxième volet du programme de sandbox GenA.I., lancé en octobre de la même année, reflète un changement majeur passant de l'expérimentation des capacités de l'IA à sa mise en œuvre sûre et fiable. La MAS a sélectionné 27 cas d'utilisation impliquant 20 banques et 14 partenaires technologiques, en mettant l'accent sur la gouvernance proactive de l'IA, la détection automatique de la qualité et la simulation adversariale afin de renforcer la prévention des fraudes par deepfake. Cela marque une transition claire vers la préparation au déploiement, l'efficacité des contrôles et l'atténuation des risques pilotée par l'IA.

En mars 2026, l'Autorité monétaire a lancé, en collaboration avec la Commission des valeurs mobilières et des opérations de bourse, l'Autorité de régulation des assurances et l'Autorité de régulation des régimes de retraite obligatoires, le GenA.I. Sandbox++, étendant le cadre aux domaines des valeurs mobilières, de la gestion d'actifs et de patrimoine, de l'assurance, des régimes de retraite obligatoires et des outils de paiement à valeur stockée. Il conserve les trois domaines centraux de gestion des risques, de lutte contre la fraude et d'expérience client, tout en affirmant la poursuite de la stratégie réglementaire « utiliser l'IA pour contrôler l'IA », consistant à employer l'IA pour gérer les risques liés à l'IA.

L'AMF a lancé en novembre 2025 la stratégie « FinTech 2030 », qui inclut la stratégie « Intelligence artificielle x institutions agréées », visant à promouvoir l'application complète et responsable de l'intelligence artificielle dans le secteur financier et à favoriser le développement d'infrastructures partagées et évolutives ainsi que de modèles industriels. Sur le plan juridique et réglementaire, cette stratégie renforce un message important : la gouvernance de l'IA n'est plus une question d'innovation isolée, mais doit être intégrée dans l'architecture d'entreprise, la résilience opérationnelle, la protection des clients et la préparation réglementaire.

En mars 2026, l'Autorité monétaire a envoyé à toutes les institutions agréées une circulaire sur les modèles d'affaires dans le contexte de la transformation numérique [7], soulignant que de nouvelles technologies, y compris l'intelligence artificielle assistée, accélèrent la transformation numérique. La circulaire précise les attentes de l'Autorité monétaire à l'égard de toutes les institutions agréées : évaluer et adapter activement leurs modèles d'affaires à long terme pour faire face aux changements technologiques. Entre autres choses, la circulaire exige que le conseil d'administration de chaque institution agréée supervise et approuve, avant le 9 septembre 2026, un plan stratégique formel sur la transformation numérique et la digitalisation financière. Ce plan stratégique doit identifier les opportunités d'ajustement ou de transformation dans les domaines de l'offre de produits, des modèles de revenus, de l'interaction avec les clients, de la gestion des risques et des opérations. Pour plus d'informations sur la circulaire de l'Autorité monétaire sur la transformation numérique, consultez notre infographie. [8]

Les tendances réglementaires récentes à Hong Kong indiquent que les institutions financières doivent établir un cadre global couvrant les données, la résilience technologique, la gouvernance et la responsabilité, et gérer de manière rigoureuse et vérifiable l'utilisation de l'IA générative tout au long de son cycle de vie.

En pratique, cela inclut les points suivants :

(Distinction des scénarios d’application) Il est essentiel de distinguer soigneusement les différents scénarios de déploiement. Les outils internes, les applications clients, les outils de surveillance et de détection, les cas d’utilisation d’aide à la décision et les modèles tiers peuvent entraîner des considérations juridiques et des risques différents ; les regrouper de manière générale sous la catégorie unique de « utilisation de l’IA » peut ne pas suffire à répondre aux exigences ;

(Gouvernance) Les institutions doivent inclure dans leur cadre de gouvernance les questions généralement décrites comme purement techniques, telles que la conception des invites, les mécanismes de recherche, le traitement des sorties, la validation des modèles, les seuils de rapport et les processus de vérification humaine ;

(Alignement sur les politiques) Les institutions doivent aligner leurs politiques internes sur les termes et les préoccupations actuellement visibles dans les directives de Hong Kong, notamment l'application responsable, l'équité, l'exactitude, la transparence, la vie privée, la responsabilité et la gestion des incidents ;

