Des normes de Solvabilité II en passant par la loi Pacte, la loi Sapin 2, les normes PRIIPs, la directive 4B-AML sur la lutte antiblanchiment ou encore la directive MIF 2 sur les produits financiers… l’inflation réglementaire née de la crise financière pose la question de la capacité des banques et des assureurs à se mettre en conformité. Le risque de non-conformité défini par le Comité de Bâle 1 est vaste¹ : « Un risque de sanction judiciaire, administrative ou disciplinaire, de perte financière, d’atteinte à la réputation, du fait de l’absence de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques, propres aux activités des banques ». Assurer la conformité implique donc toutes les activités de l’entreprise ainsi que les actions quotidiennes des collaborateurs et des machines. Des sociétés regtechs, éditeurs de logiciels ou start-up, ont émergé ces dernières années pour répondre à cette exigence. Elles s’appuient sur le big data, le machine learning mais aussi la biométrique, les chatbots et la blockchain pour aider les services de compliance à remplir leurs différentes missions (pilotage de la veille réglementaire, transposition des normes en outils et procédures, cartographie des risques, etc.) et traiter les énormes masses de données.

Les opportunités sont nombreuses. Selon la société d’études Juniper Research, en 2023, le marché mondial des regtechs devrait atteindre 115 milliards de dollars contre 1,8 milliard en 2018. En 2017, le cabinet d’études Thomson Reuters Regulatory Intelligence détectait une alerte réglementaire dans l’industrie financière toutes les neuf minutes dans le monde. « Le coût de la gestion de la conformité augmente de 15 % par an », indique Réda Bouakel, fondateur de Fortia, un éditeur de logiciels dédiés. « Mais le coût de la non-conformité est autrement plus lourd, sans compter le risque de réputation », ajoute le spécialiste. Selon Juniper Research, l’utilisation de l’intelligence artificielle dans ce cadre pourrait faire économiser 700 millions de dollars par an aux banques. L’ACPR a ainsi infligé en 2017 un blâme et une sanction pécuniaire de 5 millions d’euros à la Société Générale pour des manquements dans son dispositif de lutte contre le blanchiment.

Un service très attendu

« Les institutions financières doivent montrer qu’elles sont de bonne foi et qu’elles font tout pour se mettre en conformité. Cela passe par des recrutements mais aussi, de plus en plus, par l’adoption de solutions technologiques », insiste Ismaël Ziani, cofondateur de la start-up Luxia. Le superviseur voit d’ailleurs le développement des regtechs « d’un oeil extrêmement positif », déclare Pierre Bienvenu, expert au pôle ACPR FinTech Innovation.

Exposée à un cadre réglementaire plus strict que les autres continents, l’Europe est bien positionnée sur ce nouveau marché. Selon une analyse portant sur les sociétés regtechs applicables à l’assurance, réalisée en 2018 par Deloitte Conseil, deux tiers des entreprises se situent en Europe contre seulement 21 % aux États- Unis. Le Royaume-Uni compte 23 % du marché, et la France 16 %. Les nouveaux entrants se concentrent pour l’heure sur trois domaines d’application principaux.

Le premier est l’identification et la connaissance client (KYC). Les exigences en la matière sont importantes (MIFID, Code des assurances, etc.) et continuent d’évoluer – le décret du 18 avril 2018 a par exemple renforcé le dispositif français de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Le deuxième domaine a trait à la surveillance des transactions. Les institutions financières doivent en effet déposer une déclaration de soupçon à Tracfin dès qu’elles détectent des opérations douteuses (un transfert d’argent avec le Soudan, par exemple). « Des algorithmes d’intelligence artificielle pourraient permettre de réduire le nombre de faux positifs et de repérer plus précisément les transactions frauduleuses en brassant un grand nombre de données », explique Pierre Bienvenu. Le troisième domaine concerne la gestion des risques opérationnels, qui recouvre la lutte contre les fraudes internes (de type Kerviel) et externes (telles que le piratage de cartes bancaires).

Simplifier et accélérer

En matière de LCB-FT, « la multiplication des acteurs et la multi-bancarisation aboutissent à des circuits financiers de plus en plus complexes », analyse l’ACPR², qui pointe aussi l’émergence de nouveaux intermédiaires et la démocratisation de l’identification à distance. Les regtechs ont une carte à jouer dans le domaine de l’authentification et de la connaissance client, car il mobilise dans les banques et les compagnies d’assurances beaucoup de ressources humaines du fait d’outils souvent rudimentaires : recherches sur Google, constitution de tableurs Excel… La start-up KYC3 propose une solution d’intelligence artificielle capable de lire 30 000 articles de presse par jour et d’établir un rapport articulé sur un client donné. D’autres jeunes pousses promettent d’aller explorer le « dark web » pour vérifier que les clients ne sont pas associés à de la grande criminalité. Plus prosaïquement, beaucoup se positionnent sur les contrôles automatisés lors de la souscription d’un produit à distance. La société israélienne Scanovate et son homologue britannique Onfido, par exemple, ont développé des outils de reconnaissance faciale pour les documents d’identité. L’utilisateur prend un selfie que le logiciel compare à la photo de la carte d’identité ou du passeport, pour l’authentifier.

D’autres enfin poussent la connaissance client encore plus loin en se positionnant sur la finance comportementale.La start-up Neuroprofiler, par exemple,conçoit des serious games permettant à des groupescomme BPCE de dresser le profil de risque de leurs clients afin que les conseillers puissent proposer des produits correspondant à leur appétence pour le risque – dans l’assurance-vie notamment. Ce type d’outils aide les acteurs à se conformer au devoir de conseil.

