🚧Compliance, Artificial Intelligence and Business Management: the right measure

Cette réflexion doit cerner le sujet : en quoi les outils dits d'"Intelligence artificielle" peuvent contribuer à la façon dont l'entreprise gère ses obligations de compliance.

C'est un sujet qui pose difficulté par son ampleur même et par son incertitude : en effet, pour traiter ce sujet pratique, l'on est obligé de revenir à la définition même de ce qu'est la Compliance. Si l'on considère que la Compliance est pour l'entreprise l'obligation de donner à voir d'une façon permanente qu'elle "se conforme" à la totalité de la réglementation qui lui est applicable..., alors les outils de l'intelligence artificielle seraient tout pour elles.

En effet, ils seraient la solution, par la Compliance by design, ce qui permet d'incorporer par le codage l'assurance que ce que feront les personnes dont l'entreprise doit répondre sera conforme à la réglementation, les clauses étant automatiquement écrites en "conformité" à la réglementation, celles qui ne le sont pas étant automatiquement effacées ou signalées. La Compliance by design est aussi appelée Automated Compliance : l'entreprise qui se serait bien équipée, aura acquis ou aura construit les bons algorithmes

Mais à la lecture des articles écrits par les spécialistes de la "conformité" dans les entreprises, lorsqu'ils abordent la question de l'intelligence artificielle, c'est la définition même de cette Compliance - et même du rapport entre l'entreprise et le Droit - qui y apparait dans des définitions implicitement affirmées : c'est par exemple cas de l'étude parue en 2022 : "Brave new Planes ou la conformité juridique de grands groupes aéronautiques face aux défis de l'intelligence artificielle"📎!footnote-2571. Dans cet article, la "conformité juridique" signifie l'obligation pour les entreprises de respecter le droit, l'expression de "conformité au droit positif" présentée comme une "nécessité" (ce qui est une nécessité pour chacun...) étant équivalent à "la conformité réglementaire", les auteurs notant que les textes étant nombreux, mal faits et peu unifiés autour du globe, il y a une diminution du "taux de conformité moyen des entreprises".

Ici, il n'y a pas de différence entre la Compliance et le Droit lui-même car nous devons tous respecter le Droit. Ce que l'on donne une spécificité plus grande à la Compliance, ce serait pour accroître le poids de l'obligation pesant sur les entreprises : non seulement il faut qu'elles respectent le Droit (désormais appelé "réglementations..."), mais encore c'est à elles de le rendre effectif.

Il s'agirait d'une sorte de cadeau empoisonné.

Il s'agit certes d'un "cadeau", qui leur est arrivé parce que les Etats sont devenus trop faibles pour assurer eux-mêmes l'application effective du Droit📎!footnote-2572. En outre, le Droit de la compliance est un Droit internalisé dans les entreprises, qui elles sont parfois globales, Droit devenu ainsi global, développant ainsi sous couvert d'une simple "gestion" de l'entreprise notamment par l'édiction de "normes de communauté" des normes que les ont fait désigner comme des "néo-constituants", renversant le rapport entre les entreprises et les pouvoirs souverains. 

Mais le cadeau serait "empoisonné" car qui peut rendre effectives la totalité des réglementations qui lui est applicable ? En effet, il faudrait non seulement que les entreprises respectent toutes les réglementations qui leur sont applicables mais qu'elles fassent en sorte que toutes les personnes dont elles doivent répondre les respectent effectivement. Comme le Droit de la Compliance est une branche du Droit Ex Ante, il faudrait qu'en permanence elles doivent à voir, à tous, que toutes les personnes dont elles répondent respectent effectivement la totalité des réglementations applicables

Il suffit d'énoncer cela pour prendre conscience que cette définition de la Compliance (qui est courante) engendre une tâche insurmontable : comment une entreprise, si bien gérée soit-elle, pourrait-elle tout d'abord connaître la totalité de la "réglementation" qui lui est applicable ? Elle ne le pourrait que si des outils informatiques, par leur capacité de stockage quasiment illimitée, permet d'entasser toutes les "réglementation", quelle que soit leur nature et leur provenance (n'importe quelle "norme", n'importe quelle zone géographie).

