IA : vers une compliance 2.0 ?

De plus en plus de professionnels et d’experts de la compliance plaident en faveur du développement d’une « compliance augmentée » intégrant, pour sa mise en œuvre, les nouvelles technologies dont l’IA. Mais est-ce sans risques ?

En France, la loi Sapin II a popularisé la notion de compliance en créant une obligation de vigilance contre les risques de corruption pour les grandes entreprises. Les sociétés de plus de 500 salariés et réalisant un chiffre d’affaires d’au moins 100 millions d’euros doivent adopter certaines mesures destinées à mettre en œuvre cette obligation : élaboration d’un code de conduite, d’une cartographie des risques, etc. Mais la compliance s’étend bien au-delà de cette seule obligation.

En effet, plus largement, la compliance désigne un procédé visant à ce que les entreprises respectent des normes prédéterminées par les pouvoirs publics et que la juriste Marie-Anne Frison-Roche qualifie d’objectifs « mondiaux » et « monumentaux ». Parmi ceux-ci demeurent certes la lutte contre la corruption et la transparence des marchés mais aussi la protection de l’environnement, des travailleurs, l’égalité entre les hommes et les femmes etc.

Pour respecter au mieux ces objectifs publics, les entreprises élaborent et mobilisent un certain nombre d’outils normatifs relevant du soft law comme des codes de conduite, des programmes de conformité, des chartes éthiques, des procédures d’alerte, etc. En outre, elles sont de plus en plus nombreuses à vouloir recourir aux nouvelles technologies comme l’IA afin de garantir une meilleure efficacité de la compliance. Mais cela n’est pas sans dangers.

L’IA au cœur de la compliance by design

Lors d’un discours prononcé à Berlin en 2017, Margrethe Vestager, commissaire européenne à la Concurrence, encourage les entreprises à respecter les règles antitrust au moyen d’une « compliance by design ». Puis elle précise : « Cela signifie que les algorithmes de tarification doivent être conçus de manière à empêcher toute collusion. » Depuis, certains juristes se sont approprié la formule pour évoquer la possibilité d’une compliance mise en œuvre grâce à une « autorégulation numérique » ou à l’apprentissage du droit à une intelligence artificielle.

Comme l’explique la juriste Cécile Granier dans l’ouvrage collectif « Les outils de la compliance » (2021) : « penser la compliance dès la conception [la compliance by design] suppose lors de la création d’un programme informatique – tel qu’une interface, une plateforme, une application, un logiciel ou une intelligence artificielle – de retranscrire dans sa structure même une ou plusieurs normes. La ou les règles à respecter sont intégrées au design de l’objet et en font partie intégrante. La technologie est ainsi mise au service de la compliance et devient un support de sa mise en œuvre. » Actuellement, chez certains professionnels et spécialistes en la matière, c’est l’IA qui a le vent en poupe pour devenir ce « support ».

« Les départements de compliance peuvent aujourd’hui s’appuyer sur les nouvelles technologies (IA, machine learning, base orientée graphe …) afin de détecter des signaux ou comportements caractéristiques de dysfonctionnements répréhensibles ou délictuels tels que le non-respect des process internes, la violation de réglementations ou plus spécifiquement la détection de schémas d’intrusion, de corruption, de collusion et de fraude dont nous constatons, trop souvent impuissants, l’augmentation continuelle tant en termes de complexité que de fréquence », écrivent Luc Julia, directeur scientifique de Renault, et Julien Biot-Hadar, expert de la compliance, dans une récente tribune.

Plusieurs arguments existent pour défendre leur position. D’abord, intégrant toujours plus de normes comme, entre autres, celles relevant de la responsabilité sociétale des entreprises (RSE), la compliance est toujours plus complexe et chère à mettre en œuvre. Par exemple, selon une récente étude publiée par LexisNexis et intitulée « True Cost Of Financial Crime Compliance Study », l’augmentation du volume de réglementations dans le domaine de la criminalité financière est le premier facteur de la hausse des coûts de compliance en la matière selon les professionnels interrogés et provenant de tous les continents.

Pire, 78% d’entre eux affirment que la complexité croissante de ladite réglementation freine leurs affaires. Dans ce contexte, l’accélération du développement de la compliance by design au moyen de l’IA s’avère nécessaire pour limiter les coûts de la conformité et fluidifier sa mise en œuvre.

Ensuite, l’IA offre un double avantage au compliance officer : affiner son analyse des risques et améliorer qualitativement l’exécution de sa mission. Par exemple, l’usage du machine learning non supervisé permet, en regroupant les informations selon leurs similitudes et sans règles a priori, de détecter des comportements atypiques pouvant être des anomalies imprévues. Ainsi, comme l’a récemment expliqué Jocelyn Grignon, associé chez RSM, à propos de la place qu’occupe l’IA dans la compliance, « grâce à elle, nous sommes en mesure de poser les bonnes questions et de tirer les bons fils. »

**L’IA dans la compliance : un danger ?**

Accorder une place trop importante à l’IA dans la compliance peut néanmoins comporter de grands dangers juridiques comme l’a expliqué, en 2022, la juriste Marie-Anne Frison-Roche, lors d’un colloque à la Cour de cassation et intitulé « L’intelligence artificielle et la gestion des entreprises ». Si cette technologie est utilisée comme « solution totale et infaillible » à la compliance, alors l’entreprise sera présumée capable de pouvoir se conformer, ex ante, à toutes les réglementations en vigueur la concernant.

Ainsi, en cas de litige, la charge de la preuve reposera entièrement sur elle. Pire, la professeure de droit estime même que cela peut engendrer, pour l’entreprise, des « présomptions irréfragables de non-conformité », c’est-à-dire des présomptions qui ne peuvent être ni contestées ni réfutées.

En outre, comme l’a observé celle qui est très prudente à l’égard de la compliance by design, « l’auteur des normes va considérer que c’est volontairement que l’entreprise a choisi de ne pas se conformer puisque technologiquement elle avait les moyens de se conformer totalement et d’une façon infaillible. Ça signifie que la jurisprudence – et la jurisprudence y a de plus en en plus tendance […] – va tout transformer en obligation de résultat. Elle va dire : « […] vous saviez tout, vous compreniez tout, vous anticipiez tout, donc tout est une obligation de résultat » ».

C’est pourquoi elle invite à penser la compliance à partir d’une définition « substantielle » plutôt que processuelle. Selon elle, la compliance n’est pas l’obéissance par avance à toutes les réglementations mais, simplement, la poursuite de « buts monumentaux » (parvenir à l’égalité entre les hommes et les femmes, éviter des catastrophes financières, climatiques, numériques, sanitaires, etc.) grâce à une obligation non pas de résultat mais de moyen. Dans cette conception, l’IA ne doit donc être qu’un outil limité pour la compliance : « elle doit constituer une « aide massive », sans jamais prétendre être une solution totale et infaillible, car c’est l’humain qui doit être au centre et non pas les machines ».

Luc Julia et Julien Biot-Hadar pensent aussi que l’humain doit rester l’acteur principal de la compliance. Bien que séduits par les possibilités d’usage qu’apporte l’IA pour la conformité, ils écrivent dans leur tribune précitée que « cette innovation ne marque […] pas l’arrêt des intuitions, l’originalité des approches ou simplement la richesse de l’expérience qui permettent, parfois mieux que l’automatisation numérique, de déceler des situations frauduleuses ou de bloquer des transactions suspectes. » Bref, que le compliance officer se rassure : il ne semble pas facilement remplaçable par l’IA.