De son côté, la société Fortia a élaboré une nouvelle solution, InnovaQualia, qui permet de digitaliser le cycle de vie des produits financiers comme les fonds d’investissement ou les produits bancaires et d’assurance, grâce à l’intelligence artificielle. Elle simplifie largement la création de fonds. « Les algorithmes proposent une description complète d’un nouveau fonds en fonction de critères établis par la société de gestion », explique Réda Bouakel, le président de Fortia. L’outil génère le contenu des prospectus et des key information documents (KID), met à jour automatiquement les référentiels, opère des contrôles de conformité (par exemple les restrictions d’investissement légales et statutaires) et, enfin, produit des rapports. « 60% de notre pipeline commercial se trouve dans les pays anglo-saxons », précise Réda Bouakel. L’entrepreneur fait valoir une forte accélération de la mise sur le marché du produit.

« Il faut quelques jours pour lancer un fonds avec InnovaQualia, contre 149 jours d’habitude », affirme-t-il.

Les affres de la jeunesse

Le marché est pour l’instant balbutiant. L’étude Deloitte Conseil montre que les sociétés de la regtech affichent une faible maturité à la fois en termes d’âge médian (4 ans) et d’innovation. « Beaucoup se contentent de développer une interface web d’outils déjà existants. On est pour l’instant davantage dans la “webisation” que dans l’automatisation », décrypte Julien Maldonato, associé en charge de l’innovation chez Deloitte. « Les donneurs d’ordre hésitent à adopter une solution regtech car rien ne leur garantit qu’une autre plus élaborée ne va pas sortir dans quelques mois », renchérit Charles de Maleville, associé chez PwC. Par ailleurs, les groupes financiers s’inquiètent de la pérennité des solutions proposées, sachant que, dans le numérique, la majorité des start-up disparaissent au bout de quelques années faute d’avoir trouvé leur modèle économique. Les startup du secteur souffrent en outre d’un manque de visibilité par rapport à leurs homologues de la fintech. « Même si certaines offres sont déjà opérationnelles, les regtechs se trouvent globalement dans une phase de R&D mais dans quelques années elles auront des solutions claires et pertinentes », prédit Réda Bouakel.

De plus, les acteurs financiers attendent des solutions avec des règles transparentes et facilement intégrables dans leurs systèmes d’information. Les start-up doivent donc proposer une interface ergonomique et facile à comprendre pour que l’adoption de ces outils se fasse avec le moins de résistances possibles. « Quand on approche un grand groupe bancaire, il est plus facile de commencer à travailler avec la banque privée. La banque de détail est plus digitalisée donc l’intégration du produit s’avère plus complexe », confie à ce sujet Tiphaine Saltini, PDG de la start-up Neuroprofiler. À terme, chaque institution financière opérera certainement avec plusieurs regtechs, à l’image d’un constructeur automobile, qui confie des tâches à de nombreux fournisseurs.

Une révolution en devenir

La banque Natixis collabore par exemple avec la société Luxia sur la veille juridique. La start-up a conçu une plateforme de veille réglementaire avec un moteur de recherche appelé RegMind, qui « facilite l’accès à la règle pour les juristes en faisant le lien entre les textes qui sortent et les concepts juridiques », explique Christian Le Hir, directeur juridique de Natixis et président de Luxia. La solution puise dans un entrepôt de données de plusieurs millions de documents au niveau européen : directives, articles de loi, recommandations de régulateurs, etc.

Au-delà de ces applications, la technologie offre aux services de conformité de belles promesses… qui restent à réaliser. « Nous suivons les évolutions du marché avec attention mais beaucoup d’attentes ne sont pas encore satisfaites à ce jour, reconnaît Christian Le Hir. Dans l’analyse du contrat, par exemple, les start-up n’ont pas encore atteint un niveau suffisant de maturité technique. Nous serions aussi preneurs de solutions dans la lutte contre la corruption, la déclaration des représentants d’intérêts (lobbies), la protection des lanceurs d’alerte ou encore la confidentialité des données avec le RGPD. »

Recourir aux regtechs est un moyen pour les grands groupes d’adopter des innovations de rupture et de gagner en productivité. « Dans le domaine du KYC, les nouveaux acteurs promettent de faire gagner dix minutes par client », relève ainsi Julien Maldonato.

Pourtant, jusqu’où les assureurs et les banques peuvent-ils déléguer des tâches de conformité ? Le régulateur est clair là-dessus. Dans tous les cas, l’institution financière reste responsable de la gestion de ses risques et de sa conformité. Le recours à la regtech doit répondre à la définition de l’externalisation de service. « Le contrôle des prestataires externes doit être effectif et pertinent », précise Pierre Bienvenu. L’autorité renvoie d’ailleurs au projet de guidelines sur l’externalisation de l’ABE (EBA) et de l’AEAPP (EIOPA)³.

À long terme, le changement technologique pourrait révolutionner la conformité en décentralisant l’information. Demain, les données relatives aux contrats d’assurance pourraient être inscrites par les compagnies dans la blockchain. Le régulateur accéderait alors aux données agrégées et pourrait en déduire l’exposition au risque de l’institution financière. Un autre monde…

1. Document consultatif du Comité de Bâle 1 sur la fonction de conformité dans les banques, 27 octobre 2003.
2. « La révolution numérique dans les banques et les assurances françaises, états des lieux, stratégies et défis », mars 2018.
3. https://www.eba.europa.eu/-/eba-consults-on-guidelines-onoutsourcing ; https://eiopa.europa.eu/publications/guidelines/final_en_sog_clean.pdf