Partis sur une telle définition, les entreprises finissent par considérer avec pragmatisme que cela n'est pas possible et qu'il y aura toujours "non-conformité", par l'un ou par l'autre, dans un lieu ou dans un autre, à un moment ou à un autre. C'est ce que recouvre cette expression si étrange, mais que l'on retrouve dans tous les articles écrits par les praticiens : le "risque juridique de conformité" : c'est-à-dire (je cite) "niveau de sanction, probabilité de contrôle".

Ensuite, dans cette conception mécanique, l'entreprise devrait d'une part spontanément démontrer (donc apporter les preuves en permanence) qu'elle "se conforme" à ce qui est expressément appelé la "masse réglementaire". Pour cela, le Droit de la Compliance impose à l'entreprise de détecter toute "non-conformité", acquise ou potentielle, et de prévenir toute non-conformité. Dans cette tâche immense, il faut donc rechercher tout fait ou comportement ou information (data) qui sorte de l'ordinaire, c'est-à-dire qui signale la possible "non-conformité" passée, présente ou future : ce sont les red flags. Elle devra d'autre part calculer ce que lui coûte les diverses non-conformité (niveau de sanction, probabilité de contrôle) : les économistes 

La capacité de mise en coïncidence des situations, faits, comportements normaux, face à des situations, faits, comportements "a-normaux" va produire cette information d'anormalité. L'entreprise va alors réagir pour sanctionner (pour le passé), changer sa structure, par exemple le service en cause (pour le présent) et éduquer les personnes impliquées dont elle doit répondre à l'intérieur et à l'extérieur de l'entreprise (pour le futur).

Ainsi les algorithmes seraient l'avenir de la Compliance. C'est dans leur achat et dans leur élaboration que l'entreprise doit investir : grâce à leur capacité de calcul et de mise en coïncidence que l'entreprise pourrait donner à voir à tous, et plus spécifiquement aux parties prenantes, aux Autorités de supervision, de régulation, et aux juridictions, qu'elles se conforment en Ex Ante à toute la réglementation qui leur est applicable.

Pourquoi cela ne doit pas être ainsi ? 

Parce que le Droit de la Compliance ne se consiste pas pour l'entreprise qu'à se conformer à la réglementation qui lui est applicable : c'est à la fois moins que cela (qui peut obtenir cela...) et plus que cela (car le Droit n'est qu'un amoncellement de réglementations, et heureusement).

C'est d'ailleurs ce que les Régulateurs eux-mêmes pensent. En effet lorsqu'on lit la Recommandation émise le 21 juin 2022 par le réseau des Régulateurs à propos de la proposition de Règlement européen du 21 avril 2021 sur l'Intelligence artificielle, dans un avis 📓Pour une IA européenne protectrice et garante du principe de non-discrimination📎!footnote-2573 ,les Régulateurs recommandent que le souci de la personne soit au centre. Cela signifie qu'il doit y avoir une hiérarchie dans cette "masse réglementaire", une mise en hiérarchie et qu'au centre il y a la protection effective des êtres humains. C'est ce qu'en Droit de la Compliance l'on a désigné comme un "But Monumental"📎!footnote-2574, ce qui donne un sens à l'ensemble des divers outils de compliance maniés par l'entreprise📎!footnote-2575. 

Cela explique que face à cette première conception où l'intelligence artificielle sera la réponse à toutes les exigences de Compliance auxquelles l'entreprise, l'on doit modérer cette conception, parfois avancée, modération que l'on peut formuler de deux façons.

