La loi européenne sur l’IA : une opportunité, et non un risque, pour les entreprises suisses

L’intelligence artificielle a révolutionné le traitement des documents. Alors que de nombreux prestataires ne se sont lancés dans ce domaine qu’avec l’avènement des grands modèles linguistiques, Parashift travaille sur le […]


Alain Veuve : « Cessez de considérer la conformité et la performance comme des objectifs contradictoires. »

Alain Veuve : « Cessez de considérer la conformité et la performance comme des objectifs contradictoires. »

Alain Veuve : « Cessez de considérer la conformité et la performance comme des objectifs contradictoires. »

L’intelligence artificielle a révolutionné le traitement des documents. Alors que de nombreux prestataires ne se sont lancés dans ce domaine qu’avec l’avènement des grands modèles linguistiques, Parashift travaille sur le traitement automatisé des documents depuis 2018 et s’est constitué depuis lors une importante clientèle, comprenant notamment AXA, Swica, Raiffeisen, Swisscom, Mercedes, DB et Glencore.

Au fil des années, cette entreprise suisse s’est constitué une large clientèle dans les secteurs de l’assurance et de la banque, ainsi que dans le domaine de la santé. Avec la loi européenne sur l’IA et le débat actuel sur la « souveraineté numérique », un nouveau sujet occupe désormais le devant de la scène, un sujet qui concerne tous les secteurs réglementés. Dans un entretien accordé à thebrokernews, Alain Veuve, fondateur et PDG de Parashift, explique ce que les entreprises suisses et européennes doivent savoir dès à présent, comment il perçoit l’évolution du traitement documentaire basé sur l’IA, et pourquoi il estime que la réglementation n’est pas nécessairement un obstacle, mais peut également constituer un avantage concurrentiel.

Monsieur Veuve, vous avez fondé Parashift il y a huit ans, bien avant que les grands modèles linguistiques (LLM) ne démocratisent l’intelligence artificielle (IA). Qu’est-ce qui vous a poussé, à l’époque, à vous spécialiser dans le traitement automatisé des documents ? Et quels changements technologiques fondamentaux ont eu lieu depuis lors ?

En réalité, tout a commencé par un besoin pragmatique : à l’époque, nous avions nous-mêmes besoin d’une solution pour l’extraction automatique de données à partir d’une multitude de documents différents. Mes premières démarches auprès de prestataires reconnus m’ont donné à réfléchir – non pas parce qu’ils m’ont dit que c’était impossible, mais parce que leur définition de ce qu’était une « solution » et la mienne étaient fondamentalement incompatibles. Depuis lors, les progrès technologiques ont été considérables. L’essor des modèles linguistiques à grande échelle a considérablement stimulé l’intérêt du public pour l’IA, ce qui a également donné un élan considérable à nos activités ici, chez Parashift. Mais plus l’engouement grandissait, plus cela devenait évident : pour les flux de travail documentaires réglementés et à haut volume, nous n’avons pas besoin de solutions polyvalentes, mais plutôt de systèmes spécialisés fonctionnant de manière fiable et avec une précision vérifiable. Telle était notre conviction dès le tout début.

Parashift accompagne des clients issus notamment des secteurs de l’assurance et de la banque. Quels sont les points communs entre ces secteurs en matière de traitement des documents, et en quoi leurs exigences divergent-elles le plus ?

Ce qu’elles ont en commun, ce sont le volume, la diversité et les contraintes de conformité. Ces deux secteurs traitent d’immenses volumes de documents non structurés dans des environnements réglementés, où chaque décision doit être traçable. La différence réside principalement dans le contexte réglementaire. Les compagnies d’assurance traitent des types de documents particulièrement variés et sensibles, tels que les rapports médicaux, les rapports d’accident et les expertises médicales, ce qui impose des exigences élevées à l’IA. Dans le secteur bancaire, ce sont principalement les décisions de crédit et les processus KYC qui sont explicitement classés comme présentant un risque élevé au titre de la loi européenne sur l’IA. Et avec la directive DORA, une réglementation européenne contraignante supplémentaire est déjà en vigueur, qui impose une résilience opérationnelle face aux risques liés aux TIC, y compris la dépendance vis-à-vis de prestataires tiers.

