L’intégration progressive de systèmes d’intelligence artificielle dans les processus d’évaluation du risque et de décision de crédit transforme en profondeur l’architecture décisionnelle des institutions financières. Ces outils reposent sur l’exploitation de volumes croissants de données hétérogènes, historiquement constituées et fortement régulées.
Mais la véritable question n’est pas seulement celle de la performance des modèles. Elle tient à la solidité de l’infrastructure de données qui les alimente. Une intelligence artificielle n’est jamais plus fiable que la donnée sur laquelle elle s’appuie. Qualité, traçabilité, gouvernance et conformité deviennent ainsi les conditions mêmes de la soutenabilité de la décision assistée.
À l’heure où l’AI Act qualifie le scoring de crédit d’usage à haut risque, et dans un contexte où les entreprises demeurent exposées aux risques technologiques émergents, la structuration d’une gouvernance robuste ne relève plus d’un simple choix organisationnel. Elle constitue un impératif stratégique.
Dans cet entretien, Brahim Mekherbeche, Chief Data Officer, partage son analyse des conditions nécessaires à une intelligence artificielle décisionnelle maîtrisée, responsable et durable.
Juliette Haller : En quoi la gouvernance des données constitue-t-elle aujourd’hui un prérequis structurant à toute utilisation de l’intelligence artificielle dans les processus de décision de crédit ?
Brahim Mekherbeche : La gouvernance des données impose de comprendre précisément l’origine, la transformation et le cycle de vie de chaque donnée mobilisée dans la prise de décision. C’est le fondement même d’une gouvernance responsable de l’intelligence artificielle.
Une décision fondée sur des données dégradées : biaisées, incohérentes ou incomplètes, amplifie mécaniquement ces défauts. Le risque n’est pas uniquement technique : il devient juridique et réputationnel.
L’AI Act classe explicitement l’évaluation de la solvabilité et le scoring de crédit parmi les systèmes à haut risque. Cela implique un niveau d’exigence renforcé en matière de qualité des données (complétude, exactitude), de traçabilité et de maîtrise du cycle de vie des systèmes.
Dans les dispositifs d’aide à la décision financière que vous supervisez, comment distinguez-vous concrètement un simple outil d’automatisation d’un véritable système d’intelligence artificielle au sens du règlement européen sur l’IA ?
Brahim Mekherbeche : Une automatisation classique repose sur des règles définies par le métier : seuils prédéterminés, arbres de décision codés manuellement, sans apprentissage ni inférence statistique.
À l’inverse, une solution d’intelligence artificielle repose sur un mécanisme d’apprentissage. Elle produit un score ou une recommandation à partir de corrélations statistiques et peut évoluer dans le temps.
Même intégrée dans une chaîne d’aide à la décision, dès lors qu’elle influence l’évaluation du risque, elle doit être traitée comme un système d’IA, avec des exigences spécifiques en matière de sécurité, de traçabilité, de monitoring continu et de détection des biais.
Quels mécanismes de gouvernance mettez-vous en place pour garantir la fiabilité et la traçabilité des données utilisées dans les modèles ?
Brahim Mekherbeche : La gouvernance repose sur cinq axes principaux :
- La clarification des responsabilités et du périmètre des données utilisées
- L’industrialisation de la qualité des données
- La mise en place d’un dispositif de traçabilité technique permettant de suivre le cycle de vie complet des données
- Une gestion structurée des changements
- Un suivi continu en production, incluant monitoring et contrôles réguliers
La qualité des décisions algorithmiques dépend directement de la solidité de ces fondations.
Comment articulez-vous les exigences de performance des modèles avec les principes de minimisation et de limitation des finalités imposés par le RGPD ?
Brahim Mekherbeche : Chaque catégorie de données doit être justifiée au regard d’une finalité clairement définie : évaluation du risque, prévention du surendettement ou conformité réglementaire.
Le principe de minimisation impose de limiter la collecte aux données strictement nécessaires. Le privacy by design, c’est à dire, la pseudonymisation, limitation des accès et durées de conservation maîtrisées, doit être intégré dès la conception.