(Equilibre réglementaire) Les institutions doivent se préparer à un resserrement de l’espace entre soutien à l’innovation et examen réglementaire. Bien que la participation à des sandboxes et d’autres interactions réglementaires puissent accélérer le déploiement, elles impliquent également des exigences de gouvernance plus élevées ; ainsi

(Communication réglementaire) La participation à des projets de sandbox et de pilote doit être considérée comme une activité de préparation réglementaire, et non seulement comme une opportunité d'innovation. Avant toute communication avec les autorités réglementaires, les institutions doivent s'assurer de disposer de responsabilités et d'autorisations clairement définies, de tests et de validations documentés (incluant le contrôle des écarts et des hallucinations), de mécanismes d'audit humain et de déclencheurs de reporting clairs, ainsi que d'un ensemble complet de documents justificatifs prêts à être examinés.

Chine continentale : vers une approche réglementaire axée sur l'opérationnalité et les règles

Le cadre de régulation de l'IA générative en Chine continentale continue d'évoluer vers une approche plus opérationnelle, réglementaire et orientée supervision. Pour les institutions financières, les questions pratiques ne portent plus seulement sur la permission d'utiliser un outil d'IA, mais sur la capacité des institutions à démontrer que les cas d'utilisation concernés ont été correctement classifiés, déclarés lorsque cela est nécessaire, accompagnés de contrôles de données appropriés et surveillés tout au long de leur cycle de vie.

Cela est crucial, car les frontières réglementaires deviennent de plus en plus précises. Les récents développements en matière d'étiquetage des contenus générés par l'IA, d'enregistrement des algorithmes et des modèles, d'évaluations de sécurité, de normes nationales et de gouvernance des données dans le secteur financier convergent tous vers un même objectif : la conformité à l'IA en Chine continentale se concentre de plus en plus sur la mise en œuvre de preuves.

La « Méthode d'identification des contenus générés et synthétisés par l'intelligence artificielle », publiée conjointement par le Bureau de l'information internet de l'État, le Ministère de l'Industrie et des Technologies de l'information, le Ministère de la Sécurité publique et la Commission nationale de la radio et de la télévision, traduit les préoccupations en matière de transparence et de gouvernance de haut niveau en exigences concrètes et opérationnelles d'étiquetage des contenus et de métadonnées.

Le cœur de cette méthode est le système de double étiquetage, qui exige la mise en œuvre simultanée :

a) Étiquetage explicite visible par l'utilisateur ; et

b) Annotation implicite par insertion de métadonnées de fichier pour assurer la traçabilité.

Cette méthode de double étiquetage reflète des attentes réglementaires claires : la transparence à l’égard des utilisateurs et la traçabilité en arrière-plan pour la régulation, l’application de la loi et la responsabilisation doivent fonctionner en parallèle. Il est important de noter que cette approche étend également la responsabilité à l’ensemble de la chaîne de valeur des contenus IA. En résumé :

Le fournisseur de services de génération de contenu doit mettre en œuvre une étiquetage du contenu (y compris l'étiquetage explicite et implicite) pendant la phase de génération de contenu, garantir l'exactitude et la pérennité de cet étiquetage, et permettre la traçabilité et la responsabilité en cas de révision ou d'enquête réglementaire sur le contenu généré par l'IA ;

La plateforme de diffusion de contenu doit identifier, conserver et afficher les annotations existantes apposées sur les contenus générés par l'IA, prévenir et traiter les suppressions, falsifications ou abus intentionnels d'annotations, et collaborer avec les autorités de régulation pour la supervision, y compris en matière de traçabilité et de traçabilité des contenus ; ainsi que

Les utilisateurs ne doivent pas supprimer, modifier, cacher ou falsifier intentionnellement les étiquettes explicites, ni modifier intentionnellement les étiquettes implicites ou les identifiants techniques, ni présenter de manière trompeuse du contenu généré par l'IA comme étant créé par un humain, ni utiliser du contenu synthétique d'une manière visant à contourner la traçabilité ou la réglementation.