Vous êtes quotidiennement en contact avec les principales compagnies d’assurance et banques en Suisse et en Europe. Quelle observation vous a le plus surpris ces derniers mois ?

L’écart entre la perception qu’ont les entreprises de leur positionnement en matière d’IA et la réalité de leur architecture est plus important que je ne l’aurais imaginé. Je m’entretiens régulièrement avec des responsables informatiques et de conformité au sein de grandes entreprises soumises à une réglementation, qui sont sincèrement convaincus que : « Nous hébergeons nos données sur des serveurs situés dans l’UE, nous sommes donc protégés. » Or, ce n’est pas le cas. Le CLOUD Act américain oblige les fournisseurs américains à remettre des données à la demande du gouvernement, quel que soit l’emplacement du serveur. La souveraineté en matière d’IA et de données relève avant tout d’un choix d’infrastructure. J’ai également été surpris ces derniers temps par la véhémence avec laquelle les décideurs européens ont inscrit la question de la souveraineté à leur ordre du jour. Au cours du premier semestre, nous avons acquis des clients – par exemple dans le secteur bancaire – pour lesquels la souveraineté était le critère numéro un. Lorsque les deux exigences principales – l’intelligence documentaire de pointe et la souveraineté – sont requises, il n’y a pratiquement aucun fournisseur en Europe.

Pour de nombreux lecteurs, la loi européenne sur l’IA reste un sujet abstrait. Pourriez-vous expliquer brièvement ce qu’elle réglemente concrètement et quelles sont les échéances particulièrement importantes à l’heure actuelle pour les entreprises des secteurs de l’assurance et de la banque ?

La loi européenne sur l’IA est la première réglementation horizontale au monde en matière d’IA. Son principe fondamental repose sur une approche fondée sur les risques : plus le préjudice potentiel pour les personnes est important, plus les exigences sont strictes. La catégorie dite «à haut risque», telle que définie à l’annexe III, revêt une importance particulière pour les compagnies d’assurance et les banques : il s’agit de l’IA utilisée dans les évaluations de solvabilité et dans les évaluations de risques pour l’assurance vie et l’assurance santé. Toute entité recourant au traitement de documents assisté par l’IA dans ces domaines est pleinement concernée. Même si la mise en œuvre de la réglementation a été reportée à plusieurs reprises, l’orientation générale reste claire. Les exigences relatives aux évaluations de conformité, à la documentation technique, aux systèmes de gestion des risques, aux obligations de journalisation et aux mécanismes de contrôle humain deviendront obligatoires. Les contrevenants s’exposent à des amendes se chiffrant en millions.

La Suisse n’est pas membre de l’UE, mais l’expérience a montré qu’elle adopte les réglementations de l’UE après un certain délai. Quelles sont les implications concrètes de la loi européenne sur l’IA pour les assureurs et les banques suisses qui exercent également leurs activités au sein de l’UE ?

On confond souvent ici deux questions qui doivent être abordées séparément. Premièrement, l’effet extraterritorial : la loi européenne sur l’IA s’applique à toute personne dont les résultats issus de l’IA sont utilisés au sein de l’UE, quel que soit le lieu où l’entreprise a son siège social. Un assureur suisse qui sert des clients en Allemagne ou en Autriche relève déjà du champ d’application de la loi pour ces activités. Deuxièmement, la question de la réglementation suisse : la FINMA s’aligne clairement sur les principes de la loi européenne sur l’IA. Quiconque met aujourd’hui en place une infrastructure conforme aux exigences de l’UE investit dans une stratégie qui restera pertinente, quelle que soit l’évolution du calendrier réglementaire suisse. Je recommande de considérer la conformité non pas comme une simple liste de contrôle, mais comme une compétence à développer.

En vertu de la loi européenne sur l’IA, quelle catégorie de risque s’applique à l’utilisation du traitement de documents par IA dans le secteur des assurances – par exemple, dans le cadre de l’évaluation automatisée des sinistres ou de l’évaluation des risques – et quelles obligations cela implique-t-il pour les utilisateurs ?

