Les enjeux juridiques de l’utilisation de l’IA
dans le secteur bancaire Marocain
Brahim Oul-Caid est doctorant en sciences juridiques à la FSJES Agdal Rabat, spécialisé en droit des affaires. Il est titulaire d’un Master en Droit des Affaires et d’une Licence en Droit Privé de l’Université Mohammed V de Rabat.
« Définir l’intelligence artificielle n’est pas chose facile. Depuis ses origines comme domaine de recherche spécifique, au milieu du XXe siècle, elle a toujours constitué une frontière, incessamment repoussée. L’intelligence artificielle désigne en effet moins un champ de recherches bien défini qu’un programme, fondé autour d’un objectif ambitieux : comprendre comment fonctionne la cognition humaine et la reproduire ; créer des processus cognitifs comparables à ceux de l’être humain »1
Les établissements de crédit, par tout dans le monde, ayant conscience de l’importance économique et des avantages fonctionnels de l’exploitation de la technologie de l’IA dans les services et produits qu’ils présentent à leurs clients, ne pourraient que se lancer, corps et âme, dans un tel projet. Dans le monde arabe, les établissements de crédit ne sont à l’insu de cette révolution. Une initiative devrait être lancée par ces établissements pour instituer un fond réservé au financement et a l’appui de la fintech . 2
L’arsenal juridique encadrant la protection des données à caractère personnel diffère d’un pays arabe à un autre étant données les spécificités et les contraintes juridiques de chaque Etat. Pour ne pas étudier chaque legislation national, cette étude sera focalisée seulement sur la legislation marocaine.
Ainsi, la liberté de création en matière technique et la liberté d’entreprendre sont-elles garanties successivement par les articles 25 et 35 de la Constitution du Maroc de 2011. Or, un tel investissement et de telles libertés ne devraient pas porter atteinte à un autre droit fondamental, garanti par l’article 24 de ladite Constitution, à savoir le droit à la vie privée et à la protection des données à caractère personnel. De ce fait, une conciliation adéquate entre ces intérêts contradictoires nécessite une réflexion sur le cadre juridique de l’IA dans le domaine bancaire avant de mettre l’accent sur les risques éventuels de telle technologie sur les données à caractère personnel.
I- Le cadre juridique de l’IA dans le secteur bancaire : entre le droit dur et le droit souple
Le cadre juridique de la technologie de l’IA, étant un ensemble de règles législatives et réglementaires qui régissent un phénomène social, économique ou technique, devrait être considéré dans sa teneur générale avant de penser aux alternatives offertes par les pratiques de la soft Law.
A- Le droit dur applicable à la technologie de l’IA
Le secteur bancaire marocain, par son importance économique et par la diversité des sociétés bancaires qui s’y exercent, mise de plus en plus sur le numérique et ses applications pour perfectionner son fonctionnement interne, augmenter sa rentabilité 3 et améliorer la qualité des services offerts aux clients. La plupart des banques offraient des services dématérialisés et digitalisés depuis longtemps.
Ces services et produits bancaires digitalisés trouvent leur base juridique dans certains textes juridiques d’ordre législatif et réglementaire. Or, qu’en est-il des technologies de l’IA utilisées par les banques ?
En fait, plusieurs banques marocaines utilisent certaines fonctionnalités de l’IA. Il s’agit, en premier lieu, des fonctionnalités liées au machine learning (ML), Chatbots et la reconnaissance faciale utilisées essentiellement lors de l’ouverture des comptes bancaires à distance et la mise en œuvre des applications mobiles qui leur sont nécessaires. En deuxième lieu, les banques collectent des données personnelles aux fins diverses. Elles les traitent et les exploitent dans le cadre de l’analyse de risque 4 , de l’octroi du crédit instantané 5 , de l’évaluation de la solvabilité des clients et la prévention et détection de cas de fraude. Donc, dans quels textes juridiques ces différentes opérations peuvent trouver leur base légale ?
En ce qui concerne cadre légale couvrant ces opérations, une question se pose toujours sur l’absence d’un corpus législatif adéquat et moderne. Exception faite de quelques prémices sur un future cadre réglementaire de l’IA en Europe 6 , dans l’état actuel du droit positif, il n’existe aucun instrument juridique saisissant de manière spécifique et globale les problématiques nouvellement posées par l’IA 7 .
