Points clés à retenir :
Le régulateur chinois du secteur bancaire a ordonné aux institutions financières de classer les applications d'IA par niveau de risque et d'interdire l'utilisation de données personnelles pour l'entraînement des modèles, établissant ainsi l'un des cadres les plus prescriptifs en matière d'intelligence artificielle dans la finance mondiale.
L'Administration nationale de la régulation financière (NFRA) a publié lundi son avis d'orientation sur le développement sûr et l'application de l'IA dans les secteurs bancaire et de l'assurance, imposant des structures de gouvernance, des systèmes de classification des risques et des protections de la vie privée des données dans l'ensemble du secteur financier chinois. Les règles s'appliquent à toutes les banques politiques, banques commerciales, assureurs, gestionnaires d'actifs et sociétés de holding financières sous la supervision de la NFRA.
« Le conseil d'administration ou un comité désigné est chargé de la gestion du développement et de l'application de l'IA, de l'élaboration de plans de développement et de la mise en place de mécanismes de coordination interfonctionnels », a déclaré la NFRA dans le document publié sur son site internet. Les institutions doivent désigner un département pilote et constituer des viviers de talents pour faire correspondre le déploiement de l'IA aux capacités de gestion des risques.
Le règlement crée un système de classification des risques à deux niveaux. Les applications d'IA impliquant des transactions de fonds, l'évaluation d'actifs, la souscription de crédit, le règlement de sinistres et la gestion des risques — ou toute utilisation d'IA générative qui affecte directement les intérêts des clients ou les contrats financiers — sont classées comme « à haut risque » et nécessitent l'approbation du comité de gestion des risques de l'institution avant leur déploiement. Ces applications à haut risque doivent inclure des mécanismes de supervision humaine et d'intervention aux points de décision critiques, avec des systèmes de secours ou des procédures manuelles de repli prêts à être activés.
Obligations en matière de confidentialité des données et d'infrastructure
La NFRA a imposé des règles strictes de confidentialité des données qui vont au-delà des lois existantes sur la cybersécurité. Les données personnelles, y compris les noms, les numéros d'identité nationaux, les numéros de téléphone et les numéros de carte bancaire « ne doivent pas être utilisées pour l'entraînement et l'optimisation de modèles d'IA générative », a déclaré le régulateur, isolant de fait les données clients des grands modèles de langage que les banques et les assureurs s'efforcent de déployer. Les institutions doivent construire des garde-fous de sécurité, mettre en œuvre un filtrage de contenu et un masquage des données, et prévenir les attaques par empoisonnement des données.
Côté infrastructure, la NFRA a demandé aux institutions financières de construire des bases de puissance de calcul « autonomes et contrôlables » utilisant des technologies vertes, et a encouragé les grandes banques à fournir des services de calcul aux petits prêteurs. Le régulateur a également promu la construction d'infrastructures d'applications d'IA à l'échelle du secteur, y compris des plateformes Model-as-a-Service pour la réutilisation partagée de modèles entre institutions. Cette directive s'aligne sur le 15e Plan quinquennal de la Chine, qui donne la priorité à l'innovation en IA et à la stratégie d'action « IA+ ».
Le règlement aborde également les risques liés à la chaîne d'approvisionnement. Les institutions financières doivent gérer le risque de concentration lié à une dépendance excessive à l'égard de fournisseurs de technologies individuels, tenir des registres des composants open source et effectuer des audits de code et des analyses de vulnérabilités. Les modèles d'IA générative externes doivent être enregistrés auprès de l'Administration du cyberespace de Chine avant leur déploiement.
Ce que ces règles signifient pour le marché chinois de l'IA financière
Ce cadre crée à la fois des coûts de conformité et des opportunités commerciales. Le secteur bancaire chinois détient environ 417 000 milliards de yuans (57 600 milliards de dollars) d'actifs totaux, selon les données de la NFRA, ce qui en fait l'un des plus grands marchés adressables pour l'infrastructure d'IA au monde. L'obligation pour les grandes institutions de partager leurs capacités d'IA avec les petits prêteurs pourrait stimuler une nouvelle vague d'achats de technologies dans l'ensemble du secteur.
Les règles reflètent également une poussée mondiale plus large en faveur de la souveraineté en matière d'IA. L'accent mis par la NFRA sur une technologie « autonome et contrôlable » fait écho à des initiatives similaires en Inde, où Sarvam AI a récemment levé 234 millions de dollars pour une valorisation de 1,5 milliard de dollars afin de construire une IA full-stack pour les langues indiennes et les cas d'usage en entreprise, ainsi qu'aux États-Unis, où le gouvernement a ordonné à Anthropic de suspendre l'accès à ses derniers modèles pour les ressortissants étrangers, invoquant des préoccupations de sécurité nationale.
Pour les fournisseurs de technologies, ce règlement crée un marché bifurqué. Les fournisseurs nationaux d'infrastructure d'IA — y compris la plateforme de calcul Ascend de Huawei et le framework PaddlePaddle de Baidu — devraient bénéficier de cette poussée en faveur des technologies nationales, tandis que les fournisseurs de cloud étrangers se heurtent à des obstacles supplémentaires en matière de conformité. L'obligation de la NFRA en matière de gestion des risques de la chaîne d'approvisionnement et de limites de concentration décourage effectivement la dépendance à l'égard d'un seul fournisseur étranger.
La NFRA a indiqué qu'elle mettrait en place un mécanisme d'évaluation annuel pour ses politiques réglementaires en matière d'IA et qu'elle construirait des systèmes de surveillance et d'alerte précoce. Les institutions financières utilisant l'IA générative pour des applications destinées au public ou à haut risque doivent faire rapport au régulateur. La prochaine échéance de conformité sera la mise en œuvre des systèmes de classification des risques et des cadres de gouvernance des données, que les institutions doivent achever dans les délais fixés par les lignes directrices d'application ultérieures de la NFRA.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.