Cette méthode établit une distinction supplémentaire entre les contenus générés par IA confirmés, possibles et suspects afin de soutenir une gouvernance et une réglementation appropriées. Ces catégories n'imposent pas d'obligation générale de détection de l'IA aux plateformes de diffusion ou aux utilisateurs. Au contraire, elles reconnaissent l'existence de différents niveaux de certitude concernant l'origine des contenus, et l'obligation d'étiquetage ne s'applique qu'aux contenus générés par IA confirmés produits par des fournisseurs de services de génération de contenus par IA réglementés.

Dans l'ensemble, cette méthode marque un passage vers un modèle de gouvernance fondé sur la responsabilité partagée et le cycle de vie, où le balisage des contenus et la traçabilité sont positionnés comme des contrôles de conformité de base pour la gestion des risques liés aux contenus synthétiques dans le cadre réglementaire en constante évolution de la Chine continentale.

Bien que les opérations accordent une attention croissante à l'étiquetage et à la traçabilité des contenus, l'enregistrement des algorithmes et des modèles reste le pilier fondamental du cadre de régulation de l'IA en Chine continentale. Bien que les lois et réglementations pertinentes n'aient pas fait l'objet de révisions majeures récemment, les pratiques et la mise en œuvre réglementaires continuent d'évoluer.

Les observations suivantes méritent une attention particulière des institutions financières :

1. L'enregistrement des algorithmes et l'enregistrement des modèles sont deux procédures de réglementation indépendantes qui peuvent se chevaucher. Dans certaines conditions, certains fournisseurs de services d'IA générative peuvent être tenus de remplir une obligation de « double enregistrement », couvrant à la fois les niveaux algorithme et modèle.
2. Certain financial services applications face greater regulatory uncertainty. The regulatory approach to model registration for specific financial services use cases is still evolving. Based on publicly available registration records, there have been limited successful approvals for algorithms or models directly used for functions such as financial risk assessment, credit or lending decisions, or AI-driven trading activities. Given their potential impact on market stability and consumer protection, these use cases appear to be subject to stricter scrutiny.
3. Certain cas d'utilisation orientés client font preuve d'une maturité plus avancée en matière de déclaration. Les informations de déclaration accessibles au public indiquent que plusieurs algorithmes et modèles liés à des applications orientées client ont été approuvés, tels que les chatbots intelligents basés sur l'IA et les assistants, ainsi que certains outils d'analyse financière ou de titres soutenus par l'IA. Il est à noter que ces cas d'utilisation sont généralement caractérisés par des fonctions de génération de contenu ou de soutien à l'information, et non par des activités de prise de décision directe ou d'assumption de risque.

Les récentes actions de régulation montrent qu'une autorisation ou un enregistrement réglementaire n'est pas considéré comme un résultat final ou statique. Pour les institutions fournissant des services de recommandation algorithmique ou des services d'IA générative, les attentes s'étendent à l'ensemble du cycle de vie du système. En cas de conditions déclencheuses légales ou réglementaires (par exemple, changement d'usage, modification des fonctionnalités du modèle, changement de source de données, modification de la portée des utilisateurs ou des canaux de diffusion), les institutions peuvent être amenées à effectuer une évaluation de sécurité complémentaire, à mettre à jour leur enregistrement existant ou à communiquer activement avec les autorités de régulation.

Cette tendance a été renforcée par des initiatives plus larges d'application de la loi. En avril 2025, le Bureau national de l'information sur Internet a lancé une campagne nationale de trois mois intitulée « Clair et Net : Lutte contre l'abus des technologies d'IA », au cours de laquelle les autorités de régulation ont pris des mesures contre un grand nombre de produits et contenus IA non conformes. Cela démontre clairement que la conformité à l'IA est désormais solidement intégrée dans les activités réglementaires et d'application de la loi ordinaires, et non plus considérée comme un problème exceptionnel ou transitoire. Le fait de ne pas maintenir une conformité continue augmente le risque de faire l'objet de rappels réglementaires, de mises en garde publiques, d'ordres de correction ou de sanctions administratives, ainsi que des risques réputationnels associés.

Au-delà de la classification des contenus, de l'enregistrement et de l'évaluation de la sécurité, le cadre réglementaire plus large de l'IA générative en Chine continentale s'étend continuellement en portée et en précision. Les outils et initiatives réglementaires récents indiquent que les autorités étendent progressivement leur focus de la sécurité des contenus et de la conformité technique vers l'impact comportemental, la gouvernance éthique et la gestion des risques contextuelle, notamment dans les scénarios à haut risque.

