Digitalisation de la conformité : les RegTechs sont-elles devenues incontournables ?

Après les FinTechs, les RegTechs prennent d’assaut les établissements du secteur financier, en automatisant les processus de vérification engagés par les départements Conformité. Dans l’attente de l’émergence d’une identité électronique fiable, ces nouveaux acteurs s’appuient sur technologies du big data, de l’intelligence artificielle et de la blockchain pour refondre la manière d’appréhender la conformité dans les établissements financiers.

* * *

Depuis une dizaine d’années, les établissements financiers font face à une inflation règlementaire (CRDIV, LCB-FT MIF2, DDA, DSP2, EMIR, AnaCredit, etc.) qui les oblige à collecter toujours plus d’informations.
Avec l’entrée en vigueur au 25 mai 2018 des nouvelles règles européennes sur la protection des données personnelles (RGPD), la collecte et le traitement de ces données génèrent par ailleurs un risque de non-conformité qu’il convient de prévenir(1).

Parallèlement, les développements technologiques associés à la digitalisation de notre économie (intelligence artificielle, big data) ont fait naître un marché du traitement des données à même de pallier aux dangers protéiformes de notre économie numérique(2). Ces développements coïncident d’ailleurs avec un cadre réglementaire rénové qui donne aux clients la possibilité d’opter pour une relation intégralement dématérialisée(3). Dans l’attente d’une identité numérique fiable de nature à limiter les risques associés à l’anonymisation de l’internet(4), le secteur financier français utilise aujourd’hui des FinTechs pour proposer à ses clients ou prospects, à travers des interfaces digitales ou phygitales (i) des solutions de biométrie pour l’intégration de ses clients (onboarding) et (ii) des outils de signature électronique pour le suivi des relations d’affaires existantes.

Dans la conformité, les développements technologiques des FinTechs intéressent au plus haut point le secteur financier, en ce qu’ils peuvent lui faire gagner en efficacité et industrialiser des tâches encore trop souvent manuelles. C’est donc naturellement que les acteurs de la place s’intéressent aux RegTechs, qui automatisent les processus de vérification engagés par les départements Conformité.

Au-delà du fait que ce nouveau marché n’appréhende pas toujours toutes les contraintes règlementaires associées à la fourniture de services au secteur financier (5) ou n’est pas à même de prendre en compte l’impact de règles nationales spécifiques, les apports de ces nouveaux acteurs sont très variés, certains se spécialisant dans l’identification des clients et prospects quand d’autres facilitent le reporting règlementaire, ou encore permettent d’identifier les opérations atypiques ou suspectes(6).
Si les RegTechs ne concourent pas toutes à la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), leur apport sur ce terrain est aujourd’hui le plus évident, alors que :
• les outils technologiques sont susceptibles de pouvoir justifier et quantifier l’efficacité LCB-FT et le caractère adapté des procédures aux risques évalués, la charge de la preuve sur ces établissements étant justement requise par les règles LCB-FT (7);

• en travaillant sur les métadonnées (big data) ou le marchine learning, les RegTechs sont particulièrement à même de détecter les « faux positifs » générés par les outils traditionnels de détection d’opérations atypiques, évitant ainsi aux acteurs de la conformité un fastidieux travail d’élimination (8);

• dans le cadre d’une relation dématérialisée (non physique), le risque d’usurpation d’identité (9) rend essentiel un processus fiable d’identification électronique (KYC), seul à même d’éviter aux acteurs financiers d’être mis en cause ;

C’est dans ce contexte que se développent des dispositifs pour :

• sécuriser les documents transmis par les clients, en privilégiant par exemple le recueil de justificatifs de domicile dont l’authenticité peut être vérifiée par une machine (scanner ou lecteur de code-barres) (10) ;

• identifier les situations de fraude (11); ou encore

• reconnaître les clients à travers leurs habitudes, leur comportement ou la probabilité qu’ils souscrivent un service (ex : utiliser un moyen de paiement sur un site internet spécifique).

Les technologies qui sous-tendent les services offerts par les RegTechs comprennent non seulement les interfaces de programmation (API) qui permettent à la solution RegTech de s’appuyer sur système d’information (12) mais surtout le machine learning (forme d’intelligence artificielle), les métadonnées ou big data (ce compris à travers le cloud computing et le data mining) mais aussi la Blockchain.
C’est à travers cette dernière technologie qu’on peut trouver des initiatives très intéressantes en Europe, en ce qu’elles partent d’une prise de conscience du secteur financier qu’il peut avoir intérêt, dans un cadre commercial attractif, à mutualiser la gestion de la relation client pour augmenter l’efficacité de son KYC, favorisant ainsi l’émergence d’une identité numérique.

