L’IA et la finance. | © Adobe Stock
Les banques centrales sont parmi les institutions publiques qui disposent des plus grands volumes de données. À mesure qu’elles modernisent les paiements dématérialisés et la supervision financière, les outils d’analyse basés sur l’intelligence artificielle (IA) et les technologies de supervision (SupTech) leur permettent d’établir des liens entre leurs grands ensembles de données. Ce faisant, ces outils renforcent la capacité des banques centrales à inférer des informations sur les personnes morales et physiques, qui vont au-delà de ce que contient un ensemble de données.
Dans bon nombre de marchés émergents et d’économies en développement (EMDE), les banques centrales sont appelées à tirer davantage parti de leurs données, et ce pour accélérer les paiements, mieux détecter les risques et renforcer les capacités de supervision. Or, ces avancées sont souvent mises en œuvre alors même que la protection des données, la supervision et les mécanismes de recours restent à perfectionner.
Il est essentiel de veiller à ce que la gouvernance s’adapte à la capacité croissante d’inférence des banques centrales pour garantir l’inclusion financière, la confiance dans les institutions et la légitimité de la réforme numérique du secteur financier. Comme le souligne un récent rapport de la Banque mondiale sur l’IA au service de la supervision du secteur financier (a), les autorités de surveillance des EMDE considèrent déjà la confidentialité des données, la sécurité et la cybersécurité comme des défis majeurs à l’heure de l’adoption de l’IA.
L’inférence basée sur l’IA soulève une question juridique plus épineuse : il ne s’agit pas seulement de savoir quelles données sont détenues, mais aussi ce qui peut en être déduit et comment ces inférences sont régies et encadrées par les différents services de la banque centrale.
L’inférence change la donne en matière de protection des données
Les banques centrales appliquent divers cadres de protection des données (tableau 1). Néanmoins, ces dispositifs présentent la même lacune, tant dans les économies à revenu élevé que dans les EMDE : les banques centrales reconnaissent certes qu’elles traitent des données à caractère personnel, mais leurs documents publics sur la protection des données (par exemple, la politique de protection des informations personnelles de la Banque centrale d’Afrique du Sud [a]) ou leurs stratégies en matière d’IA (comme celle de la Banque d’Angleterre [a]) n’expliquent pas clairement comment sont encadrés le profilage ou l’inférence dérivés de l’IA.
Les droits en matière de protection des données ne peuvent être exercés de manière effective sans transparence quant à la manière dont les données à caractère personnel sont traitées. Dans les pays en développement, l’opacité accroît le risque que les individus soient exposés au contrôle des institutions publiques et à la surveillance de l’État, avant que les cadres juridiques existants ne puissent les protéger. Par exemple, les tribunaux kényans ont suspendu le programme d’identité numérique Huduma Namba jusqu’à ce que des garanties juridiques adéquates soient mises en place, ce qui illustre à quel point l’infrastructure numérique d’un pays peut devancer la législation.
L’analyse approfondie des informations permet de dégager toute une série d’inférences, notamment à partir de jeux de données existants. L’ensemble de données AnaCredit de la Banque centrale européenne (BCE), qui recense les prêts accordés à des personnes morales (et non à des particuliers) en est un bon exemple. En 2025, la BCE a reconnu qu’une personne physique pouvait être identifiable (a) lorsque l’intitulé d’une personne morale comprenait le nom d’une personne ainsi qu’une adresse. Cela montre à quel point les activités de supervision des institutions peuvent avoir des implications en matière de données à caractère personnel. En outre, les analyses basées sur l’IA augmentent le risque de possibilités d’identification ou d’« identités inférées » (a) avant même que les informations ne soient officiellement reconnues ou classées comme données à caractère personnel.
Paiements dématérialisés et MNBC
Ces enjeux sont particulièrement manifestes dans les systèmes de paiement. Si les banques centrales n’ont généralement pas accès aux données relatives aux transactions de détail, la situation peut changer lorsqu’elles gèrent des infrastructures de paiement de détail ou des systèmes de monnaies numériques de banque centrale (MNBC) qui centralisent les flux transactionnels. Par exemple, au Brésil, le système de paiement rapide PIX permet à la Banque centrale du Brésil d’avoir une visibilité sur toutes les transactions effectuées sur cette plateforme.
