Panorama des enjeux juridiques autour de l'intelligence artificielle
Le déploiement de l’IA générative constitue une révolution technologique majeure. Elle est amenée à modifier en profondeur les services financiers traditionnels : transformation des métiers et des pratiques, notamment en matière de relation clients, développement de nouveaux produits et services, gains d’efficacité opérationnelle… Toutefois, son déploiement soulève des enjeux juridiques multiples et complexes. Le Groupe doit les anticiper pour assurer une intégration sécurisée, éthique et conforme au paysage réglementaire existant comme aux nouvelles règlementations dédiées à l’IA.
La protection des données personnelles
L’Intelligence Artificielle générative nécessite, pour être développée et utilisée, de grandes quantités de données qui contiennent très souvent des données personnelles. Au sein de l’Union Européenne, ces données sont protégées par le Règlement Général de la Protection des Données (RGPD), et dans d’autres pays (Australie, Japon, Brésil, Canada ou Inde), par des réglementations s’inspirant du RGPD. Les entreprises qui développentou utilisent des solutions d’IA générative doivent donc assurer la protection de ces données, conformément aux réglementations applicables. Celles-ci imposent généralement :
- La transparence totale sur les données collectées,
- La définition des finalités de leur utilisation,
- La mise en œuvre de mesures de sécurité pour les protéger.
La propriété des données
Certaines données nécessaires au développement de l’IA générative peuvent être protégées au titre de la propriété intellectuelle (articles de journaux, photos, contenus de sites internet ou encore livres). Leur utilisation doit impérativement se faire avec l’autorisation des auteurs concernés. A défaut,le développeur de l’IA générative et ses utilisateurs s’exposent à des sanctions, pouvant aller jusqu’à des sanctions pénales, notamment en France.
La génération de contenus par l'IA et plus particulièrement l’IA générative soulève également des questions de propriété intellectuelle. Dans la plupart des juridictions, le régime juridique de propriété intellectuelle le plus pertinent pour la protection des contenus générés est le droit d'auteur. Or, souvent, un contenu ne peut être protégé par le droit d'auteur que s'il s'agit d'une œuvre originale, ce qui requiert un niveau suffisant d'intervention humaine dans le processus de création. Une œuvre générée par une IA n’est pas nécessairement originale en soi, ce qui limite ses chances de bénéficier d'une protection juridique. L’enjeu est ici de définir si un contenu généré peut être protégé et qui en est l’auteur.
Une œuvre générée par une IA n’est pas nécessairement originale en soi, ce qui limite ses chances de bénéficier d'une protection juridique.
Les biais et discriminations
Le risque de biais et de discriminations figure au centre des préoccupations visant à assurer le développement d’une IA responsable et éthique. L’effet « boîte noire » de l’IA, dont les décisions ou les prévisions sont difficiles, voire parfois impossibles à expliquer, amplifie ce risque. Le Groupe BNP Paribas doit donc s'assurer que les systèmes d'IA qu’elle déploie ne produisent pas de discriminations, limitent les biais et délivrent des résultats explicables. En matière réglementaire, tant l’IA Act que le RGPD viennent encadrer ces aspects.
Comment la Fonction juridique du Groupe, LEGAL contribue-t-il au développement maitrisé de l’IA au sein de BNP Paribas ?
Rencontre avec Martin Pailhes, Global Manager de la Plateforme Digital&IP au sein de LEGAL, la Fonction juridique du Groupe BNP Paribas. Cette Fonction est composée de spécialistes du droit - juristes ou avocats de formation - accompagne le Groupe au quotidien : interprétation des lois, analyse des règles, gestion des risques juridiques et conseils fiables, conformes aux normes les plus exigeantes d’excellence et d’intégrité.
L’IA commence à être encadrée par de nouvelles réglementations comme en Europe avec l’EU AI Act. Comment LEGAL s’assure-t-il de leur bonne interprétation et mise en œuvre au sein du Groupe ?
Martin : C’est un défi majeur. L’EU AI Act est évidemment un texte de référence, même si l’Union européenne n’a pas été la première à légiférer sur l’IA, la Chine s’étant dotée plus tôt d’un cadre spécifique pour l’IA générative. Au sein de LEGAL, une équipe assure une veille réglementaire permanente et travaille à l’interprétation des nouveaux textes. Concernant l’AI Act, cette équipe identifie et analyse les nouvelles dispositions afin de déterminer, avec les opérationnel, leurs impacts sur notre Groupe, et d’émettre des interprétations cohérentes et alignées. Ensuite, nous traduisons ces analyses en actions juridiques concrètes.
L’objectif de LEGAL est d’accompagner au quotidien les Métiers et Fonctions, en particulier dans la mise en œuvre de ces grands textes. Par exemple, l'une des mesures de l’EU AI Act, qui est entré en application le 2 février 2025, est l’interdiction de certaines pratiques en matière d’IA.
Les équipes de LEGAL ont ainsi identifié et interprété ces dispositions, puis construit, avec les Métiers et Fonctions, un dispositif permettant à chacun de certifier l’absence de pratiques d’IA interdites.
Comment LEGAL contribue à l’intégration sécurisée de l’IA dans le Groupe via la revue des modèles d’IA ?
Martin : S’agissant de l’IA générative, les data scientistes du Groupe utilisent des Modèles de langage, dit, Large Language Model (LLM), qu’ils soient open source ou « propriétaires », c’est-à-dire appartenant à la société qui les développe et les distribue sous contrat de licence -comme ceux de Mistral AI, avec qui BNP Paribas a conclu un partenariat. Dans ces deux cas, notre principale mission consiste à identifier les restrictions d’usage (ex. une utilisation de ce LLM pour entrainer un autre LLM, par exemple) et à analyser les garanties offertes en matière de propriété intellectuelle afin de limiter les enjeux juridiques pour BNP Paribas.
Quelle est l’implication de LEGAL dans le déploiement de cas d’usage ?
Martin : Lorsqu’un Métier ou une Fonction décide d’utiliser une IA, LEGAL collabore avec d’autres Fonctions clés du Groupe, comme IT GROUP, RISK, Compliance et le Group Data Office (GDO), pour identifier les sujets juridiques (données personnelles, propriété intellectuelle, conformité à l’EU AI Act, etc.). Nous proposons ensuite des solutions adaptées pour garantir un déploiement conforme aux lois en vigueur et aux politiques internes.
Nous suivons en permanence les nouvelles interprétations des autorités et de la Cour de justice de l’Union européenne qui pourraient affecter les solutions et politiques du Groupe notamment en matière de données personnelles et de propriété intellectuelle. Par exemple, le législateur européen travaille actuellement sur l’omnibus AI Act, une révision ciblée du règlement AI Act destinée à ajuster le calendrier d’entrée en application, clarifier certaines obligations (en particulier pour les systèmes d’IA à haut risque) et harmoniser l’interprétation du texte, avec une adoption finale encore tributaire des négociations en cours entre le Parlement, le Conseil et la Commission Européenne.
Naviguer dans le paysage juridique de l'IA - de l’IA générative en particulier - constitue un défi majeur pour BNP Paribas. La compréhension et la conformité aux réglementations en vigueur (françaises, européennes ou internationales) sont essentielles pour tirer parti des avantages que peut apporter l'IA, tout en maîtrisant les risques juridiques. De cette manière, le Groupe pourra renforcer la confiance de ses clients, de ses partenaires et de ses collaborateurs, tout en se protégeant. Dans ce contexte, LEGAL joue un rôle central. La Fonction s’est structurée pour identifier ces risques très en amont afin d’y apporter des réponses juridiques adaptées et innovantes.
