Alerte CFTC : L’IA dans les Marchés Réglementés sous la Loupe

Introduction

Le 5 décembre 2024, la Commission des contrats à terme sur les marchandises (CFTC) a publié un avis du personnel concernant l’utilisation de l’intelligence artificielle (IA) par les entités régulées par la CFTC. Cet avis intervient près d’un an après que le personnel de la CFTC a lancé une demande de commentaires sur l’utilisation de l’IA dans les marchés régulés par la CFTC, qui a reçu 26 réponses et a permis d’éclairer les directives de la CFTC.

Il est essentiel de préciser que cet avis n’impose aucune nouvelle obligation de conformité aux participants du marché des dérivés utilisant des solutions d’IA. Conformément à l’approche “neutre en matière de technologie” de la CFTC, le personnel en a profité pour rappeler aux entités enregistrées qu’elles doivent continuer à respecter leurs obligations de conformité existantes, que ce soit avec l’IA ou toute autre technologie, directement ou par l’intermédiaire d’un prestataire de services tiers. L’avertissement souligne plusieurs cas d’utilisation de l’IA par les participants du marché des dérivés, ainsi que les exigences réglementaires liées à chaque utilisation.

Rostin Behnam, président de la Commission, a déclaré que cet avis constitue le premier pas de la CFTC pour s’engager avec les participants du marché sur cette question. Cependant, comme le souligne l’avis, d’autres mesures sont à prévoir. Au fur et à mesure que la technologie de l’IA évolue et que les participants des marchés dérivés développent d’autres cas d’utilisation innovants, il y a un potentiel pour de futures réglementations ou directives de la CFTC.

Nous présentons ci-dessous un aperçu des éléments clés de l’avis.

Évaluation des risques liés à l’IA

Dans cet avis, le personnel exprime clairement son attente selon laquelle toutes les entités régulées par la CFTC devront évaluer les risques liés à l’utilisation de l’IA et mettre à jour leurs politiques, procédures, contrôles et systèmes, le cas échéant, conformément aux exigences applicables de la CEA et de la réglementation de la CFTC. Que ce soit en développant leurs propres solutions d’IA ou en utilisant une offre d’IA d’un tiers, une entité régulée reste responsable de la conformité aux lois et régulations existantes. Bien que cette exigence soit formulée concernant les entités enregistrées auprès de la CFTC, tous les participants du marché devraient envisager de respecter cette norme en réalisant une évaluation des risques et en suivant des pratiques généralement admises pour le développement, l’exploitation, la fiabilité, la capacité et la sécurité des systèmes utilisant la technologie IA. À mesure que l’utilisation de l’IA évolue et que les outils existants subissent des mises à jour significatives, les participants du marché devraient également envisager de réaliser une nouvelle évaluation des risques.

Cas d’utilisation de l’IA

Voici quelques exemples de cas que le personnel a abordés, où différentes catégories d’enregistrement pourraient envisager d’intégrer la technologie IA :