Les évaluations des risques dans le cadre de la souscription notamment pour l’assurance vie et l’assurance santé relèvent de l’annexe III de la loi européenne sur l’IA et sont donc classées comme présentant un risque élevé. En matière de traitement des sinistres, la classification exacte dépend du cas d’utilisation spécifique : dès lors que les résultats de l’IA sont intégrés dans des décisions qui affectent directement des personnes, une classification rigoureuse est obligatoire. Les obligations incombant aux exploitants – c’est-à-dire aux assureurs qui exploitent de tels systèmes – sont considérables dans tous les cas : évaluation de la conformité, documentation technique, piste d’audit complète, résultats transparents et supervision humaine vérifiable. Ce dernier point est systématiquement sous-estimé. L’article 14 de la loi européenne sur l’IA n’exige pas une supervision nominale, mais bien une supervision opérationnelle : le « vérificateur » doit disposer des outils et de l’expertise nécessaires pour réellement passer outre une décision prise par l’IA, et non pas se contenter de l’approuver sans discernement. Et ces obligations incombent au déployeur, et non au fournisseur du modèle. Notre plateforme d’intelligence documentaire offre précisément ces « garde-fous pour l’IA », même lorsque des modèles tiers sont utilisés.

De nombreuses entreprises considèrent la réglementation avant tout comme un fardeau. Vous, en revanche, affirmez que la loi européenne sur l’IA peut également constituer une opportunité. Qu’entendez-vous exactement par là ?

Dans le monde des affaires, personne n’apprécie la réglementation. On peut débattre de l’objectif et de l’intention de la loi européenne sur l’IA. Du point de vue d’un entrepreneur spécialisé dans l’IA, je souhaiterais bien sûr que le plus grand nombre possible de données soient librement accessibles. En tant que citoyen, cependant, je vois les choses un peu différemment. Il ne sert pas à grand-chose de s’attarder sur ce sujet, car en fin de compte, la loi est une réalité, et en tant qu’entreprise, vous pouvez vous en servir pour opérer de la manière la plus compétitive possible sur le marché. Chez Parashift, nous sommes spécialisés dans la création de ce pont entre les technologies d’IA documentaires les plus récentes et innovantes, d’une part, et la souveraineté et la conformité, d’autre part.

Quels conseils donneriez-vous à un assureur ou à un courtier de taille moyenne qui ne dispose pas encore d’une stratégie claire en matière de conformité à la loi européenne sur l’IA ? Par où devraient-ils commencer, concrètement ?

Commencez par recenser les cas d’utilisation, et non par évaluer la technologie. L’erreur la plus courante consiste à se demander « De quels systèmes d’IA disposons-nous ? » avant de se demander « Quelles décisions prenons-nous à l’aide de l’IA, et qui cela concerne-t-il ? ». Procédez ensuite à une évaluation honnête au regard de l’annexe III. Toute organisation dont les processus de traitement de documents alimentent des décisions en matière de sinistres ou des évaluations de solvabilité est considérée comme présentant un risque élevé. Évaluez ensuite votre fournisseur actuel d’IA au regard des obligations qui incombent au déployeur. Est-il en mesure de fournir une documentation complète relative à la conformité pour les systèmes à haut risque ? Si cela se transforme en un long processus de consultation, c’est en soi un mauvais signe.

Le terme « souveraineté numérique » fait actuellement l’objet de nombreux débats, mais il reste souvent vague. Que signifie-t-il concrètement pour le secteur de la gestion des risques, et pourquoi est-il si pertinent à l’heure actuelle ?

La souveraineté numérique n’est pas simplement un terme marketing de plus. Concrètement, cela signifie : suis-je en mesure, lors d’un audit, de fournir une réponse précise quant à la destination de mes données au cours de leur traitement, aux personnes qui y ont accès et sur quelle base juridique, et si cela est conforme à mes obligations réglementaires ? Si la réponse est « Je pense qu’il s’agit de l’instance de serveur de mon fournisseur américain située dans l’UE », cela ne constitue pas nécessairement une réponse satisfaisante. Le CLOUD Act américain crée ici une faille qui ne peut être comblée par la seule géographie de l’hébergement. Pour le secteur financier suisse, cela n’a en soi rien de nouveau : le maintien du contrôle sur les données relatives aux fonctions critiques externalisées à des tiers est depuis longtemps une exigence de la FINMA. Ce qui est nouveau, c’est le contexte : les systèmes d’IA traitent aujourd’hui les données de manière plus sensible et plus rapide que n’importe quelle technologie antérieure, et l’infrastructure réglementaire peine à suivre le rythme. Cela transforme soudainement une attente familière en un enjeu opérationnel urgent.

