L’amende record de 9 milliards de dollars (environ 8,85 milliards d’euros) infligée par le régulateur américain à BNP Paribas en 2014 pour la violation de la loi d’embargo sur l’Iran, Cuba et le Soudan est encore présente dans bien des mémoires. Les plus avertis se rappellent, courant 2018, de l’affaire Société Générale, confrontée à des allégations de corruption avec le fonds souverain libyen, qui s’est soldée par le paiement d’une pénalité d’1,3 milliard de dollars aux autorités américaines.
Entre les deux cas, qui sont fort peu représentatifs de l’évolution de la réponse pénale au niveau européen et américain, subsiste le message d’une accélération du temps de la régulation du secteur bancaire et, par extension, du secteur financier.
Les autorités de supervision nationales et européennes sanctionnent les établissements les moins résilients en matière de prévention de ces infractions, qu’il s’agisse d’un abandon du champ éthique dans la conduite des opérations au sein de leurs équipes ou du silence de la banque sur l’existence d’une transaction suspecte ou manifestement frauduleuse.
La vigilance attendue est d’une particulière intensité, au point que, parfois, ce que l’on demande à la banque consiste à détecter dans la transaction la plus insignifiante le signe d’une potentielle infraction.
Lourde de conséquences, cette vigilance conduit parfois les banques à renoncer à offrir leurs services à des clients localisés dans un paradis fiscal ou dans un territoire dans lequel l’indice de corruption est élevé.
Dans un contexte de forte interconnexion et de digitalisation des organisations, les missions qui incombent aux fonctions de compliance s’avèrent de plus en plus complexes et contraignantes, dans la mesure où le périmètre de connaissance (réglementaire, métier, business...) et de contrôle se révèle vaste et en continuelle extension, avec pour corollaire des risques de dysfonctionnements croissants et multiformes.
Une certaine méfiance n’a pas tardé à se faire sentir parmi les professionnels. Ces derniers considèrent les tâches de conformité comme un « centre de coût » ralentissant le temps de passation des transactions et rajoutant des contraintes dans le choix des clients, des partenaires ou des sous-traitants. Les fonctions de compliance devenues au fil du temps très consommatrices en ressources humaines (en moyenne entre 2,4 % à 3,7 % des effectifs totaux d’une organisation en 2019), il est donc totalement compréhensible de voir les banques se tourner vers des solutions numériques innovantes, la plus intéressante d’entre elles étant l’intelligence artificielle.
Détecter des signaux caractéristiques
Les départements de compliance peuvent aujourd’hui s’appuyer sur les nouvelles technologies (IA, machine learning, base orientée graphe...) afin de détecter des signaux ou comportements caractéristiques de dysfonctionnements répréhensibles ou délictuels tels que le non-respect des process internes, la violation de réglementations ou plus spécifiquement la détection de schémas d’intrusion, de corruption, de collusion et de fraude dont nous constatons, trop souvent impuissants, l’augmentation continuelle tant en termes de complexité que de fréquence.
La lutte contre le blanchiment de capitaux (LCB) repose pour une large part sur des dispositifs d’identification des opérations que la réglementation qualifie de douteuses. À cette fin, les banques constituent des bibliothèques de scénarios.
Compte tenu de la masse de données qu’un système informatique de banque s’avère capable de stocker, compte tenu également des volumes annuels de déclaration de soupçon, il est possible grâce à l’IA de travailler, alors, dans trois directions :
– prioriser le traitement des alertes en fonction de leur probabilité de déboucher sur une déclaration de soupçon. Les équipes se concentreront alors sur les alertes les plus prometteuses afin d’accroître la « fraîcheur » de la DS. Les alertes jugées a priori moins productives par les algorithmes pourront être traitées dans un second temps sans que cela ne détériore significativement le temps moyen de production des DS ;
– se concentrer sur les alertes les plus productrices de DS. Grâce à l’IA, les scénarios peuvent se sophistiquer et renforcer leur taux de pertinence (on passe alors d’un taux de conversion d’alerte en DS de 3 % à 10 % par exemple) sans détériorer le taux de couverture (on cible mieux sans omettre pour autant des DS que l’on aurait faites dans le scénario antérieur) ;
– trouver des nouveaux scénarios que jusque-là les experts n’auraient pas pu formaliser ou n’auraient pas détectés dans la mesure où les techniques statistiques permettent d’appréhender et de combiner des centaines de paramètres, là où l’esprit humain en maîtrisait quelques dizaines et l’analyse statistique classique, quelques vingtaines.
Un phénomène complexe
à appréhender
Dans la lutte contre le financement du terrorisme, deux éléments contribuent à rendre l’apport de l’IA particulièrement difficile. D’une part, le faible nombre de cas avérés. Par chance, ces situations relèvent de l’extrême rareté et l’analyse statistique devient, en général, caduque pour la grande majorité des établissements, faute de base d’expérimentation suffisamment large.
D’autre part, la nature du phénomène rend son appréhension complexe. Détecter au travers de ses opérations bancaires un potentiel terroriste nous fait tomber dans la théorie des signaux faibles. Il s’agit en effet d’événements peu identifiables et/ou peu fréquents qui, au terme d’une certaine période, permettent de caractériser un événement futur probable. Il convient donc d’identifier ces éléments, de les combiner et de les pondérer afin de capter le potentiel cas intéressant. La recherche de ces signaux faibles s’avère la plupart du temps longue, incertaine et souvent infructueuse.