L'on peut en premier lieu, élaborer une critique périphérique, qui consiste à approuver ce schéma mais à estimer que cela produit des "excès". Par exemple en posant qu'il faut qu'il y ait des "limites éthiques" à ces procédés car tout connaître des "comportements anormaux" suppose la captation et le croisement d'informations sur les personnes, ce qui pose problème. De la même façon, prévenir des comportements "non-conformes" conduit à repérer des intentions malicieuses dans des organisations ou sur des visages, ce qui est "excessifs". Ainsi, l'on garde le principe, mais on veille à poser des limites, soit par d'autres "réglementations" (par exemple sur les données personnelles), soit par un souci "éthique" qui anime l'entreprise.

L'on va avoir plutôt tendance à penser les choses ainsi, par exemple aux Etats-Unis : en conserve l'efficacité de l'exigence d'une "conformité Ex Ante", mais l'on pose des limites, soit par la volonté des entreprises elles-mêmes (par exemple Apple), soit par l'intervention d'autres réglementations, le juge faisant la "balance" entre les divers intérêts servis.

Mais l'on peut en second lieu regarder d'une façon plus critique la conception même de la "Compliance" qui est ainsi servie par l'outil qu'est l' "intelligence artificielle". Car à travers ces instruments, c'est la "Compliance" comme obéissance de tous, l'entreprise et toutes les personnes dont elle répond, qui est la définition de la Compliance.

Le Droit de la Compliance est une branche du Droit si nouvelle qu'il n'est pas encore stabilisé dans sa définition. Il est sans doute néfaste de le définir comme l'obligation par les entreprises de respecter la totalité de la réglementation qui leur est applicable et de le démontrer en permanence : d'une part parce que c'est impossible et d'autre part parce que c'est contraire au principe de liberté qui est la base des systèmes démocratiques.

Le Droit de la Compliance doit se définir d'une façon substantielle, sa substance lui étant donnée par les buts que cette branche du Droit poursuit, ce qui explique d'ailleurs qu'ils puissent d'être pas les mêmes selon les zones du monde, voire selon les secteurs ni, ce qui nous intéressent plus particulièrement ici selon les entreprises, soit parce qu'elles n'ont pas le même projet technique, soit parce qu'elles n'ont pas la même conception d'un même projet technique.

Le fait que le Droit de la Compliance ait de nombreux points de contact avec d'une part les sciences de l'organisation et le management de l'entreprise d'une part et le Droit des sociétés dans l'accueil que celui-ci fait avec la gouvernance d'autre part l'éloigne de cette "conformité réglementaire" pour laquelle l'outil algorithmique pourrait presque suffire à tout.

Dans une conception substantielle, plus politique, le Droit de la Compliance trouve sa définition par rapport à des « buts monumentaux » de nature systémique, qui sont « négatifs » (éviter des catastrophes futures » (finance, numérique, climat, sanitaire, etc.), voire « positifs » (égalité effective entre les êtres humaines).

Dans cette perspective, l’intelligence artificielle prend alors une place beaucoup plus modeste. Ce n’est qu’un moyen parmi beaucoup d’autres d’avoir des informations et des alertes, mais l’essentiel est plutôt l’éducation des personnes, la « culture de compliance », les actions en justice, les décisions innovantes prises par les juges pour l’avenir, ce que ne saisissent pas les algorithmes.

En outre, la dimension très politique du Droit de la compliance, les dirigeants devant être « exemplaires », les « engagements », etc., n’en relèvent pas. Enfin les juges sont de plus en plus importants et innovants dans ce Droit de l’avenir et cette gestion de l’information, si performante soit-elle, n’interfère pas et n’en rend pas compte.

La part d’information est donc prises en compte par les algorithmes dans les algorithmes, et pas davantage.  Il ne faut donc pas donner à l’AI une place centrale parce qu’elle demande dans le quantitatif et dans l’aide, ne correspondant pas à ce sera à l’avenir le Droit de la compliance, correspondant davantage à ce qu’est la manipulation du droit conçu comme une « masse réglementaire », c’est-à-dire la confusion même entre le Droit et la réglementation (c’est-à-dire le Droit appréhendé par celui qui ne le connait pas).

