Digital compliance : quand la technologie devient indispensable

L’abondance des données, l’augmentation des capacités de stockage et la vitesse de connexion sont autant de facteurs qui élargissent le champ des possibles dans le traitement et l’analyse des informations. Les entreprises disposent donc de nouveaux outils pour mettre en place des procédures obligatoires de mise en conformité avec différentes normes. Des changements juridiques majeurs ont en effet bousculé le monde des entreprises, notamment la loi Sapin 2 pour l’antifraude fiscale et l’anticorruption et le RGPD pour la protection des données personnelles et de la vie privée. 

Terreau normatif et jeunes pousses

Depuis 2016, la loi Sapin 2 impose l’instauration de procédures de protection des lanceurs d’alerte, la création d’une cartographie des risques juridiques, l’organisation de modules de formation des opérationnels sur les règles anticorruption et la préparation des audits réglementaires respectant les 145 questions imposées par le régulateur (l’Autorité française anticorruption, AFA). Le RGPD a également apporté son lot de nouvelles directives à respecter afin d’assurer la protection des données personnelles : identification des informations récoltées et stockées par l’organisme privé ou public, encadrement de leur traitement, désignation d’un responsable dédié à la matière, etc.

Au vu de l’importance du volume de données à examiner et du degré d’exigence des différentes législations, seul un outil numérique constitue un gage de sécurité. Estampillées regtech ou legaltech, de jeunes pousses l’ont bien compris et développent ces solutions à destination de tous les acteurs concernés par la protection des données, la lutte contre la fraude fiscale, le blanchiment, ou encore la protection des lanceurs d’alerte.

Les architectes de la digital compliance

Adequacy, Data Legal Drive, Privacy on Track, Mission RGPD ou Smart Global Privacy… Toutes ces entreprises proposent des plateformes de gouvernance des données personnelles. Leurs programmes permettent de tenir un registre des traitements et des demandes d’exercice des droits des personnes (opposition, rectification, accès, portabilité, limitation, retrait de consentement, etc.) mais également de réaliser une analyse d’impact sur la vie privée et de suivre l’avancement de la mise en conformité.

Puisque la compliance RGPD, c’est également une question de culture d’entreprise, la formation y tient un rôle majeur. Les directions juridiques d’Orange (avec Djingo), d’EDF ou d’Axa (avec Maxime) l’ont bien compris et ont notamment développé un chatbot qui répond aux questions juridiques de leurs collaborateurs. Le cabinet d’avocats Altij exploite également cette technologie avec Quid-IA.

Du côté de la régulation bancaire et financière, l’accès à l’information s’avère également crucial. Regmind a développé un moteur de recherche donnant accès à toute la régulation européenne et nationale. Pour les banques internationales ayant des bureaux aux quatre coins du monde, à l’avenir, l’enjeu sera de compiler normes européennes, américaines, asiatiques et africaines... Ce que certains outils font déjà. C’est le cas de la plateforme Argos développée en interne par la Société générale qui compile les normes en vigueur partout où elle est présente. Dans une approche plus opérationnelle, les start-up Flaminem ou encore Vialink digitalisent les procédures know your customer (KYC) pour que les banques ne soient pas utilisées à des fins illicites telles que le blanchiment. Elles proposent une plateforme de mise en conformité des dossiers clients permettant de vérifier l’identité des parties prenantes à un contrat et d’évaluer les risques potentiels à la naissance d’une relation commerciale.

Du côté de la lutte anticorruption, Signalement.net ou Wizblo proposent un service numérique de lancement et de traitement des alertes. Une plateforme sécurisée recueille les signalements des crimes et délits, de toute violation grave et manifeste d’un traité international, de toute violation grave d’une loi ou d’un règlement ou de toute menace à l’intérêt général par les collaborateurs internes, externes ou occasionnels de l’entreprise. Sur ce même segment, Antiopea utilise la technologie blockchain pour garantir l’intégrité des données limitant ainsi les risques de fuite.

Sur le volet fiscal, Francis Lefebvre lance e-Compliance, une solution en ligne d’aide à la mise conformité-TVA. Les trois entités du groupe (cabinet d’avocats, éditeur juridique, organisme de formation) proposent ainsi aux directions fiscales, financières, juridiques et RH ainsi qu’aux experts-comptables un outil de mise en conformité, d’audit et de gestion des risques en matière de TVA.  Pour l’instant, outre un accompagnement documentaire et pédagogique sur l’encadrement législatif et réglementaire lié à la TVA, « e-Compliance comprend principalement sept contrôles en lien avec l’analyse de la comptabilisation et de la déclaration de la TVA (collectée et déductible) et l’analyse des livraisons intracommunautaires, mais devrait être étendu à d’autres champs, notamment en matière sociale pour l’audit de paie », comme explique l’équipe dédiée chez Francis Lefebvre. 

Accompagner la croissance numérique

Bien évidemment, ces solutions ne seront accueillies positivement que si elles sont sécurisées sur les plans juridique et informatique. Mais pas seulement. La flexibilité de l’outil représente un autre élément important, selon la directrice juridique du groupe Figaro Bénédicte Wautelet. Car le cahier des charges des directions juridiques évolue. Pour bâtir la meilleure stratégie avec les legaltechs, « une démarche de partenariat est à privilégier », indique-t-elle au cours d’un débat public. Dans ces conditions, l’utilisation d’outils legaltech est un axe de performance indéniable.

Du côté des autorités de régulation, un esprit d’ouverture est affiché. « Un bon régulateur doit être au plus près de la réalité des usages, surtout dans un secteur où la technologie évolue en permanence », indique par exemple Marie-Laure Denis, la présidente de la Commission nationale informatique et libertés (Cnil), dans un entretien à Décideurs. Au sein de son équipe a été créé un laboratoire d’innovations. Il conduit des projets d’expérimentation et de prototypage d’outils, de services ou de concepts autour des données personnelles. En 2017, la Cnil a notamment mis à disposition en open source son logiciel PIA d’analyse d’impact des traitements sur la vie privée, qui a été enrichi il y a un an de nouvelles fonctionnalités permettant notamment de créer des modèles d’analyse d’impact relative à la protection des ­données.

Une technologie bornée

Les programmes de traitement de la data peuvent être utiles compte tenu de l’inflation jurisprudentielle et pour extraire les informations de manière fine. C’est le cas en matière de compliance, principalement pour la réalisation de cartographie des risques, l’un des piliers de la mise en conformité. Mais pas uniquement. En matière de pratiques anticoncurrentielles, observe Gabriel Lluch, juriste en charge de la régulation et de la concurrence chez Orange, « il pourrait être utile d’avoir une vision agrégée de tous les résultats des actions indemnitaires et les préjudices reconnus en France et à l’étranger ».

En revanche, le droit de la concurrence s’analysant en fonction de la situation présente sur un marché donné, et étant imperméable à tout raisonnement analogique, il ne saurait se passer de l’expertise humaine qui seule permet l’appréciation d’un dossier et sa défense devant le régulateur contrairement à l’intelligence artificielle telle qu’elle existe actuellement. De même pour le choix de la base légale pour le traitement de données à caractère personnel et les opérations nécessitant un travail d’interprétation ou de mise en balance entre deux intérêts légitimes, l’intervention d’un juriste reste indispensable pour toutes les opérations à haute valeur ajoutée.

Romane Gagnant