1. Traitement des ordres et appariement des transactions : Les marchés à terme désignés (DCM) peuvent anticiper les transactions avant qu’elles ne soient saisies en utilisant les capacités analytiques et prédictives de l’IA, ce qui permet de réduire les latences des messages post-transaction et d’optimiser les ressources système. Il est rappelé que les DCM doivent continuer à offrir des marchés ouverts et compétitifs tout en préservant leur fonction de découverte des prix.
2. Surveillance des marchés : Les DCM et les plateformes d’exécution de swaps (SEF) pourraient utiliser l’IA pour enquêter sur les violations de règles, détecter les pratiques de trading abusives et effectuer une surveillance en temps réel du marché. Selon le personnel, l’utilisation de l’IA ne remplace pas le besoin de ressources et de personnel de conformité adéquats.
3. Mesures de sécurité des systèmes : Lors de l’utilisation de l’IA, les DCM, SEF et dépôts de données de swaps (SDR) devraient développer et maintenir des contrôles appropriés concernant (1) la gestion des risques d’entreprise, (2) la sécurité de l’information, (3) la continuité des activités et la reprise après sinistre, (4) la planification de la capacité et de la performance, (5) les opérations des systèmes, (6) le développement et l’assurance qualité des systèmes, et (7) la sécurité physique et les contrôles environnementaux. Il est noté que les organisations de compensation des dérivés (DCO) peuvent utiliser l’IA pour identifier les vulnérabilités informatiques et renforcer leurs défenses, ou pour mettre à jour le code informatique. Ces usages peuvent s’appliquer à tous les participants du marché.
4. Notifications : L’utilisation de l’IA n’élimine pas les exigences en matière de notifications. Lorsqu’un DCO, un DCM, un SEF ou un SDR apporte un changement matériel à un système automatisé qui pourrait affecter la fiabilité, la sécurité ou la capacité évolutive suffisante du système, il doit notifier le personnel en temps opportun. De plus, un DCO doit également informer le personnel de tous les changements matériels apportés à son programme d’analyse et de supervision des risques.
5. Évaluation des membres et interactions : Bien que le personnel identifie l’utilisation de l’IA par les DCO pour assurer la conformité des membres aux règles et les communications par l’intermédiaire de chatbots (surtout pour les opérations de compensation non intermédiaires), ces usages peuvent être appliqués à tous les participants du marché. Il est précisé que les DCO doivent continuer à respecter les exigences d’admission des participants et surveiller l’exposition au crédit.
6. Règlement : Les DCO peuvent utiliser l’IA pour valider des données, détecter des anomalies avant le règlement et identifier des transactions échouées. Ces usages peuvent faciliter le règlement net ou le contre-parement des positions. Le personnel rappelle que les DCO doivent continuer à finaliser le règlement en temps voulu et limiter leur exposition aux risques liés aux banques de règlement.
7. Évaluation et gestion des risques: Le personnel prévoit que les dealers de swaps peuvent utiliser l’IA pour calculer et collecter les marges pour les swaps non compensés. Dans ce cas, il est noté que les dealers de swaps devraient gérer le risque associé à un tel système.
8. Conformité et tenue de registres : D’autres entités enregistrées, comme les dealers de swaps et les courtiers en contrats à terme, pourraient utiliser l’IA pour soutenir l’exactitude et la rapidité des informations financières et des divulgations de risques fournies à la CFTC, à l’Association nationale des contrats à terme ou à leurs clients. Le personnel rappelle que les obligations de conformité pertinentes continueront de s’appliquer même si l’IA est utilisée pour satisfaire ces obligations.
9. Protection des clients : Si les courtiers en contrats à terme utilisent l’IA pour gérer les fonds séparés des clients, le personnel confirme qu’ils doivent garantir qu’ils continuent de respecter les exigences réglementaires applicables.

Déclaration de la Commissaire Johnson

La commissaire Kristin N. Johnson, qui défend depuis longtemps un renforcement de la surveillance et des mesures de protection en matière d’IA, a publié une déclaration en parallèle de la publication de l’avis. Elle y a exprimé sa vision pour la création d’un groupe de travail sur la fraude liée à l’IA au sein de la Division de l’application de la loi, ainsi que le besoin de ressources supplémentaires pour superviser efficacement les participants du marché. Elle a également appelé à une politique formelle de sanctions renforcées pour ceux qui utilisent l’IA à des fins frauduleuses ou illégales, en particulier lorsque cela concerne des investisseurs vulnérables, incluant l’utilisation de fausses réalités numériques (“deepfakes”). Enfin, la commissaire a plaidé pour un groupe de travail inter-agences axé sur l’IA et pour un dialogue ouvert visant à recueillir des informations sur l’utilisation de l’IA par les participants du marché.

Points essentiels

Les enjeux liés à la technologie IA ont retenu l’attention de la CFTC et continueront d’être une priorité, même avec la nouvelle administration. Les entités régulées par la CFTC devraient s’attendre à un engagement continu de la part de la CFTC sur ce sujet, et prendre au sérieux les attentes du personnel formulées dans l’avis, même s’il ne s’agit pas d’une directive officielle ou d’une réglementation. À la lumière de cet avis, les participants du marché pourraient envisager de documenter chaque cas d’utilisation de l’IA, les évaluations de risques réalisées et les mises à jour apportées aux politiques et procédures en fonction des risques liés à l’utilisation de la technologie IA. Tout participant au marché envisageant un nouvel outil d’IA devrait considérer ses obligations de conformité existantes et vérifier si certaines d’entre elles pourraient être affectées par l’utilisation de cette technologie.