Reg Tech & innovations

Les Reg Tech sont présentées par certains comme des solutions pleines de promesses allant pouvoir automatiser, c’est-à-dire réduire les coûts et sécuriser, l’ensemble des tâches relevant des domaines de compétence régaliens de la fonction Conformité. Les contacts que nous entretenons avec nos clients historiques et les nouveaux entrants nous permettent d’affirmer, de manière plus nuancée, que les Reg Tech sont en mesure d’améliorer certains maillons des chaînes de valeur conformité, en pratique sur les tâches les plus répétitives et les plus consommatrices en données (collecte KYC, reporting transactionnel, détection des anomalies).

Les processus de collecte documentaire KYC sont coûteux, redondants et sources d’irritants commerciaux. Forts de ce constat, les acteurs n’ont pas attendu les RegTech pour construire des bases de données internes ou pour proposer des solutions dites « KYC Utility » visant à mutualiser les informations entre plusieurs établissements (par exemple, les solutions de Swift, de Thomson Reuters et de Markit). 

Pour permettre une meilleure distribution des informations à toutes les entités d’un même groupe (dans la limite des restrictions imposées par les réglementations), des établissements déploient aujourd’hui en interne des blockchain KYC privées sur le périmètre de leurs propres clients et contreparties. Mais pour des groupes à modèle de booking centralisé (où les clients ne sont pas partagés entre plusieurs entités) ou pour des clients / tiers qui sont par nature des relations avec plusieurs groupes bancaires (grands corporates avec opérations syndiquées, institutions financières, contreparties de marché, opérations de trade finance, etc.), la voie pour rechercher des gains scalaires est d’aller vers des blockchains décentralisées et réalisées en consortium regroupant plusieurs groupes financiers (cf. les POC menés en 2018 sur la blockchain Corda du consortium R3 et sur les blockchains KYC d’IBM).

Dans ce cas, les gains en matière de mutualisation dépendent non seulement du type de clientèle et de l’intensité de la multi-bancarisation, mais aussi de la proximité des réglementations applicables aux différents participants (types de formats documentaires et listes de pièces exigées par chaque régulateur national) et de leur capacité à aligner les processus internes.

En pratique, deux grands modèles de blockchains KYC décentralisées peuvent être distingués. Dans l’un, les banques participantes peuvent en théorie échanger directement entre elles toute l’information disponible. Dans l’autre, de type « self sovereign », les clients restent maîtres de la diffusion des documents qui les concernent. Seul ce deuxième modèle est juridiquement compatible avec la diversité des réglementations applicables en matière de LCB-FT (K. Ruter, R3, 2018, If at First you Don’t Succeed, Try a Decentralized KYC Platform ?), mais la volonté à adhérer au processus de mutualisation proposé peut se poser du point de vue client. 

La technologie blockchain peut aussi permettre de mutualiser les tâches certifications et les analyses KYC à mener lors des entrées en relation.

Toutefois, cette possibilité est difficile à exploiter, parce que dans la plupart des juridictions, un établissement ne peut pas se prévaloir des diligences et analyses LCB-FT réalisées par un autre. La technologie blockchain n’est pas non plus aussi rapide, légère, facile à implémenter et auto administrée que certains l’affirment. Par exemple, une blockchain partagée entre plusieurs établissements nécessite une gouvernance en matière de standards, d’interopérabilité et d’opéabilité technique (Oldfield & all, Foundations of DLT : Non-functional Considerations, 2016, R3). Une blockchain décentralisée et partagée ne peut non plus éliminer les comportements en « passager clandestin », où la charge de la collecte se concentrerait sur certains participants seulement.

Enfin, quitte à enfoncer une porte ouverte, une blockchain ne peut pas miraculeusement créer les documents KYC et ne permet pas non plus de minimiser le coût et la pénibilité de l’acquisition documentaire initiale ou de son renouvellement, étapes où l’expérience utilisateur est un élément clé.
C’est précisément là où interviennent les technologies dites biométriques et de reconnaissance automatique de documents, aujourd’hui matures (mais pas toujours non plus exemptes de lourdeurs pour les clients, ni exemptes d’interventions manuelles dans les middle / back), qui permettent de dématérialiser et industrialiser les processus d’entrée en relation. Ces solutions sont plus faciles à implémenter dans les pays où les régulateurs y sont les plus favorables, quitte à bénéficier ensuite – comme le font certaines néo-banques – des règles de passeport européen pour opérer de manière optimisée dans l’ensemble de l’Union.

Plus largement, les technologies dites de RPA permettent de traiter l’information réglementaire selon des protocoles stabilisés et de manière plus rapide que ne le ferait un opérateur humain, qu’il s’agisse de processus LCB-FT (remplissage, agrégation et mises en forme de données) ou de reporting transactionnel (MiFID2, EMIR, etc.). 

C’est en matière de détection et de traitement des anomalies que les Reg Tech nous semblent les plus prometteuses.

Les algorithmes d’intelligence artificielle (IA) peuvent effectuer des analyses de corrélation, distinguer des similarités dans les comportements, clustériser des données a priori non organisées, au contraire des solutions de marché commercialisées ces dernières années qui, reposant sur des systèmes experts, se limitent à pouvoir extraire de bases de données des éléments répondant à un certain nombre de scénarios et à des seuils pré-paramétrés.

Il reste que les scénarios utilisés par ces systèmes experts sont faciles à comprendre et, surtout, à expliquer en cas de contrôle des superviseurs, ce qui n’est pas un mince avantage compte tenu du montant des amendes encourues et aux yeux de corps de contrôle parfois hésitants face à l’innovation. 

Cet avantage justifie-t-il encore de ne pas recourir à l’intelligence artificielle ?

Des solutions d’IA pour la détection des fraudes internes et externes (opération de marché, paiement) existent, fonctionnent et possèdent des arbres de preuve permettant d’assurer la piste d’audit. Mais il n’est pas certain que la mise en place d’un système d’IA réduise dans un premier temps le nombre de faux positifs ; en outre, certaines technologies d’intelligence artificielle (deep learning) nécessitent du temps pour procéder à une bonne labellisation des données.

Parler de Reg Tech porte à confusion. Notre conviction est que la part des choses doit être faite entre des technologies réellement innovantes (blockchain, intelligence artificielle : technologies qui peuvent d’ailleurs très bien être mises à profit dans des développements internalisés) et les sociétés qui viennent proposer des produits innovants qui, s’ils ne sont pas tous fondés sur ces technologies, n’en restent pas moins intéressants pour transformer des contraintes réglementaires en avantage compétitif (en matière de coûts et en matière d’expérience utilisateur). 

Finalement, illustration d’un marché encore en devenir et concurrencé par les développements réalisés en interne, en consortium ou par de très grands acteurs (on pense à la blockchain d’IBM), les Reg Tech lèvent de plus en plus de fonds (deux fois plus en 2018 qu’en 2016) mais pour des montants encore faibles comparé aux néo-banques et qui concernent encore principalement les premières étapes du cycle d’investissement.