Lorsque le profilage ou le scoring présente un risque élevé, la réalisation d’une analyse d’impact (DPIA) devient indispensable.
Comment abordez-vous la question de l’explicabilité des décisions algorithmiques auprès des directions métiers, des clients et des autorités de contrôle ?
Brahim Mekherbeche : L’exigence d’explicabilité dépasse le seul cadre de l’intelligence artificielle. Toute décision doit pouvoir être comprise et motivée.
Les directions métiers doivent être en mesure d’expliquer les hypothèses qui sous-tendent les décisions.
Les clients doivent pouvoir obtenir des motifs compréhensibles, notamment en cas de refus.
Les autorités de contrôle doivent disposer de dispositifs permettant de démontrer l’absence de contournement ou d’opacité.
Les dispositifs de conformité (LCB-FT, KYC, Solvabilité II, RGPD) contribuent-ils à une cohérence des contrôles ou à une fragmentation de la décision algorithmique ?
Brahim Mekherbeche : Une fragmentation peut apparaître si les dispositifs sont cloisonnés. Toutefois, l’objectif demeure une couverture globale et cohérente des exigences réglementaires.
Un même contrôle peut répondre à plusieurs obligations (par exemple, KYC et RGPD). Le prérequis est de disposer d’un dispositif unifié, fondé sur un référentiel centralisé des données critiques et un référentiel commun des contrôles et indicateurs, tout en maintenant certains contrôles spécifiques lorsque nécessaire.
Où situez-vous la frontière entre un outil d’aide à la décision et une véritable décision automatisée produisant des effets juridiques significatifs ?
Brahim Mekherbeche : La frontière réside dans la réalité de la supervision humaine.
Si les collaborateurs conservent une capacité effective d’analyse et d’arbitrage, il s’agit d’un outil d’aide à la décision.
En revanche, si un système propose par défaut une décision que l’humain valide massivement sans marge réelle de correction, le dispositif s’apparente davantage à une décision automatisée.
Quels risques identifiez-vous comme les plus critiques dans l’usage de l’IA appliquée aux décisions financières ?
Brahim Mekherbeche : Les risques se structurent autour de trois axes :
- Juridique et conformité : base légale, respect des droits des personnes, non-discrimination, encadrement des décisions automatisées.
-> Des contrôles tels que le registre des traitements et la documentation réglementaire sont essentiels.
- Opérationnel : erreurs de données, régression des modèles, incidents de production.
-> Cela suppose un monitoring continu, des systèmes d’alerte, une gestion rigoureuse des changements et des plans de continuité.
- Éthique et réputationnel : exclusion de certaines populations, opacité décisionnelle.
-> La mise en place d’un comité de gouvernance IA, d’une politique d’IA responsable et d’indicateurs d’équité permet d’encadrer ces risques.
Comment anticipez-vous l’articulation entre RGPD et AI Act dans les systèmes déjà en production ?
Brahim Mekherbeche : L’approche repose sur trois étapes méthodiques :
- Cartographier les cas d’usage, modèles en production, données mobilisées et décisions impactées
- Évaluer si les systèmes relèvent de la catégorie « haut risque » et identifier les écarts avec les exigences de l’AI
- Compléter la documentation, renforcer le monitoring, structurer la gouvernance des changements et formaliser les procédures d’incident
L’objectif est d’aligner les dispositifs existants avec les nouvelles exigences, sans désorganiser l’existant.
La montée en puissance de l’IA conduit-elle à un déplacement de la responsabilité vers la gouvernance des systèmes ?
Brahim Mekherbeche : Le risque existe : la responsabilité peut sembler se déplacer vers l’outil.
Cependant, l’IA offre aussi l’opportunité de renforcer les cadres organisationnels, en clarifiant les rôles, les responsabilités et en structurant une véritable politique d’IA responsable.
An English translation of this interview is available for our international readers
Master’s student in Digital Economy Law | M2 Droit de l’Économie Numérique
Merci pour cet article qui rappelle qu’au-delà de la simple performance algorithmique, pour que l’IA devienne un véritable atout dans la finance, elle doit reposer sur des données de qualité bien gouvernées, des processus transparents et une supervision humaine constante.