Certes, vu son caractère purement technique, complexe et son évolution rapide et volatile, la technologie de l’IA, en tant que telle, ne pourrait pas être réglementée entièrement par un texte législatif spécifique 8. Cela n’empêche pas qu’il existe des textes légaux d’ordre général qui peuvent être applicables indirectement et partiellement aux applications de l’IA. Il s’agit à titre d’exemple de :
– La loi 103.12 relative aux établissements de crédit et organismes assimilés, promulguée par le Dahir n° 1-14-193 du 1er Rabii I 1436 (24 décembre 2014) surtout les articles 77, 78, 151 et 160 ;
– La loi 53-05 relative à l’échange électronique de données juridiques portée par le Dahir n˚1-07-129 du 30 Nov.2007 ;
– La loi 43-20 relative aux services de confiance pour les transactions électroniques, portée par le Dahir n˚1-20-100 du 31 Dec.2020 ;
– La loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel promulguée par le Dahir n° 1-09-15 du 22 Safar 1430 (18 février 2009).
Tout traitement automatisé de données à caractère personnel fait par une banque, dont le siège social se trouve au Maroc ou qu’elle traite des données personnelles des citoyens marocains doit respecter les droits et obligations prévus par la présente loi. Sur ce, toute opération de traitement, par le biais de l’IA, des données personnelles des clients pour quelque raison que ce soit est soumis aux dispositions de la loi 09-08 et des textes pris pour son application et au contrôle de la Commission Nationale de la Protection des Données Personnelles (CNDP) 9 .
Ces textes juridiques, même s’ils ne constituent pas un vrai cadre legal de l’utilisation de l’IA dans le domaine bancaire, peuvent trouver leur application dans certains cas et peuvent régir quelques aspects de cette technologie à multiples fonctions. Pour remédier à ce vide juridique, les professionnels bancaires pourraient faire appel aux pratiques vastement recommandées du droit souple.
B-La soft law : cadre alternatif de l’utilisation de l’IA par les banques
L’IA, en tant qu’une technique qui associe des technologies qui combinent données, algorithmes et puissance de calcul 10 , constitue à la fois un important levier et une source d’insécurité juridique pour les banques marocaines. L’absence d’un cadre legal claire et spécifique à cette technologie peut constituer un vrai freine à tout investissement en la matière. Pour réduire des effets négatifs de tel constat, les banques n’ont qu’à adopter des règles conventionnelles instaurant de bonnes pratiques relatives à l’utilisation de l’IA. Comme disait un grand juriste français : « quand les eaux montantes de la technique envahissent les terres immergées du droit, la dura lex sed lex du droit romain cède le pas à la soft law et aux agencements technico-conventionnels négociés 11 » .
Il s’agit, le cas échéant, de codes de l’utilisation, de bonne conduite et de chartes d’éthique de l’IA. En effet, les chartes éthique constituent un ensemble d’éléments quasi-normatifs, indiquant des devoir-être sans les assortir de sanction ni de contrainte, à mi-chemin entre le droit et le non-droit 12 .
D’une part, il s’agit de la possibilité d’adopter un code de bonne conduite ou une charte d’éthique dans le cadre d’un groupement professionnel ou d’une association professionnelle auquel ou à laquelle les banques sont déjà adhérées. Cette première voie laisse aux sociétés bancaires le choix de déterminer le contenu et les contours de ces instruments conventionnels.
Le Groupement Professionnel des Banques du Maroc (GPBM) peut jouer ce rôle de fédérateur en édictant un corpus de principes régissant l’utilisation de l’IA par ses adhérents. Ce corpus reprendrait les notions de responsabilité, de l’équité, de traçabilité, de fiabilité, de transparence, de gouvernance, de non-discrimination…en matière de l’IA lors de son utilisation dans le secteur bancaire.
Il déterminerait également ses effets à l’égard des membres signataires et d’autres clauses liées à son champ d’application.
D’autre part, il est possible pour les banques marocaines d’adhérer ou d’adopter les principes et chartes éthique de l’IA déjà préétablis et reconnus au niveau international 13 . Cela étant dit, certaines déclarations de normes non contraignantes ont été publiées, dans ce cadre, par différents organismes et institutions au niveau mondial.
En premier lieu, on trouve le « Partnership on AI to Benefit People and Society » réunissant Google à Facebook en passant par Microsoft, IBM, Amazon et Apple 14. Leur ambition, tel qu’ils expriment, est d’instaurer de « bonnes pratiques » éthiques dans le domaine de l’IA 15 .
En deuxième lieu, les 7 principes de Google 16 qui peuvent être résumés comme suit :
* Etre socialement bénéfique ;
* Eviter de créer ou de renforcer des biais injustes ;
* Etre développée et testée pour la sécurité ;
* Etre responsable devant les individus ;
* Incorporer le principe de privacy by design ;
* Maintenir des principes de l’excellence scientifique ;
* Etre mise à la disposition pour des utilisations conformes à ces principes.