La première partie de l'étude décrit la façon dont l'Intelligence artificielle est présentée lorsque l'Entreprise est censée être "toujours conforme à toutes les réglementations qui lui sont applicables", l'Intelligence artificielle pouvant être présentée comme une solution totale et infaillible. Dans cette définition cauchemar d'une entreprise obéissante dans laquelle l'Intelligence artificielle serait une solution de rêve, le prix juridique à payer est très élevé, puisque tout devient obligation de résultat et le système probatoire devient écrasant (I). 

La seconde partie de l'étude décrit la façon dont l'Intelligence est présente lorsque le Droit de la Compliance est défini non plus comme un process d'obéissance mais comme une branche substantielle du Droit définie par des "Buts Monumentaux" à atteindre, seules les entreprises en position de le faire étant concernées. L'Intelligence artificielle prend alors une part beaucoup plus modeste, limitée au premier stade de recueil de l'information, laissant les cultures juridiques et les ordres juridiques intacts, redonnant au compliance officer, data protection officer, etc., leur rôle central, pour la création d'une "culture de compliance (II).

I. L'INTELLIGENCE ARTIFICIELLE, PRESENTÉE COMME LA SOLUTION TOTALE ET INFAILLIBLE POUR L'EXPLOIT D'UNE ENTREPRISE TOUJOURS CONFORME

L'on ne sait s'il faut parler de rêve ou de cauchemar ...📎!footnote-2576, mais le plus souvent les entreprises se représentent la Compliance comme une "exigence de cauchemar," puisqu'il faudrait toujours, à travers toutes les personnes, en tous lieux et à tout moment, que tout soit conforme à toutes les règles juridiques et au-delà du juridique, que tous s'y conforment, les personnes dont l'entreprise doit répondre allant au-delà du cercle de ses employés.  

A cette sorte d'écrasement, répondrait une "solution de rêve" : la technologie, puisque l'intelligence artificielle pourrait se charger de tout. C'est souvent ainsi que les promoteurs de la compliance by design présentent la technologie, comme une solution à la fois totale et infaillible (A).  A supposer même que cela soit exact (nous verrons que c'est le point de départ qui est inexact), parce qu'on croit qu'il serait possible pour la technologie de permettre que l'entreprise "se conforme" de cette façon totale et infaillible à toutes les réglementations qui lui sont applicables, il en résulte un prix pour l'entreprise à payer : des obligations de résultat à tous les niveaux et un système probatoire écrasant (B). 

A. LE REVE TECHNOLOGIQUE DE LA SOLUTION TOTALE ET INFAILLIBLE POUR GÉRER LE "RISQUE DE CONFORMITÉ"

Les divers outils d'intelligence artificielle pourraient bien, de l'intelligence artificielle dite "faible" à l'intelligence artificielle dite "forte", constituer la solution à tout, puisque c'est là que les entreprises recrutent. Par exemple un analyste souligne : "Les banques ont énormément de datas à exploiter et de très nombreux cas d'usages. C'est un formidable terrain de jeu pour ce type de profils. La Société Générale a fait de l'exploitation des données une de ses priorités stratégiques pour améliorer ses offres de services mais aussi les usages en matière de gestion des risques ou encore de la conformité. Il compte aujourd'hui un peu plus de 350 data analystes en interne, répartis dans les différents métiers de la banque, et compte bien faire grossir ses rangs.". 

1. La technologie pour compiler la "masse réglementaire"

Comme il faudrait respecter toutes les réglementations, comme celles-ci sont d'un nombre astronomique, qu'elles veuillent de partout, il faut donc beaucoup de mémoire morte pour les stocker. Très souvent les praticiens imputent à la dégénérescence de "l'art législatif" l'avancée de l'intelligence artificiel et soutiennent que si le Législateur avait plus de tenue il ne serait pas remplacé par des robots. 