À partir des données de paiement, l’IA peut déduire des informations qui vont au-delà des finalités pour lesquelles ces données ont été initialement collectées. Cela revêt une importance particulière dans le domaine des paiements dématérialisés et des MNBC, sachant que les décideurs politiques s’efforcent déjà de trouver un équilibre entre la protection des données et des objectifs juridiques tels que la lutte contre le blanchiment des capitaux et le financement du terrorisme. Bien que, dans ce contexte, le traitement des données à caractère personnel soit généralement justifié par une obligation légale ou l’intérêt public, des dispositions juridiques larges peuvent néanmoins permettre des analyses transactionnelles approfondies et un profilage fondé sur des inférences, comme l’évaluation ou la catégorisation des individus.
Pour les économies en développement, les enjeux sont considérables. Selon le rapport de la Banque mondiale sur la supervision de l’IA, l’évaluation de la solvabilité par l’IA est courante dans certains pays africains, en partie parce que de nombreux consommateurs ne disposent pas d’antécédents de crédit officiels. Les risques deviennent critiques lorsque des alertes générées par l’IA déclenchent un examen approfondi sans véritable contrôle humain ni garanties permettant de corriger les erreurs. Dans les pays qui mettent en place des systèmes de paiement rapides et des MNBC pour faire progresser l’inclusion financière et les objectifs de l’économie numérique, de telles erreurs d’appréciation peuvent affecter de manière disproportionnée les personnes les moins à même de les comprendre ou de les contester. Dans ce contexte, une gouvernance défaillante des inférences peut dissuader la participation et compromettre les objectifs de développement que ces systèmes sont censés promouvoir.
Ce qui doit changer
Les mesures de protection doivent évoluer à mesure que les systèmes d’IA acquièrent davantage d’autonomie et deviennent capables d’agir sur la base d’inférences. Elles doivent s’appliquer aux informations qui sont générées, aux actions qui sont déclenchées et aux vulnérabilités (a) associées aux outils basés sur l’IA.
Ces questions ne doivent pas être traitées uniquement par le biais des lois sur la protection des données ou des cadres de gouvernance de l’IA en cours d’élaboration. Elles doivent également faire l’objet de règles encadrant les fonctions des banques centrales, telles que les systèmes de paiement et les pratiques de supervision1, ainsi que de recommandations pratiques et d’une gouvernance des outils d’IA.
Trois priorités s’imposent donc pour les économies émergentes et en développement :
1. Transparence institutionnelle. Les banques centrales devraient tenir un inventaire des outils basés sur l’IA, décrire l’objectif de chacun d’entre eux ainsi que les types ou catégories de données à caractère personnel qu’ils sont susceptibles de traiter, préciser s’ils influencent les décisions et de quelle manière, et s’ils génèrent ou s’appuient sur des inférences concernant des personnes, notamment celles qui n’ont pas fourni directement leurs données.
2. Contrôle humain effectif. Le contrôle doit s’appuyer sur des évaluations continues des risques tout au long du cycle de l’analyse, ce qui implique une intervention humaine effective, un examen indépendant, des analyses d’impact, des registres vérifiables et la possibilité de contester les décisions. Cette démarche est essentielle dans de nombreux pays en développement, car les voies de recours juridiques peuvent être limitées ou coûteuses.
3. Séparation des données et contrôles. L’établissement de règles claires en matière de partage et de réutilisation des données, la mise en œuvre de contrôles d’accès et l’utilisation de technologies renforçant la protection de la vie privée peuvent contribuer à prévenir les dérives fonctionnelles, les conséquences des inférences et l’utilisation abusive des données à des fins de contrôle politique. Dans les EMDE, les mesures de protection doivent être proportionnées, fondées sur les risques et adaptées aux capacités locales.
Pour les banques centrales, une gouvernance efficace est essentielle à la protection des données personnelles à l’ère de l’intelligence artificielle. Le risque que ces outils puissants prennent le pas sur les mécanismes de contrôle est réel et imminent. Toutefois, grâce à la transparence institutionnelle, au contrôle humain et à des mesures rigoureuses de gestion des données, les banques centrales peuvent renforcer leur gouvernance tout en augmentant leur capacité d’inférence. Le défi à relever consiste à exploiter ces outils de manière à favoriser l’inclusion financière et à préserver la confiance du public dans la transformation numérique.
________________________
1 Voir : BIS (2025) Governance of AI adoption in Central Banks et BIS (2025) Governance and implementation of AI in Central Banks ; FMI (2025) Working Paper toolkit on AI Projects in Financial Supervisory Authorities ; OCDE (2024) Regulatory Approaches to AI in Finance et OCDE (2026) Supervision of AI in Finance.
Prenez part au débat