La RegTech comme nouvelle technologie au service de la conformité

Alexane Gille
Étudiante en LLM Droit international des affaires à l’Université Paris-Panthéon-Assas, spécialiste en conformité réglementaire

Les obligations liées à la conformité, souvent désignées sous le terme de compliance, sont de plus en plus répandues à travers le monde. Ce qui a commencé comme une législation non contraignante (soft law) est progressivement devenu du droit contraignant (hard law) avec des lois telles que la loi Sapin 2 en France, le Foreign Corrupt Practices Act aux États-Unis (loi sur les pratiques de corruption à l’étranger, soit FCPA par ses sigles en anglais) et, plus récemment, le devoir de vigilance en France. Ces règles imposent aux entreprises de se conformer aux normes légales et sociales, non seulement pour leurs propres opérations, mais aussi pour surveiller en permanence leurs fournisseurs et filiales. Cela fait de la conformité réglementaire un secteur en pleine expansion, occupant désormais une place cruciale au sein des entreprises, qu’elle opère dans le secteur financier ou dans d’autres secteurs d’activité.

Les lois et sanctions à l’encontre des entreprises deviennent de plus en plus strictes, exigeant une vigilance constante. Ces règles évoluent en permanence pour s’adapter à de nouvelles réalités et visent à garantir la transparence, la protection des consommateurs, la sécurité des données et la préservation de l’environnement, tous essentiels à la bonne gouvernance et à la responsabilité sociale des entreprises. Cependant, la diligence raisonnable (due diligence) doit être menée de manière continue par les entreprises, et se conformer à ces exigences réglementaires représente un défi majeur pour les entreprises, nécessitant des ressources significatives en temps, argent et main-d’œuvre.

C’est dans ce contexte que le concept émergent de RegTech, ou technologies réglementaires, prend tout son sens. La RegTech fait référence à l’utilisation de technologies innovantes telles que l’intelligence artificielle, l’automatisation, l’analyse des données et la blockchain pour aider les entreprises à se conformer aux exigences réglementaires de manière plus efficace et agile.[1] Dans cet article, nous explorerons en détail le rôle de la RegTech comme technologie innovante pour relever les défis de conformité dans les entreprises (I), tout en examinant ses avantages (II) et ses perspectives pour le futur (III). 

  1. Les défis des entreprises face à la conformité réglementaire

Les entreprises sont confrontées à divers défis pour mettre en œuvre des mesures visant à respecter les règles de conformité réglementaire.

Le premier défi majeur réside dans la diversité des règles dynamiques et internationales. Puisque les industries s’élargissent et se spécialisent, les entreprises doivent mettre en place des programmes de conformité complexes, qui exigent une coordination entre plusieurs départements. À ce problème s’ajoute l’extraterritorialité des normes, qui oblige les entreprises internationales à mettre en place des mécanismes clairs et stricts pour respecter les régulations des pays où elles opèrent. [2]

Les conséquences d’un manquement à la conformité comprennent des amendes considérables et un impact négatif sur leur réputation. Par exemple, la banque d’investissement Goldman Sachs a été condamnée par plusieurs régulateurs mondiaux, dont le Département de la Justice (DoJ) américain, à une amende de 2,9 milliards de dollars dans l’affaire 1MDB, relative au blanchiment d’argent du fonds d’investissement malaisien en 2020, en raison de l’application extraterritoriale de la loi FCPA.[3] Pour faire face à ces défis, les entreprises se tournent vers des cabinets de conseil spécialisés pour obtenir des informations sur la conformité réglementaire. La situation se complique lorsque ces entreprises doivent garantir une conformité totale et continue aux normes, notamment en raison de l’extraterritorialité de ces règles. Elles doivent ainsi veiller à respecter les normes dans tous les secteurs d’activité internationaux et au sein de toutes les fonctions internes de l’entreprise. Que ce soit pour la chaîne d’approvisionnement, les opérations financières, la due diligence, la responsabilité sociétale des entreprises (RSE) ou les rapports extra-financiers, cette exigence rend la surveillance et le respect des cadres réglementaires particulièrement difficiles à maintenir.