À ce jour, la majorité des banques travaillent sur quelques éléments considérés comme évidents ou symptomatiques (un achat dans une armurerie, par exemple). Une fois répertoriés, une analyse combinatoire permet alors de rassembler un ensemble d’opérations et de clients potentiellement risqués. Leurs cas seront alors étudiés par des équipes spécialement dédiées à cette activité et les plus pertinents sont transmis aux autorités. Là encore, en fonction des équipes réunies, on peut obtenir quelques résultats souvent trop réduits et n’assurant finalement qu’une faible couverture du phénomène.
L’IA, en revanche, offre des résultats bien plus prometteurs. Les banques disposant d’une large clientèle seront, par l’importance des bases d’études dont elles disposent, à la pointe de ces travaux. Une fois les deux populations (terroristes avérés/clients sains) ségréguées, les capacités de traitements des données fournies par l’IA rendront possibles l’identification des événements (signaux faibles) jusque-là mal appréhendés par les experts ou par les statistiques combinatoires classiques. Brassant des milliards de données, des scénarios seraient alors élaborés et parviendraient à distinguer ces fameux signaux faibles. Ces modèles, une fois testés et entraînés, pourraient être partagés avec l’ensemble de la communauté bancaire et ainsi mis à la disposition des établissements ayant une surface de clients ou une exposition au risque terroriste plus réduites.
Les champs d’intérêt communs entre l’IA et la conformité apparaissent nombreux. Le croisement de ces deux disciplines conduit à une nouvelle forme de travail et à des dispositifs de maîtrise du risque de non-conformité plus efficients et plus robustes. Cette évolution s’avère si significative que l’on peut qualifier cette nouvelle étape de « Compliance 2.0 » afin de marquer la rupture avec le modèle traditionnel des dix dernières années.
Le mélange de deux cultures
L’IA nécessite l’intervention d’experts de la conformité pour les alertes les plus complexes. Disposer d’une équipe IA forme un préalable. Pour autant, il n’est pas suffisant pour assurer le succès de la « conformité 2.0 ». Une équipe de data science se caractérise par un profil, une formation, une culture et des centres d’intérêt bien particuliers. Ces équipes ont, à ce stade, peu d’habitudes de travail avec le monde traditionnel de la conformité. Le mélange des deux cultures n’a donc rien d’évident.
Le meilleur moyen de les développer passe par la conduite de projets associant des équipes de Data Scientists, Analysts, Miners et Engineers avec des groupes d’experts de conformité, et cela, sous le pilotage d’une hiérarchie présente et impliquée. Ce métissage entre experts data et experts métier autour d’une action commune offre les résultats les plus évidents et les plus rapides. En organisant une rotation parmi ces équipes en fonction des projets, la conformité élargira également la culture de l’IA au sein de ses collaborateurs. C’est à la hiérarchie de créer cet espace de travail en sortant des lignes traditionnelles des organigrammes.
Les IA ne sont cependant que des outils et n’imitent en rien le cerveau humain. Il faudra toujours l’humain pour traiter les cas inédits. Seuls les cas répétitifs pourront être traités par les IA. On parle de « simplicité intellectuelle ».
L’IA offre des capacités de traitement d’un grand volume de données, afin de mieux pointer les transactions frauduleuses. On peut dire que nous allons vers une « intellectualisation » du Compliance Officer.
L’intérêt de cette innovation est la capacité technique de ces outils à apprendre au fur et à mesure de leur utilisation à l’aide des données. Mais c’est aussi là qu’elle botte en touche. La donnée est sa ressource indispensable, sans laquelle l’algorithme ne rend pas de meilleurs résultats que l’humain. Il lui en faut des milliers pour une seule tâche que l’on songe à lui confier.
Ce processus soumet le dispositif à des erreurs potentielles, provenant d’abord de la qualité des données qu’il a consultées pour s’exécuter, mais aussi par l’effet de la nouveauté du problème, différent de ceux qui se retrouvent dans les données traitées. Ici, cette innovation ne marque donc pas l’arrêt des intuitions, ni même de l’originalité des approches ou simplement de la richesse de l’expérience. Elles permettent, parfois mieux que l’automatisation numérique, de déceler des situations frauduleuses ou de bloquer des transactions suspectes.
Depuis quelques années, les directions de la conformité, qui ont fait l’objet de renforcement et d’investissements importants, rentrent dans une phase où l’optimisation de leurs moyens devient une vraie nécessité. L’IA et les champs de travail qu’elle offre constituent, maintenant, une réelle opportunité pour ces directions. En économisant leurs moyens, en ciblant leurs véritables défaillances, en se concentrant sur les sujets le nécessitant, en optimisant l’usage de la valeur ajouté des équipes, l’IA peut résoudre une partie du paradoxe auquel les conformités se trouvent aujourd’hui confrontées. D’ailleurs, les régulateurs ne s’y trompent pas. D’une part, ils se montrent proactifs dans ce processus, d’autre part, ils cherchent à doter la profession d’un cadre réglementaire pour encadrer ces travaux. Cette évolution, l’arrivée du chiffre dans ce monde de lettres, constitue aujourd’hui un moment charnière. C’est l’instant du passage de la conformité à la « compliance 2.0 ».