Selon vous, dans quels domaines les assureurs et les banques européens sont-ils les plus dépendants des fournisseurs d’IA non européens ? Et quels risques ces dépendances entraînent-elles, par exemple en matière de protection des données ou d’exigences réglementaires ?

À mon avis, c’est au niveau de la couche modèle que la dépendance est la plus forte. Les modèles linguistiques dominants, sur lesquels reposent de nombreux déploiements d’IA en entreprise, proviennent des États-Unis – ce qui signifie qu’ils sont hébergés aux États-Unis et sont donc soumis à la législation américaine. Cela vaut que le serveur physique soit situé à Zurich, Francfort ou Dublin. Ce qui retient souvent encore moins l’attention, c’est la dépendance opérationnelle. Si un flux de travail réglementé repose sur une API LLM tierce, vous êtes tributaire des décisions de ce fournisseur en matière de tarification, de disponibilité et de gestion des versions. Nous avons vu des fournisseurs cesser de proposer certains modèles ou ajuster leurs tarifs de manière à rendre non rentables des déploiements déjà en cours d’exécution. Pour les entreprises soumises à une réglementation qui ont besoin de stabilité et de prévisibilité, cela représente un risque opérationnel sérieux.

Parashift se positionne comme l’un des principaux acteurs européens dans le domaine du traitement intelligent des documents. Quel rôle joue l’implantation de l’entreprise en Suisse ou en Europe dans l’établissement d’une relation de confiance avec vos clients, en particulier dans des secteurs où la sécurité est primordiale, tels que l’assurance et la banque ?

La localisation a son importance, mais davantage pour des raisons concrètes que symboliques. Notre infrastructure est hébergée à 100 % en Suisse, en Allemagne et dans l’Union européenne. Nous n’avons pas de société mère aux États-Unis ni d’infrastructure de support dans des pays tiers, ce qui nous distingue clairement des autres prestataires. Un deuxième point important concerne la conformité réglementaire. Nous opérons dans le même cadre que nos clients. Lorsque nous préparons des documents de conformité, nous le faisons toujours conformément aux exigences de la FINMA et de la BaFin.

Avec l’avènement des modèles de langage à grande échelle (LLM), le traitement des documents a considérablement évolué. En quoi l’approche de Parashift se distingue-t-elle des solutions traditionnelles basées sur les LLM ? Et selon vous, quelles sont les limites des approches reposant exclusivement sur les LLM dans les applications où la sécurité est cruciale ?

La différence fondamentale réside dans le fait que nous développons ce que l’on appelle des « petits modèles vision-langage à usage spécifique », et non pas de grands modèles de langage génériques (LLM). Les LLM ont un champ d’application très large, ce qui fonctionne très bien pour les tâches générales. Mais lorsqu’il s’agit du traitement complexe et réglementé de documents d’entreprise, c’est là que réside le défi : ils produisent parfois des « hallucinations » et sont imprécis, ce qui est inacceptable dans un environnement d’entreprise réglementé. Se pose ensuite la question de la transparence. L’article 13 de la loi européenne sur l’IA exige des résultats traçables. Un modèle qui lit une valeur sans préciser exactement à quel endroit du document et avec quel niveau de confiance ne peut pas fournir de preuve réglementaire à cet égard. Nous fournissons non seulement le résultat du modèle, mais, grâce à notre plateforme, nous garantissons également la traçabilité complète de chaque étape du processus.

Comment l’adoption du traitement documentaire basé sur l’IA par les assureurs a-t-elle évolué ces dernières années, depuis les premiers projets pilotes jusqu’à une utilisation généralisée en production ?

Le traitement de documents basé sur l’IA existe depuis longtemps, bien avant que l’IA ne devienne une tendance et que tout le monde n’en parle. Nous avons lancé la première plateforme au monde « no-code », « cloud-first » et « AI-first » dédiée au traitement d’un catalogue de documents polyvalent, et ce type de configuration est devenu la norme. Je ne veux pas pour autant donner l’impression que tout cela est uniquement dû à notre initiative ; je pense qu’il s’agit simplement de l’évolution logique d’un domaine longtemps connu sous le nom de « capture ». Si ce parcours a débuté par l’extraction d’informations à partir de documents, il s’agit aujourd’hui bien davantage de comprendre le contenu des documents de manière globale et de s’en servir pour automatiser les processus en aval. Nous constatons également une forte croissance des cas d’utilisation dans lesquels des données documentaires prêtes pour l’IA et les modèles de langage à grande échelle (LLM) sont produites. Je pense qu’à l’avenir, chaque document entrant dans une entreprise devrait être directement acheminé vers une sorte de « data lake » au format Markdown. Ces données sont essentielles au développement d’applications d’IA spécifiques à l’entreprise.