Le second défi majeur des entreprises est la gestion des données. Elles doivent garantir la sécurité, la confidentialité et l’intégrité des données tout en se conformant aux exigences réglementaires et en se protégeant contre les cyberattaques.[4]La conformité réglementaire couvre le cycle de vie des données, incluant leur collecte, leur stockage et leur analyse, en veillant à la gestion d’énormes quantités de données sensibles. En Europe, les entreprises doivent respecter plusieurs réglementations cruciales. Le Règlement Général sur la Protection des Données (RGPD) impose des normes strictes pour la protection des données personnelles, tandis que la Directive sur la Sécurité des Réseaux et Systèmes d’Information (NIS2) renforce la sécurité des infrastructures critiques. Pour le transfert de données personnelles hors de l’Europe, les entreprises peuvent utiliser les clauses contractuelles types comme passeport de protection ou adopter les Binding Corporate Rules (BCR soit Règles d’Entreprise Contraignantes) pour assurer une protection uniforme au sein de leurs filiales internationales. Ces mesures sont d’autant plus nécessaires face à l’augmentation des fuites de données, souvent causées par des failles dans la mise en œuvre des protections. Par exemple, l’établissement public Pôle Emploi, aujourd’hui France Travail, a subi une cyberattaque ayant compromis les données de plus de 43 millions de personnes. Cette affaire est actuellement sous enquête par la Commission Nationale de l’Informatique et des Libertés (CNIL) pour vérifier la conformité au RGPD, avec des possibles actions de groupe ou amendes à la clé.

Les sanctions pour non-conformité, telles que les amendes financières, les atteintes à la réputation et les poursuites pénales contre les dirigeants, poussent les entreprises à respecter les réglementations. Pour éviter les erreurs et automatiser les processus, elles se tournent de plus en plus vers les nouvelles technologies. La RegTech joue un rôle clé en aidant les entreprises à identifier rapidement les risques et les obligations tout en optimisant la conformité.

  1. Avantages de la RegTech pour les entreprises

Si nous prenons comme référence la loi Sapin 2 pour les sujets de conformité, nous devons mettre en œuvre des politiques, des procédures et des cartographies des risques, ainsi qu’une évaluation des tiers (due diligence). Ces actions peuvent bénéficier d’automatisations et de l’aide de technologies telles que la RegTech, qui optimise la gestion des risques. 

La RegTech permet d’analyser de gros volumes de données, d’optimiser les processus opérationnels en automatisant les tâches répétitives, en rationalisant les flux de travail et en facilitant la conformité réglementaire en offrant une surveillance en temps réel et une gestion efficace des risques pour faire face aux défis mentionnés en (I). 

Certaines solutions RegTech, comme OneTrust, ont été développées pour classer les affaires des clients à l’aide de questionnaires personnalisés selon leur secteur ou activité, et pour émettre des alertes en cas de mise à jour d’une situation de risque. OneTrust permet ainsi aux entreprises de répertorier leurs clients dans une base de données et de détecter des signaux d’alerte critiques dans plusieurs catégories de risques (ex. paiements manqués, nouvelles réglementations sur les données informatiques, etc.). Cette solution automatisée évalue chaque tiers en fonction de la nature et du niveau de risque qu’il présente, envoyant des alertes automatiques pour les situations à risque élevé. Ainsi, les entreprises peuvent gérer plus efficacement les anomalies et les comportements suspects, renforçant leur capacité à prévenir les violations réglementaires et les fraudes tout en s’adaptant aux exigences évolutives et à l’application extraterritoriale des normes. 

En effet, l’utilisation de l’intelligence artificielle combinée à l’analyse de big data peut aider à identifier et à classifier les données sensibles, ainsi qu’à gérer les consentements des utilisateurs. Cette avancée facilite la conformité au RGPD et aux réglementations françaises de lutte contre le blanchiment des capitaux et le financement du terrorisme (LAB/FT).[5] Si l’on revient à l’exemple de la RegTech de OneTrust, sa solution Cloud permet aux entreprises de se conformer aux lois sur la protection des données, telles que le RGPD, tout en automatisant l’analyse des données.

Cependant, ces techniques d’IA ne sont pas encore largement utilisées ; en effet, elles sont en cours de développement et leur utilisation doit être progressive et contrôlée, afin d’éviter les controverses liées notamment à la justice prédictive. C’est pourquoi il est important de voir comment la RegTech pourrait affecter notre futur.

  1. Perspectives : la RegTech au service des régulateurs

En France, la Loi n° 2016-1691 du 9 décembre 2016, dite loi Sapin 2, a introduit des obligations importantes pour les entreprises en matière de conformité réglementaire. Cette législation impose des dispositifs clés tels qu’une cartographie des risques, un code de conduite, et un dispositif d’alerte interne, parmi d’autres mesures comme la formation du personnel et le contrôle interne. Ces avancées soulignent l’importance croissante accordée à la conformité. Dans ce contexte, les RegTech émergent comme des outils essentiels pour aider les entreprises à répondre aux défis de la gestion de la conformité et des risques.