En troisième lieu, le Conseil de l’Europe, avec ses 7 principes en la matière, apporte une pierre à l’édifice éthique de l’IA. Il s’agit essentiellement des principes relatifs au respect des droits et libertés fondamentaux des individus, la responsabilité, la sécurité et le bien-être sociétal et environnemental.
En quatrième lieu, les « 23 principes d’Azilomar » constituent un véritable socle du droit souple concernant l’IA. Cette déclaration est signée par plus de 2000 signataires dont notamment le feu physicien Stephen HAWKING et Elon MUSK 17 .
En cinquième lieu, la «Déclaration Montréal», intitulé :« les 10 principes pour un développement de l’IA responsable», s’inscrit dans cette ligne droite de la prolifération des normes non contraignantes.
II- L’IA dans le secteur bancaire : Enjeux liés à l’exploitation des données personnelles
Depuis leur institution séculaire, les banques sont reconnues pour la collecte et le traitement d’un maximum de données leur permettant de bien connaitre leurs clients, de s’assurer de leur solvabilité et, par conséquence, de prendre une décision rationnelle.
Elles détiennent d’immenses bases de données relatives à leurs clients, personnes physiques ou morales 18 . Dorénavant, ces opérations de collecte et de traitement se feront par les applications de l’IA, ce qui nécessitera le respect des principes et dispositions prévus par la loi sur la protection des données personnelles en sorte que les risques liés aux biais des algorithmes soient renduits.
A-La collecte et le traitement des données personnelles
Pour bénéficier d’un service ou d’un produit offert par une banque marocaine, il faut lui fournir tout une panoplie d’informations concernant, entre autres, la situation sociale, médicale (santé) et patrimoniale de l’intéressé. Après leur collecte, ces informations seront traitées de différentes manières, stockées et exploitées pour pouvoir servir de base à une prise de décision raisonnable, rationnelle et rentable pour la banque.
Pour les banques utilisant la technologie de l’IA dans le traitement desdites informations, les résultats qui en seraient obtenus seraient beaucoup exacts, pertinents et trop utiles. Or, la collecte et le traitement de telles informations sont soumis aux dispositions protectrices de la loi n˚09-08, précitée, relative à la protection des données à caractère personnel toutes les fois que ces informations concernent des personnes physiques. La même loi prévoit un certain nombre de principes-obligations et droits des personnes concernées à respecter par les responsables de traitement (les Banques ou leurs sous-traitants).
En premier lieu, la collecte et le traitement doivent respecter les principes énoncés dans le troisième article de la loi 09-08. Il s’agit des principes suivants :
a-Une collecte licite et loyale : les banques marocaines utilisant des fichiers à des fins de l’exercice de leurs activités bancaires doivent ainsi s’assurer que la collecte des données destinées à les alimenter est licite et loyale au sens de l’article 3 susmentionné ;
b- Une collecte pour des finalités déterminées explicites et légitimes ;
Le fait, pour une banque, de collecter des données personnelles à l’insu des clients, à travers les applications mobiles e-banking, en utilisant la technologie IA méconnaît le principe de finalité de la collecte et de finalité du traitement 19.
c- Des données adéquates, pertinentes et non excessives, au regard des finalités pour lesquelles elles sont collectées, et pour lesquelles, elles sont traitées ultérieurement ;
d- Des données exactes et, si nécessaire, mises à jour. Toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;
e- Des données conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement.
Par ailleurs, avant toute collecte et tout traitement de données personnelles, la banque doit recueillir le consentement de la personne concernée conformément à l’article 4 de la loi 09-08. De même, le consentement correspond à toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données personnelles la concernant fassent l’objet d’un traitement . Dans ce cadre, deux hypothèses se présentent.
La première concerne le cas où un contrat entre la banque et son client existerait. Le consentement à la collecte et au traitement des données personnelles est exprimé lors de la signature dudit contrat ou en cliquant sur une case réservée à cet effet dans le corps du même contrat.
La deuxième hypothèse concerne le cas où les données à collecter et à traiter ne seraient pas couvertes par un contrat déjà signé entre la banque et son client. Dans ce cas, la banque devrait inviter le client à exprimer son consentement en lui envoyant un lien hypertexte ou un document réservé à cet effet. Elle devrait l’informer sur tous les aspects de telle collecte ou de tel traitement.