Quelle évolution dans le domaine de l’intelligence artificielle et du traitement des documents aura le plus grand impact sur les secteurs de l’assurance et de la finance au cours des deux ou trois prochaines années ?

Ce que je prévois pour les années à venir, c’est une correction du marché, mais pas une révolution — plutôt un retour à la réalité. La première vague s’est traduite par : « Nous prendrons tout ce qui est facilement accessible », et il s’agissait principalement des grandes plateformes des géants de la technologie. Ce que nous observons aujourd’hui, c’est une deuxième tendance : les entreprises des secteurs réglementés se rendent compte que les solutions génériques ne tiennent pas leurs promesses dans leur contexte spécifique. Les questions qui se posent aujourd’hui dans le processus d’approvisionnement – à savoir la traçabilité, la souveraineté des données et les résultats déterministes – sont précisément les enjeux pour lesquels des systèmes spécialisés ont été conçus. Cette évolution va s’accélérer considérablement au cours des deux ou trois prochaines années.

Si vous deviez donner un seul conseil aux assureurs européens sur la manière de faire face à la réglementation en matière d’IA et aux évolutions technologiques, quel serait-il ?

Cessez de considérer la conformité et la performance comme des objectifs contradictoires : ce n’est pas la bonne façon d’aborder la question. Les caractéristiques qui garantissent la conformité d’un système aux réglementations – à savoir la traçabilité, la fiabilité et le contrôle architectural – sont les mêmes qui le rendent stable et digne de confiance dans les opérations de production. Ce n’est pas une coïncidence ; cela tient à l’architecture. Les entreprises qui l’ont compris très tôt prennent désormais une longueur d’avance considérable.

Les questions ont été posées par Binci Heeb.

Alain Veuve est un entrepreneur, un leader d’opinion et un expert en mutations technologiques, spécialisé dans les start-ups. Depuis 2016, lui et ses équipes travaillent sur des solutions basées sur l’intelligence artificielle.

Parmi ses projets, on peut citer la start-up spécialisée dans la comptabilité Accounto AG, la start-up PropTech Fairwalter AG et la société TYPO3 GmbH à Düsseldorf. Actuellement, en tant que PDG et fondateur de la scale-up spécialisée dans l’IA Parashift AG, il supervise l’expansion de l’entreprise.

Au cours des vingt dernières années, Alain Veuve s’est impliqué dans plusieurs start-ups, tant sur le plan financier qu’opérationnel. Dans le cadre de ces activités, il a accompagné diverses entreprises internationales et leur a fourni des conseils stratégiques dans le cadre de leur transformation numérique et de leurs initiatives en matière de commerce électronique.

Aujourd’hui, Alain Veuve est un leader d’opinion très souvent cité en matière de transformation numérique en Europe, qui intervient régulièrement lors de conférences. Ces dernières années, il a donné plus de 300 présentations. Son blog, alainveuve.com, est une source d’informations très prisée des décideurs du secteur technologique.

En 2017, Alain Veuve a été désigné comme l’une des 20 personnalités les plus influentes d’Europe par LinkedIn. XING l’a également classé parmi ses « meilleurs auteurs » en 2017. Il écrit régulièrement pour diverses publications.

Voir également : Loi européenne sur l’IA : pourquoi les entreprises doivent agir dès maintenant


Tags: #AI #AI #Banken #Banken #Catégorie à haut risque #Contrôle architectural #Dépendances #FINMA #FINMA #Fonctions #Lieu #LLM #LLM #Loi américaine sur le cloud (Cloud Act) #Loi sur l'AI de l'UE #Mesures de sécurité relatives à l'IA #Parashift #Parashift #Parashift #Plateforme axée sur l'IA #Pression liée à la conformité #Secteur à haut risque #Secteur des assurances #Souveraineté #Traçabilité