BDO : La BaFin publie un guide sur l'IA dans le cadre de DORA
L'autorité de surveillance financière allemande, la BaFin, a publié des directives sur l'intégration de l'intelligence artificielle (IA) dans les secteurs financier et des assurances. Le document clarifie l'application du règlement européen sur l'IA et de la loi DORA aux systèmes d'IA.
L'autorité de surveillance financière allemande, la BaFin, a publié de nouvelles directives destinées aux institutions financières et d'assurance concernant la mise en œuvre et la gestion des systèmes d'intelligence artificielle (IA). Ces directives visent à clarifier l'interaction entre le règlement européen sur l'IA (AI Act) et la loi sur la résilience opérationnelle numérique (DORA).
L'IA est de plus en plus intégrée dans les chaînes de valeur du secteur financier, des contrôles internes aux interfaces client, mais cette intégration accroît également les risques. La BaFin souligne que les systèmes d'IA ne doivent pas être considérés comme des sujets d'innovation isolés. Ils doivent plutôt être intégrés dans les cadres existants de gestion des risques liés aux technologies de l'information et de la communication (TIC). La directive exige la prise en compte de l'ensemble du cycle de vie de l'IA, du développement et de la formation à l'exploitation, en passant par la mise hors service sécurisée et la suppression des données.
La BaFin définit techniquement les systèmes d'IA comme des systèmes de réseau et d'information, les plaçant ainsi dans le champ d'application de DORA. Cela signifie que les composants d'IA sont soumis aux mêmes risques et exigences de gestion que les autres actifs TIC. Les entreprises doivent garantir la résilience opérationnelle des systèmes d'IA face aux défaillances, à la manipulation (telle que l'empoisonnement des données) et aux cyberattaques, au-delà de la seule transparence algorithmique. Ceci s'applique en particulier aux établissements de crédit et aux entreprises d'assurance soumis aux exigences complètes de DORA.
Ces directives visent à combler le fossé entre les exigences abstraites de l'AI Act et les réalités pratiques des centres de données et des environnements cloud du secteur financier. En classifiant l'IA comme un actif TIC, la BaFin veille à ce que les réglementations existantes sur la résilience opérationnelle numérique soient appliquées. Les petites entités relevant des exigences simplifiées de DORA peuvent faire l'objet d'examens distincts.