En outre, les banques traitant des données personnelles doivent permettre à leurs clients-personnes concernées- d’exercer leurs droits prévus par la loi 09-08. Il s’agit, brièvement, des droits suivants :
* Le droit à l’information (Art. 5) ;
* Le droit d’accès (Art.7) ;
*Le droit de rectification (Art. 8) ;
* Le droit d’opposition (Art. 9) ;
La droit européen de la protection des données personnelles (RGPD) a ajouté d’autres droits à cette liste non exhaustive comme :
* Le droit à l’effacement des données personnelles ;
*Le droit à la portabilité des données personnelles.
Aussi, les banques sont-elles soumises aux obligations prévues par le troisième chapitre de la loi 09-08. (Cf. de l’article 12 à l’article 26). A ce propos, l’obligation d’avoir une autorisation du traitement des données personnelles, sous toutes ses formes, demeure la plus essentielle 21 .
Pourtant, l’utilisation et l’exploitation de la technologie IA par les banques marocaines présente également de grands risques liés aux biais éventuels des algorithmes qui y sont intrinsèques.
B- Les risques de biais liés au traitement algorithmique des données personnelles
La question de l’IA est relative aux nouvelles techniques de l’analyse des données et d’algorithmie 22. Cette question renvoie communément à la problématique des decisions automatisées et du profilage 23 .
Le développement de telles pratiques pose une question éthique relative à la maîtrise par la personne fichée de ses données personnelles, ainsi qu’une problématique juridique puisqu’en l’état actuel de la législation et de la réglementation en la matière, aucune machine ne peut prendre seule une décision importante vis-à-vis d’une personne fichée, le contrôle humain restant obligatoire dans tous les cas 24 .
A vrai dire, l’entrée de l’IA dans le secteur bancaire marocain, et les utilisations qui peuvent en être faites, peut présenter de nombreux risques surtout lors du traitement algorithmique des données à caractère personnel. Ces risques sont accrus par les potentialités de l’IA en matière de la gestion de la relation client. La compréhension des biais comportementaux, surtout si elle devient individualisée, est un levier puissant pour faire accepter au client une relation commerciale totalement déséquilibrée. Pourtant, mis en œuvre et poussé à l’extrême, un tel programme ne peut qu’aboutir à la ruine de la confiance dans le secteur, en le privant de son utilité économique et sociale 25 .
La pratique du profilage, qui couvre d’autres pratiques telles la reconnaissance faciale et les decisions autonomes ou automatisées, effectuée par les algorithmes de l’IA peut porter atteinte aux droits et libertés fondamentaux des clients. Il peut en résulter la discrimination basée sur la couleur, les croyances religieuses ou sur la situation médicale du client.
Dans ce cadre, la CNDP a adopté un certain nombre de délibérations relatives à l’utilisation des nouvelles technologies dans le domaine bancaire, invitant les banques et organismes assimilés à se conformer à la legislation et la réglementation nationales et aux bonnes pratiques reconnues au niveau international en matière de la protection des données personnelles. Il s’agit notamment des délibérations suivantes :
- Délibération n°D-108-EUS/2020 du 23/04/2020 relative à la définition de l’usage des technologies de reconnaissance faciale dans le cadre du dispositif du compte à distance par les banques et établissements de paiement ;
Délibération n °D-110-2021 du 30/04/2021 portant avis sur le projet de directive fixant les règles minimales en matière d’externalisation vers le Cloud par les établissements de crédit ; - Délibération N° 32-2015 du 13/02/2015 portant modèle de déclaration type concernant les traitements de données à caractère personnel dans le cadre de la gestion des clients ;
- Délibération n° 478-2013 du 1er novembre 2013 portant sur les conditions nécessaires à l’utilisation des dispositifs biométriques pour le contrôle d’accès.
Enfin, dans le but de prévenir des biais qui pourraient résulter des traitements des données personnelles effectués par l’AI, les établissements de crédit marocains peuvent s’inspirer de la legislation européenne et adopter un certain nombre de mesures-obligations à caractère juridique et technique susceptibles de renforcer leurs politiques de confidentialité et de constituer des preuves de bonne foi dans le cas d’un procès ou d’enquêtes. Il s’agit des principes de privacy by design et d’études d’impact. Alors que l’obligation de réaliser une étude d’impact (PIA) s’impose aux responsables du traitement qui procèdent à ces opérations par le recours aux NTIC et dont le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Cette étude précède toute opération de traitement pour en éclaircir tous les contours.
Conclusion
Pour conclure, les bienfaits techniques, économiques et juridiques de l’exploitation des technologies de l’IA dans le secteur bancaire marocain sont indéniables. De la simplification des formalités, à accomplir par la clientèle, au développement de la bancarisation en passant par l’amélioration des services et produits offerts ainsi que la maîtrise des risques qui s’y attachent, les algorithmes de l’IA accomplissent des tâches tellement complexes que des hauts cadres ne pourraient pas réaliser. Or, l’utilisation de cette technologie, avec l’absence d’un cadre juridique spécifique, questionne les enjeux de la protection des données personnelles des clients et la banalisation des biais algorithmiques.