C’est dans cet esprit que des banques nordiques ont lancé en mai 2018 le « Nordic KYC utility », une solution de partage des données personnelles des clients des banques participantes, qui permet à ces dernières de compléter ou d’agréger les informations concernant des clients communs.
Avant cela, IBM a apparemment pu montrer avec succès que sa plateforme test décentralisée de partage du KYC (13) constituait un outil sûr permettant aux banques de valider, conserver, partager et actualiser des données de KYC fiables concernant des clients professionnels.
En France, les règles liées au secret professionnel pourraient malheureusement compromettre l’émergence d’une telle initiative technologique, alors que la loi dispose aujourd’hui (14) qu’un tel partage d’informations couvertes par le secret professionnel implique nécessairement le consentement exprès des clients.
De fait, si le développement en France des RegTechs apparaît aujourd’hui incontournable, il n’est pas dénué de barrières à l’entrée, y compris règlementaires, parfois assez bien cachées. Une analyse au cas par cas s’impose.

 

Afin de traiter ce sujet en détail et bien d’autres questions d’actualité qui intéressent la conformité aujourd’hui, nous vous donnons rendez-vous lors de notre grand rendez-vous annuel de la conformité/compliance le jeudi 18 octobre à Paris.

Alexandre Marion
Avocat Associé
La Tour International

Maître Alexandre Marion interviendra aux côtés de grands spécialistes de la conformité lors de notre grand rendez-vous annuel d’actualité sur la conformité/compliance qui aura lieu le jeudi 18 octobre dans un grand hôtel au coure de Paris.

(1)Parmi les risques de non-conformité, on peut viser les risques de cyberattaques, celui du fondement de la collecte et de son traitement, selon qu’il nécessite ou non le consentement des personnes physiques concernées, particulièrement lorsque le traitement s’appuie sur des algorithmes.
(2) Ces dangers tiennent essentiellement aux difficultés à identifier les utilisateurs de l’économie numérique, avec un délit pénal d’usurpation d’identité numérique qui fait régulièrement l’actualité et met en évidence le problème de la protection des données personnelles et des risques règlementaires, financiers et de réputation y associés.
(3) Cf. l’entrée en vigueur de l’ordonnance n°2017-1433 et son décret d’application n°2018-229 au 1er avril 2018.
(4) A l’automne 2019. Voir sur ce sujet nos développements publiés sur LinkedIn (21 juin 2018) : La construction de l’identité numérique peut-elle se passer du secteur financier ?
(5) Qu’il s’agisse de la protection des données personnelles ou des contraintes classiques associées à l’externalisation de prestations essentielles. A noter également les risques pointés par le comité mixte des autorités européennes de supervision sur les métadonnées (Rapport du 15 mars 2018) ou encore ceux associés à l’utilisation de l’intelligence artificielle (Rapport du FSB du 1er novembre 2017). L’analyse du marché laisse même paraître certaines RegTechs qui oublient de respecter les règles de base dans la fourniture de services financiers.
(6) Une étude récente a classé 248 RegTechs en 5 catégories : la conformité, la gestion du risque, le contrôle de l’identité, le reporting règlementaire et le contrôle des transactions.

(7) Par exemple, l’article R.561-14-1 4° du Code monétaire et financier (CMF).
(8) La RegTech Scaled risk prétend ainsi assurer une diminution de 50% de ces faux positifs.
(9) Les conséquences de ces usurpations sont gravissimes, les personnes victimes devant combattre leur injuste fichage bancaire des incidents de crédits, en démontrant leur absence de négligence. De leur côté, les établissements financiers subissent la perte financière et une atteinte réputationnelle.
(10) En collaboration avec des entités privées et publiques, l’Agence Nationale des Titres Sécurisés a mis en place la solution « 2D-Doc » pour lutter contre la fraude et sécuriser les données échangées dans le secteur public ou privé. Une RegTech française, AriadNEXT, est justement devenue partenaire/éditrice de cette solution publique, pouvant ainsi la proposer à ses clients participants, en mettant en forme les données et la signature des documents au format de code à barres « 2D-Doc ».
(11) Dans le cadre d’outils utilisant l’intelligence artificielle, de nombreuses RegTech digitalisent et automatisent la validation des paiements fournisseurs pour protéger ses clients des fraudes au virement et erreurs humaines (ex : Trustpair, Fortia, Cardabel, etc.).
(12) Les API permettent d’assurer l’interconnexion de la solution technologique avec le système d’information de l’établissement financier, en reliant les bases de données publiques ou privées de personnes politiquement exposées ou de personnes sur listes noires aux fichiers de l’établissement financier (ex : Fircosoft, Invoxis, etc.).

(13) Incluant notamment Deutsche Bank, HSBC, Mitsubishi UFJ Financial Group (MUFG).
(14) Articles L.511-33 (établissements de crédit et sociétés de financement), L.522-19 (établissements de paiement), L.531-12 (entreprises d’investissement et sociétés de gestion de portefeuille) et L.526-35 (établissement de monnaie électronique).