Un aspect important de cette évolution est l'interaction croissante entre la gouvernance de l'IA générative, les cadres d'examen éthique et technologique, et les exigences de protection des informations personnelles prévues par la Loi sur la protection des informations personnelles. Bien que ces deux systèmes ne soient pas nouveaux, leur application dans les cas d'utilisation de l'IA devient de plus en plus visible et opérationnelle. En particulier, lorsque les systèmes d'IA impliquent le traitement d'informations personnelles, des décisions automatisées ou des fonctions susceptibles d'avoir un impact majeur sur les droits des individus, les autorités de régulation s'attendent de plus en plus à ce que les institutions évaluent non seulement la légalité et la sécurité, mais aussi l'équité, l'explicabilité et les risques éthiques.

Le « Méthode d'examen éthique et de service pour les technologies d'intelligence artificielle (provisoire) », publiée conjointement par plusieurs départements en avril 2026, indique que certains développements et scénarios d'application de l'IA à risque élevé — notamment ceux impliquant des données personnelles sensibles, une intervention comportementale ou un impact social à grande échelle — pourraient nécessiter un examen éthique structuré ou une évaluation par des experts dans un cadre de conformité plus large. La nécessité d'un tel examen dépendra du cas d'utilisation spécifique, des données impliquées et de l'environnement de déploiement, et devra être évaluée au cas par cas.

Pour les institutions financières, l'impact direct de ces mesures sur la conformité peut être limité. Toutefois, ces évolutions constituent un signal important en matière de direction réglementaire. Elles indiquent que la régulation de l'IA en Chine évolue des obligations générales vers des exigences fondées sur les scénarios, les fonctions et l'impact sur les utilisateurs. La gouvernance de l'IA générative est de plus en plus attendue pour dépasser la robustesse technique et s'étendre à la conception de l'interaction homme-machine, aux mesures de protection et aux mécanismes de mise à jour.

Outre les mesures juridiques et administratives officielles, les normes nationales jouent un rôle de plus en plus important dans la définition des attentes de conformité pratiques en matière d'IA. Dans le domaine de l'IA générative, les autorités de régulation ont publié plusieurs normes nationales offrant des orientations sur l'évaluation de la sécurité des apprentissages automatiques, l'étiquetage des contenus synthétiques, la sécurité des données d'entraînement et les exigences de base pour les services. D'autres normes nationales relatives à la sécurité de l'IA modèle en tant que service, à l'évaluation des capacités de fonctionnement sécurisé tout au long du cycle de vie et aux applications d'IA agentive sont en cours de développement.

Ces normes nationales jouent un rôle de référence réglementaire, offrant des orientations sur la manière dont les autorités de régulation peuvent évaluer concrètement l'adéquation des mesures de sécurité, des dispositions de gouvernance et des contrôles opérationnels. Avec le temps, elles pourraient exercer une influence croissante dans les domaines de la réglementation et de l'application de la loi, en modelant les attentes quant aux mesures de protection « appropriées » pour les systèmes d'IA.

En parallèle des mesures spécifiques liées à l'IA, la régulation du secteur financier en Chine continentale renforce progressivement les attentes en matière de gouvernance des données et des modèles, ayant un impact direct sur le déploiement de l'IA générative. Plus précisément :

a) Les exigences en matière de sécurité des données et de gouvernance du cycle de vie des données se renforcent. Le « Méthode de gestion de la sécurité des données dans le domaine des activités de la Banque populaire de Chine », publiée par la Banque populaire de Chine le 1er mai 2025, exige que les établissements financiers mettent en œuvre une classification et une gradation des données, établissent et mettent à jour régulièrement un inventaire des données, identifient les données personnelles, sensibles et importantes, attribuent des responsabilités internes, et mettent en œuvre des mesures de gestion de la sécurité des données sur l'ensemble du cycle de vie ; ainsi que

b) La gouvernance des modèles et la supervision centralisée deviennent des priorités réglementaires. Le « Plan d'action pour le développement de haute qualité de la finance numérique dans le secteur bancaire et d'assurance », publié par l'Administration nationale de la réglementation financière en décembre 2025, encourage les institutions à mettre en place des plateformes d'IA et de gestion des modèles à l'échelle de l'entreprise afin de soutenir le développement, le déploiement et la surveillance centralisés des modèles.