Les articles disponibles corrèlent directement le fait que les législateurs ne savent plus écrire les lois et le fait que seuls les algorithmes seraient se retrouver 

2. La technologie pour détecter sans aide humaine la non-conformité à la masse réglementaire : la compliance by design 

L'intelligence artificielle est utilisée en grande quantité, la cybersécurité n'étant qu'une sorte d'illustration de cela : en effet, il s'agit alors de repérer dans les comportements des personnes dont l'entreprise dont répondre ceux qui constituent une "faille" par rapport à cette "masse réglementaire. 

Comme dans un premier temps toute la "masse réglementaire" a été stockée et est donc en permanence activement disponible, il faudrait mais il suffirait mettre en face les comportements de tous, à tout moment et en tous lieux : si cela ne correspond pas, alors il y a un voyant qui s'allume : si cela est rouge, alors le comportement signale un "risque de non-conformité" qui est ainsi "détecté", si le voyant est orange, alors le comportement pourrait bien être constituer une non-conformité et la prudence suppose une intervention, qui peut être automatique. Si le voyant est vert, alors la sécurité a été apportée par l'intelligence artificielle à l'entreprise qui sait qu'elle a investi dans le bon outil : l'algorithme. 

Ainsi l'entreprise qui reçoit une nouvelle information produite par l'intelligence artificielle d'un red flag doit agir en conséquence. Par exemple une banque qui, grâce à l'intelligence artificielle, constate un "fonctionnement objectivement anormal d'un compte bancaire" doit, au titre de son obligation objective de vigilance, obligation-clé de la compliance bancaire, agir et son service de Compliance, dont on connait l'importance dans les Etablissements bancaires, doit transmettre immédiatement cette information et en interne et à Tracfin par une "déclaration de soupçon". 

Cela produit des "drapeaux" : les red flags, les orange flags et les green flags. La personne qui va contre un red flag sera sanctionné, l'entreprise qui reçoit des drapeaux verts s'offre une sorte d'auto-certification de conformité.

L'intelligence artificielle n'ayant pas, comme le souligne Yann Le Cun, de "sens commun", va procéder par manque de coïncidence et par coincidence entre les situations de faits dont les éléments sont captés, par les exemples les profils des personnes, et les réglementations de toutes sortes. S'il y a une proportion d'anormalités élevée, l'entreprise gérant sa gestion de risque comme elle le veut, alors le drapeau rouge se déclenche.

Par exemple l'Autorité de la Concurrence dans 

3. La technologie pour se conformer sans intervention humaine à la masse réglementaire

xx 

B. LE PRIX JURIDIQUE DE LA CONCEPTION DE L'INTELLIGENCE ARTIFICIELLE COMME SOLUTION TOTALE ET INFAILLIBLE : LA POSSIBLE GÉNÉRALISATION DES OBLIGATION DE RESULTAT, L'ALOURDISSEMENT PROBATOIRE ET DES RESPONSABILITÉS ET DES SANCTIONS

Si l'on pense que l'entreprise doit s'organise pour faire en sorte qu'en Ex Ante elle donne à voir qu'elle "se conforme" et qu'elle-même s'ajuste ce qu'il serait donc une exigence du Droit, exigence totale en ce qu'elle vise toutes les réglementations, c'est-à-dire toutes les branches du Droit, tous les systèmes juridiques car il lui faudrait respecter non seulement toutes les "réglementations locales" (puisque c'est ainsi que les non-juristes désignent les ordres juridiques....) mais encore les ordres juridiques dont elles ne sont pas sujets de droit et auxquelles elles ne sont pas rattachées par des filiales (en raison de l'effet dit "extraterritorial" du Droit de la compliance), et qu'elle peut le faire par l'Intelligence artificielle qui va embrasser toute la "masse réglementaire", qui va détecter la "non-conformité" et qui va produire la "conformité", cela va produire ce qu'il faut désigner comme un "prix juridique", qui correspond à ce que l'on appelle si étrangement le "risque de conformité".