Dans le domaine de la conformité, plusieurs instances et organismes peuvent agir en tant que régulateurs, en fonction du secteur d’activité et des risques spécifiques encourus par l’entreprise. Cependant, ces régulateurs se trouvent souvent confrontés à des contraintes de ressources qui limitent leur efficacité. C’est dans ce contexte que la RegTech se présente comme une solution prometteuse, offrant des moyens innovants et technologiques pour aider les régulateurs à franchir les obstacles liés à la supervision. En s’appuyant sur les nouvelles technologies pour soutenir les régulateurs, ces derniers peuvent accomplir leur mission consistant à surveiller le bon fonctionnement du marché financier, à protéger les consommateurs, ou encore à assurer la sécurité des données.

Les régulateurs peuvent recourir aux lanceurs d’alerte, un concept développé par le politicien américain Ralph Nader. Le lanceur d’alerte est une personne qui, de bonne foi et sans contrepartie financière directe, signale des informations concernant des crimes, des délits, des menaces pour l’intérêt général ou des violations de lois, de règlements ou d’engagements internationaux.[6] Cependant, ils se trouvent souvent dans une position délicate, détenant des informations sensibles et risquant de subir des conséquences sociales importantes telles que la stigmatisation, la rétorsion ou la perte d’opportunités professionnelles. 

C’est là que l’alternative des whistlebots (ou lanceurs d’alertes IA) pourrait intervenir, selon Vivienne Brand, professeure adjointe à l’Université UNSW en Australie.[7] L’IA ne souffrirait pas de la stigmatisation sociale (jusqu’à présent) et fournirait un jugement impartial sur les questions de conformité. Toutefois, l’algorithme de ces ‘whistlebots’ sera fondé uniquement sur des éléments objectifs contextualisés, ce qui ne lui permettra pas, à lui seul, d’éliminer les pratiques commerciales contraires à l’éthique. La subjectivité humaine peut être considérée comme risquée ou déraisonnable par rapport à l’IA, qui choisira une solution différente à un problème donné.[8]

Cependant, il est important de rappeler que l’éthique relève de l’humain, malgré ses imperfections, et qu’elle devrait toujours jouer un rôle fondamental dans la conformité réglementaire. Alors, dans tous les échanges impliquant l’intervention des robots, cette approche risquera-t-elle d’éliminer l’aspect éthique et humain de la prise de décision et de tendre vers une justice prédictive et mathématisée ? Pour l’instant, une solution intermédiaire semble possible, avec une intervention en deux étapes impliquant à la fois l’IA et une vérification humaine ultérieure, afin d’atteindre cet équilibre. Ce qui est certain, c’est que la RegTech jouera un rôle crucial dans l’avenir de la conformité réglementaire.

En conclusion, la RegTech utilise les nouvelles technologies pour aider les entreprises à se conformer aux réglementations et à gérer de vastes quantités de données et les risques associés. Cette approche flexible améliore la gestion interne des sociétés et renforce leur réputation à l’échelle nationale et internationale. Cependant, bien que la RegTech offre des outils puissants pour l’efficacité des processus, elle ne remplace pas le jugement humain. Par exemple, des solutions comme les alertes de OneTrust ou les systèmes de signalement comme Whistlebot peuvent identifier des signaux de risque, mais leur capacité à interpréter ces alertes est limitée, les confinant principalement à la détection de risques plutôt qu’à un traitement complet des cas. Il est donc crucial d’intégrer une validation humaine dans le processus décisionnel. À l’avenir, une collaboration étroite entre les professionnels du droit et les développeurs de technologies restera essentielle pour garantir une conformité réglementaire efficace tout en respectant les normes éthiques.


[1] ‘Qu’est-ce qu’une RegTech ?’ (Utocat, 7 July 2021)

[2] Jay McMahan, Michael Chau, ‘ Le défi des chefs de la conformité : gérer la réglementation croissante’ (Deloitte Perspectives)

[3] A. Ananthalakshmi and Rozanna Latiff, ‘Explainer: Goldman Sachs and its role in the multi-billion-dollar 1MDB scandal’ (Reuters Asian Markets, 12 October 2023)

[4] Sylvie Miet et al, ‘Les Regtech, un des métiers de la Fintech’ (KPMG France, 2019) 

[5] Commission nationale des sanctions, ‘Le dispositive LAB-FT’, publications du Ministère de l’économie française

[6] ‘LOI numéro 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte.

[7] Vivienne Brand, ‘CORPORATE WHISTLEBLOWING, SMART REGULATION AND REGTECH: THE COMING OF THE WHISTLEBOT?’ (2020) 43(3) UNSW Law Journal

[8]  Nizan G. Packin, Regtech, ‘Compliance and Technology Judgement Rule’ (2018) 93 Chi.-Kent L. Rev. 193.

Share this article
Shareable URL
Prev Post

From Catwalks to Algorithms: The Digital Evolution of Luxury Fashion

Next Post

RegTech as a new technology for compliance

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Read next