Dans l'ensemble, ces tendances réglementaires indiquent que l'utilisation de l'IA dans le secteur financier est de plus en plus attendue avec un modèle de gouvernance structuré basé sur un cycle de vie, des points d'intervention humaine clairement définis, ainsi qu'une régulation renforcée des fournisseurs et des prestataires de technologies externalisées. Par conséquent, la conformité à l'IA en Chine continentale tend à s'aligner sur les normes de contrôle établies dans le secteur financier, en mettant de plus en plus l'accent sur la maturité de la gouvernance, la qualité de la documentation et la préparation réglementaire.

Les développements récents indiquent que la Chine continentale approfondit la mise en œuvre de la régulation de l'IA. Les concepts macroscopiques tels que la sécurité, la transparence et l'utilisation responsable des données restent importants, mais la pression réglementaire se concentre de plus en plus sur la manière dont les institutions enregistrent, prouvent et opérationnalisent concrètement ces concepts.

Pour les institutions financières, l'adoption de l'IA en Chine continentale doit être accompagnée d'une gouvernance structurée, de contrôles sur le cycle de vie et de documents justificatifs. Les institutions financières qui intègrent dès le départ l'analyse de conformité, la gouvernance des données, l'évaluation de la sécurité, la gestion des risques liés aux modèles et la régulation des fournisseurs dans la conception et l'exploitation des systèmes d'IA seront mieux équipées pour étendre de manière responsable l'utilisation de l'IA.

Perspective mondiale : surveillance, concentration et dépendance

En dehors de Hong Kong et de la Chine continentale, le rapport de la Financial Stability Board intitulé « Monitoring AI Applications and Associated Vulnerabilities in the Financial Sector », publié en octobre 2025 [9], souligne que l'IA dans le secteur financier ne constitue pas seulement un enjeu comportemental ou technologique, mais aussi une question de stabilité financière. Le rapport met particulièrement l'accent sur la rapidité du développement des modèles d'IA, la dépendance croissante envers des fournisseurs tiers, ainsi que les chaînes d'approvisionnement en constante évolution, et sur la nécessité pour les autorités de surveiller les applications, de combler les lacunes en matière de données et de comprendre les vulnérabilités liées à la dépendance tierce et aux risques de concentration. Les enseignements pour les institutions sont que la gouvernance de l'IA doit aller au-delà des politiques éthiques et de la documentation des modèles, et inclure également la sous-traitance, la résilience opérationnelle et les risques systémiques. Par exemple : la dépendance à quelques fournisseurs de modèles de base, plateformes cloud, fournisseurs de données et couches d'intégration IA ; une visibilité limitée sur les sources des données d'entraînement et les cycles de mise à jour des modèles ; ainsi que le risque qu'une interruption d'un seul fournisseur, un changement de modèle ou un incident de sécurité affecte simultanément plusieurs institutions.

La surveillance réglementaire peut s'étendre de la sortie d'un modèle unique à un environnement de contrôle plus large, incluant les droits contractuels et d'audit, la gestion des changements et les contrôles de publication, la continuité des activités et la planification de remplacement, la portabilité des données, la déclaration des incidents, ainsi que le suivi continu des performances et des expositions à la concentration des tiers.

Impact pratique sur les institutions financières

Le paysage réglementaire actuel n'a pas produit une liste unique et universelle. Les attentes légales et réglementaires varient selon l'industrie, le modèle économique, les cas d'utilisation, la présence opérationnelle et la conception du déploiement. Néanmoins, les développements récents pointent vers un agenda pratique que de nombreuses institutions financières devraient désormais envisager.