1-Cédric VELLANI, donner un sens à l’Intelligence Artificielle, pour une stratégie nationale et européenne, Mission parlementaire confiée par Mr le Premier Ministre Edouard PHILIPPE du 08 Septembre 2017 au 08 Mars 2018.
2-V. Wissam FETTAH, la Revue de l’Union des Banques Arabes, N˚525 Septembre 2024, P. 7 et s. 3-Kenza CHERKAOUI, La digitalisation des services bancaires, source de rentabilité : le cas des banques marocaines, Revue Internationale du Chercheur (Revue Française), ISSN : 2726-5889, V. 1 : N. 1.
4-Cf. Chahid SLIMANI, traitement automatisé des données à caractère personnel : le risque de « l’informatisation du risque », Revue de Recherche en Droit, Economie et Gestion, N.16, Oct.2021, P. 30 et s
5-CF, OCDE, 2019, IA dans la société, Ed. OCDE Paris, https://doi.org/10.1787/b7f8cd16.fr.
6-L’intelligence artificielle et le droit en Europe : analyse transatlantique comparative, https://www.transatlantic-lawyer.com/fr/lintelligence-artificielle-et-le-droit-en-europe-analyse-transatlantique-comparative/, consulté le 11/10/2022 à 21h14.
7-Boris Barraud, Éthique de l’Intelligence Artificielle, Editions l’Harmattan, 2022, P.49 et s.
8-David Forest, Le droit au défi du numérique – Libertés et propriété à l’ère d’Internet, Editions L’Harmattan, 2020, P.181 et s
9-Cf. Chahid SLIMANI, Op.cit P.32.
10-Commission Européenne, « Livre blanc Intelligence Artificielle : une approche européenne fondée sur l’excellence et la confiance », 2020, P.2
11-Alain SUPIOT, la gouvernance par les nombres, Cours au College de France, 2012-2014, P.271.
12-Boris Barraud, Éthique de l’intelligence artificielle, Op.cit, P.64.
13-Ebénézer Njoh Mouelle, Lignes rouges «éthiques» de l’intelligence artificielle, Editions l’Harmattan, 2020, P. 89 et s.
14-Boris Barraud, Dignité, liberté, égalité – Pratique des droits de l’homme numérique, Editions l’Harmattan, 2022, P.604 et s
15-Op.cit.
16-V. Ebénézer Njoh Mouelle, Op.cit, P.86 et s.
17-V. Ebénézer Njoh Mouelle, Op.cit, P.100 et s.
18-Ghislain DE PIERREFEU et Nicolas EID, « l’IA et la banque de demain, passer de l’IA paillette a l’IA concrète, www.Wavestone.com
19-V. Anne DEBET, Jean MASSOT et Nathalie METALLINOS, « Informatique et libertés, la protection des données à caractère personnel en droit français et européen », Editions Lextenso, 2015, P.919.
20-Guillaume DESGENS-PASANAU, « la protection des données personnelles, les principes clés de décryptage du RGPD », 5eme édition, LexisNexis, 2022, P.110.
21-V. les délibérations de la CNDP suivantes :
– Délibération n° 479-AU-2013 du 01/11/2013 portant modèle de demande d’autorisation relative au traitement de données à caractère personnel mis en œuvre par des établissements de crédit et organismes assimilés en vue de la tenue des comptes de la clientèle et la gestion des opérations s’y rapportant ;
– Délibération n° 480-AU-2013 du 01/11/2013 portant modèle de demande d’autorisation relative au traitement de données à caractère personnel mis en œuvre par des établissements de crédit et organismes assimilés en vue de la gestion des crédits et des garanties ;
– Délibération n° 481-AU-2013 du 01/11/2013 portant modèle de demande d’autorisation relative au traitement de données à caractère personnel mis en œuvre par des établissements de crédit et organismes assimilés en vue de la gestion des clients de passage.
22-V. Olivier EZRATTY, « Les avancées de l’IA », 2016, P.109 et s.
23-Prospective, « Intelligence Artificielle- état de l’art et perspectives pour la France », rapport final, Editions Martine Automme et Nicole Merle-Lamoot, 2019, P. 39 et s
24-V. Guillaume DESGENS-PASANAU, Op.cit, P. 307 et s.
25-V. Olivier FLICHE, « IA et règles de protection de la clientèle dans la banque et l’assurance », Enjeux Numériques- N˚1, Annales des Mines, 2018, P.29.