1. La possible généralisation des obligations de résultat

xx

2. Un système probatoire de compliance écrasant

xx 

3. Des responsabilités objectives pour autrui

xx 

4. Des pénalités systémiques Ex Ante

ssss

II. L'INTELLIGENCE ARTIFICIELLE, UNE "AIDE MASSIVE" POUR LE DROIT DE LA COMPLIANCE, DÉFINI PAR SES BUTS MONUMENTAUX

Ce régime juridique décrit, dont on perçoit la tentation dans certains systèmes juridiques en distance avec l'Etat de Droit utilisant plutôt la technique juridique comme seul outil d'effectivité, d'efficacité et d'efficience, ce qui est le cas du système juridique chinois et de l'usage qu'il fait du Droit de la Compliance, découle de la définition même du Droit de la Compliance. C'est pourquoi la définition du Droit de la Compliance est si essentielle en pratique📎!footnote-2577. En effet cette nouvelle branche du Droit ne requiert pas des entreprises qu'elles "se conforment" aux réglementations. Dans un système libéral, cela n'est pas requis. Dans une société libérale, des prescriptions sont édictées et s'il s'avère que des personnes les méconnaissent, alors en Ex Post et après preuve apportée de ces violations par celui qui s'en plaint (victime ou Etat), il y a sanction ou/et réparation.  La première définition du Droit de la Compliance, pourtant si courant, est contraire à la conception libérale de notre société. Non seulement, il ne faut pas la retenir mais il faut même lutter contre elle, et ce au nom de l'Etat de Droit. 

PRÉALABLE : DÉFINITION SUBSTANTIELLE DU DROIT DE LA COMPLIANCE  PAR SES BUTS MONUMENTAUX SYSTÉMIQUES, NÉGATIFS ET POSITIFS

Ainsi le rôle d'une entreprise au regard du Droit de la Compliance n'est pas d'obéir par avance et de donner à voir à tous qu'elle obéit : son rôle est de participer à la concrétisation des très grandes ambitions que cette nouvelle branche du Droit vise. Toutes les entreprises ne sont donc pas concernées, puisqu'il faut que l'entreprise soit "en position" d'agir, Ne sont alors concernées par le Droit de la Compliance que les entreprises qui peuvent agir pour concrétiser des "buts monumentaux systémiques", c'est-à-dire des volontés techniques et politiques

A. L'ENTREPRISE, UNE ENTITÉ "EN POSITION" POUR PARTICIPER A LA CONCRÉTISATION D'UN BUT MONUMENTAL DU DROIT DE LA COMPLIANCE

1. L'intelligence artificielle, la première étape pour rassembler l'information

sss

2. La fourniture de matériau pour la compréhension du but, substance du Droit de la compliance

sss

3. Redonner au juriste et au compliance officer la place qui leur revient

sss

4. La double culture requise par la compliance by design

B. PRODUIRE LES BONNES INCITATIONS EN TROUVANT LA JUSTE PLACE DE L'INTELLIGENCE ARTIFICIELLE DANS LA CONCRÉTISATION DU DROIT DE LA COMPLIANCE

Le Droit de la Compliance repose sur la puissance des entreprises puisque ce sont elles qui, par leur position globale, leur inventivité, leur capacité d'éducation et leurs engagements, peuvent en Ex Ante concrétiser les Buts Monumentaux du Droit de la Compliance📎!footnote-2578. 

1. Ne pas mixer les "réglementations" pour que demeure les cultures juridiques, les cutlure  juridictionnelles et la performance pratique des "ordres juridiques"

sss

2. Ne pas prétendre connaître l'avenir

ss

3.Cerner les exigences mécaniques, l'intelligence artificielles et les obligations de moyens

ssss

4. Associer culture de compliance, souci de l'humains et obligations de moyens

sss