1. (Gouvernance et supervision) Le conseil d’administration et la direction générale doivent garantir la mise en place de mécanismes clairs de responsabilité, de lignes de rapport et de cadre d’approbation pour les cas d’utilisation majeurs de l’IA ;
2. (Evaluation des cas d'utilisation) Les institutions doivent s'assurer que les cas d'utilisation à fort impact bénéficient d'une revue approfondie en matière juridique, de conformité, de risque de modèle et technique ;
3. (Données et confidentialité) Les prompts, les processus de recherche et d'entraînement doivent être examinés dans le cadre d'une gouvernance des données et d'obligations de confidentialité plus larges ;
4. (Transparence et traitement des sorties) Les établissements doivent examiner si les disclosures clients, les directives pour les employés, les annotations des sorties et les processus de contrôle qualité sont adaptés à leur objectif ;
5. (Risques tiers et externalisés) La diligence raisonnable des fournisseurs, le contrôle contractuel, la planification de remplacement et la surveillance continue doivent être renforcés ; et
6. (Test, surveillance et signalement d’événements) Les arrangements pour les tests, la documentation, la surveillance des modèles et le signalement d’événements doivent être proportionnels aux cas d’utilisation.

Le déploiement unique d'une IA générative peut impliquer plusieurs aspects, tels que les données personnelles, le secret bancaire, la propriété intellectuelle, les communications avec les clients, la validation des modèles, la résilience opérationnelle, la sous-traitance et la conservation des dossiers. Par conséquent, confier ces questions à une seule équipe d'innovation ou de technologie est généralement insuffisant.

La supervision humaine est tout aussi cruciale. Pour les cas d'utilisation à haut risque, mentionner simplement « un cycle de participation humaine » n'est pas convaincant, à moins que l'institution ne précise quand une vérification est nécessaire, qui est chargé de la vérification, ce que les vérificateurs doivent examiner, comment les vérifications sont documentées, et quand une intervention ou une suspension est déclenchée.

Observation des pratiques de gouvernance de l'IA dans les institutions financières mondiales

Sur la base d'un examen sélectif et non exhaustif des pratiques de gouvernance de l'IA dans certaines institutions financières mondiales, nous formulons les observations générales suivantes. Veuillez noter que ces observations sont de haut niveau et à caractère illustratif. Il n'existe pas de méthode universelle pour la gouvernance de l'IA ; le cadre de chaque institution financière reflète généralement une combinaison de facteurs, notamment les réglementations et attentes réglementaires applicables dans les juridictions concernées, la structure organisationnelle, la propension au risque, le niveau de maturité technologique et la nature des cas d'utilisation de l'IA.

Une structure de gouvernance en trois niveaux se met en place : de nombreuses institutions adoptent un modèle de gouvernance en « trois lignes de défense » ou « trois niveaux » adapté à l’IA. Au niveau opérationnel, les cas d’utilisation de l’IA sont généralement proposés et développés de manière décentralisée par les différents départements métier. Au niveau intermédiaire, les institutions établissent souvent des comités interfonctionnels (tels qu’un comité de gouvernance de l’IA ou un conseil de l’IA responsable), composés de représentants seniors des équipes risque, conformité, données, technologie et métier, chargés d’examiner, d’approuver et de surveiller les cas d’utilisation de l’IA. Au niveau supérieur, le conseil d’administration ou un comité de niveau conseil (généralement un comité existant dédié au risque ou à la technologie, et non un nouveau comité spécifique au niveau conseil pour l’IA) conserve la supervision finale de la stratégie, des risques et de la gouvernance de l’IA.

Les institutions ne traitent généralement pas la gouvernance de l'IA comme un cadre indépendant : au contraire, l'IA est intégrée dans les structures de gouvernance existantes, notamment les cadres de gestion des risques de modèle, de risque opérationnel, de gouvernance technologique et de gouvernance des données. De nombreuses institutions considèrent les modèles d'IA comme une extension du cadre de gestion des risques de modèle, les soumettant ainsi à des processus de validation, de surveillance et de révision périodique similaires à ceux des modèles traditionnels, tout en adaptant ces processus pour prendre en compte les risques spécifiques à l'IA, tels que l'interprétabilité, les biais et le dérive du modèle.

Une forte attention portée aux principes internes d’IA responsable : de nombreuses institutions ont établi des principes ou des normes internes de gouvernance de l’IA comme exigences de base pour tous les cas d’utilisation de l’IA. Bien que la terminologie varie, ces principes tendent généralement à converger autour des thèmes suivants :

• Équité et évitation des résultats biaisés ou discriminatoires ;
• Transparence et explication des sorties et des limites du modèle ;
• Gouvernance des données, confidentialité et protection de la vie privée ; ainsi que
• Testing, monitoring, and validation of model performance.

