A travers l’actualité récente des banques comme le Crédit Mutuel ou encore Orange Bank qui ont su intégrer la solution d’IBM Watson au sein de leurs banques, le Machine Learning (« ML ») est une innovation qui semble être ancrée comme faisant partie de notre quotidien.
Le Machine Learning (ou apprentissage automatique) est une composante de l’Intelligence Artificielle (« IA ») qui va permettre à une machine de traiter massivement des informations grâce à des algorithmes permettant ainsi de résoudre des problèmes qui paraissaient jusque lors inaccessibles.
Cette capacité à traiter des informations en masse et à faire des analyses prédictives intéresse de plus en plus les banques françaises.
Le cadre juridique, une limitation à l’apprentissage sans fin du Machine Learning ?
Le Machine Learning en tant que tel et plus largement l’Intelligence Artificielle ne sont pour le moment aucunement encadrés juridiquement, que ce soit en droit français ou international. Nous pourrions donc nous dire que l’utilisation de ces technologies est totalement libre et non régulée. Il n’en n’est rien puisque plusieurs enjeux juridiques fondamentaux existent et qu’il serait dommageable de ne pas les prendre en compte.
Quid du propriétaire de la solution ML ?
L’enjeu de propriété intellectuelle pose de vraies questions : la banque peut-elle protéger les algorithmes mis en place pour son Machine Learning, à qui appartiendront les résultats : développeur, fournisseur, banque qui met en place la solution ?
A ces questions nous pouvons d’ores et déjà apporter deux réponses :
- Les algorithmes ne peuvent être protégés par un brevet, seuls pourront l’être les logiciels et les bases de données de l’IA.
- Pour ce qui est de la propriété des résultats produits par le Machine Learning la solution est simple : le régime légal à cette situation n’existant pas il devra être mis en place un contrat précisant à qui appartiennent les résultats.
L’arrivée de la GDPR, un frein puissant au développement du Machine Learning ?
L’enjeu juridique le plus important en matière de Machine Learning réside dans l’utilisation des données personnelles que l’outil va utiliser en masse. Cette question est fondamentale notamment avec l’arrivée au sein de l’Union Européenne de la réglementation RGPD (Règlement Général sur la Protection des Données à caractère personnelles). Cette réglementation qui entrera en vigueur en France en mai 2018 affirme certains principes, pouvant limiter en partie le Machine Learning :
- Principe de licéité, loyauté et transparence : les données doivent être traitées de manière loyale, licite et transparente.
- Principe de limitation des finalités : les données ne doivent être collectées que pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités
- Principe de minimisation des données : les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
- Principe d’exactitude des données : les données traitées doivent être exactes et mises à jour régulièrement (rectification, voire effacement sans tarder)
- Principe de limitation de la conservation des données : les données ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
- Principe d’intégrité et de confidentialité des données : les données doivent être traitées de façon à garantir une sécurité appropriée desdites données, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle
La limitation des finalités va poser un problème dans la mesure où, par essence, le Machine Learning n’a pas de finalités spécifiques, la collecte initiale d’information n’ayant pas pour objet d’être respectée à l’identique.
Le ML cherche des informations d’origine différente obtenues dans le cadre de finalités différentes afin de détecter des signaux faibles. Cela risque donc de soulever des interrogations dans le cas où le ML mis en place par une banque « pioche » des informations qui n’avaient pas pour finalité la recherche d’un risque de fraude par exemple.
Dans la suite de cette limitation intervient le concept de minimisation des données (considérant 39 de la GDPR) qui limite également le traitement des données à ce qui est nécessaire et en lien direct avec la finalité pour laquelle les données sont traitées.
Quelles sont les solutions pour les banques ?
La première solution qui apparaît immédiatement serait que les banques précisent dans leurs conditions générales de vente (« CGV ») que les données qu’elles collectent tout au long du processus commercial ont pour objectif de servir à telle ou telle finalité (marketing, lutte contre la fraude, contre le blanchiment etc…). Cette solution entraînera certes un gros travail de modification de CGV mais permettrait de se mettre en conformité avec les injonctions nouvelles de la GDPR. La licéité d’une telle opération reste cependant à vérifier. Il faudra également obtenir un consentement spécifique du client pour chaque finalité recherchée.
Une seconde solution pour les banques serait de limiter les sources de données de ces outils aux seules données dont les banques disposent, à savoir les données clients qu’elles peuvent collecter tout au long de la relation contractuelle. Il faudra néanmoins bien veiller à prévenir les clients de la finalité de la collecte de telles informations (Loi Informatique et Libertés).
Pour cela elles devront coder des algorithmes respectant le « privacy by design » c’est-à-dire un algorithme respectant les règles de protection des données au moment de sa conception.
Enfin une dernière solution serait, pour les banques, de puiser de l’information dans l’open data qui ne semble pas être dans le scope de la réglementation européenne et qui peut être un complément important aux bases de données dont elles disposent déjà puisque les données présentes dans cet open data ne pourraient être soumises à la réglementation.
L’Europe désavantagée par rapport à ses concurrents Américains ?
Nous l’avons vu, la minimisation des données est un des nouveaux principes érigé par le GDPR qui doit obliger le responsable du traitement à rechercher des solutions permettant de séparer l’identité de la personne des données le concernant et d’effectuer des traitements de données à condition qu’elles ne soient pas à caractère personnel.
Ce principe n’existe pas chez nos voisins Américains qui ne sont donc pas tenus de chercher de telles solutions. Toutefois le GDPR s’applique à toute entreprise même hors UE qui serait amener à traiter des données personnelles de ressortissants de l’UE (cas des call centers basés hors de l’UE mais s’adressant à des clients européens par exemple)
Attention aux sanctions !
Il est important de préciser que l’année 2018 arrive vite et que les établissements bancaires doivent se mettre le plus rapidement en conformité avec cette nouvelle réglementation au risque d’être durement sanctionnés. En effet le nouveau barème de sanction semble beaucoup plus dissuasif puisque les autorités pourront infliger une amende pour non-respect de ces obligations qui pourra s’élever à 20 millions d’euros ou 4% du chiffre d’affaires.
Nous comprenons donc aisément que le Machine Learning a tous les atouts pour devenir un réel avantage pour les banques, leurs permettant ainsi d’optimiser nombre de leurs processus (Analyse des comportements frauduleux, Lutte contre le blanchiment d’argent et le financement du terrorisme…) mais n’oublions pas que, comme toute nouvelle technologie, elle bénéficie pour le moment d’un certain flou juridique lui permettant une croissance forte et peu contrôlée (sauf quelques règles usant de chemins détournés : protection des données personnelles grâce au GDPR par exemple). Soyons certains que dans les années à venir le législateur se penchera sur le cas du ML, en espérant qu’il ne le limite pas trop afin qu’il reste ce formidable outil source de progrès et d’innovation pour les banques.