Ces principes sont de plus en plus mis en œuvre par le biais de politiques internes, de cadres de contrôle et de processus d'approbation, plutôt que de se limiter à des déclarations purement déclaratives.

La gouvernance interfonctionnelle est une caractéristique essentielle : la gouvernance de l'IA ne se limite presque jamais à une seule fonction. Les organisations impliquent généralement de multiples parties prenantes provenant des équipes données, technologie, juridique, conformité, risque et affaires. Des comités dédiés de gouvernance de l'IA ou des centres d'excellence sont souvent mis en place pour coordonner ces fonctions, établir des normes communes et garantir la cohérence entre les différents cas d'utilisation. Dans certaines organisations, une fonction centralisée de l'IA élabore les politiques et outils pour l'ensemble du groupe, tandis que les départements métier conservent la responsabilité de la mise en œuvre.

Le comité d'approbation des cas d'utilisation n'a pas de pratique uniforme : bien que certaines institutions aient établi des comités formels pour approuver des cas d'utilisation spécifiques d'IA, d'autres s'appuient sur des processus d'approbation existants (tels que le comité de gestion des risques modélisés ou le forum des changements technologiques). Dans les grandes institutions mondiales, il est courant d'intégrer l'IA dans les infrastructures de gouvernance existantes plutôt que de créer de nouvelles entités d'approbation, ce qui reflète l'idée que les risques liés à l'IA doivent être gérés dans le cadre plus large de la gestion des risques d'entreprise.

La gouvernance du cycle de vie gagne en importance : la gouvernance de l'IA ne se limite pas à l'approbation initiale. Les institutions accordent une attention croissante au contrôle complet du cycle de vie, incluant :

• Classification des cas et niveaux de risque ;
• Test et vérification avant le déploiement ;
• Surveillance continue des performances et détection de dérive ;
• Seuils clairs d'intervention humaine et de signalement ; ainsi que
• Regular review, retraining, and retirement processes.

Cela reflète un changement plus large du contrôle statique vers une surveillance continue.

La supervision humaine reste le mécanisme de contrôle fondamental : les institutions reconnaissent généralement que la supervision humaine est essentielle, notamment pour les cas d'utilisation à haut risque. Toutefois, les cadres les plus matures vont au-delà de la notion générale de « boucle d'implication humaine » et visent à définir plus précisément quand une vérification est nécessaire, qui est chargé de la réaliser, quelles normes doivent être appliquées, et comment enregistrer et justifier les actions.

La gouvernance des données et l’interprétabilité des modèles sont des domaines prioritaires : les institutions soulignent généralement les défis liés à la qualité des données, à leur origine et au contrôle d’accès, ainsi que l’interprétabilité des modèles complexes. Ces aspects sont souvent considérés comme des questions de gouvernance fondamentales, et non comme des considérations purement techniques, notamment dans les environnements de services financiers réglementés où l’interprétabilité et la traçabilité sont étroitement liées aux attentes réglementaires.

Le cadre de gouvernance évolue continuellement en fonction des cas d’usage et des attentes réglementaires : la plupart des institutions affinent encore leurs cadres de gouvernance de l’IA. À mesure que les cas d’usage de l’IA s’étendent — notamment dans les domaines de l’interaction client, du soutien à la prise de décision et de la gestion des risques — les cadres de gouvernance sont améliorés pour répondre aux nouveaux risques, aux évolutions réglementaires et aux enseignements opérationnels. Par conséquent, la gouvernance de l’IA doit être considérée comme une discipline dynamique et en constante évolution, et non comme un cadre figé.

Dans l'ensemble, ces observations indiquent que le monde tend vers une convergence autour de cadres de gouvernance de l'IA intégrés, fondés sur des principes et orientés selon le cycle de vie, ancrés dans les infrastructures existantes de gestion des risques et de contrôle, mais de plus en plus adaptés pour répondre aux caractéristiques et risques spécifiques des systèmes d'IA.

Dans cet article, « Hong Kong » désigne la région administrative spéciale de Hong Kong de la République populaire de Chine.