Aug. 7, 2019

Publications

Concevoir la Compliance comme une mécanique, devant être confiée à une machine : la bonne idée de General Electric. Vraiment la bonne voie ?

by Marie-Anne Frison-Roche

 

La filiale de General Electric (GE) spécialisée dans le digital, GE Digital l'explique clairement dans une déclaration du 6 août 2019

L'entreprise expose que les entreprises du secteur de l'énergie sont soumises à de très nombreuses exigences, dont la violation est très coûteuse aux opérateurs assujettis.

GE Digital, en tant qu'elle connaît la spécificité du secteur, l'énergie, et en tant qu'elle maîtrise les techniques digitales, a la solution : la Compliance par l'automatisation du respect de la réglementation spécifique régissant ce secteur-là.

Il s'agit explicitement "d'automatiser l'inspection, le contrôle et la négociation" pour écarter le "risque de compliance".

Est-ce vraiment ainsi qu'il faut concevoir la Compliance ? 

____

 

Une conception automatique de la Compliance, conçue comme un "risque" pallié par un process aveugle

Oui, si l'on ne voit dans les règles applicables qu'un amas de "réglementation", dont on "risque" d'en manquer une, comme on manque une marche en descendant un immense escalier, sans fin, aux millions de marche, escalier sans début et sans fin. 

C'est sans doute la façon dont beaucoup se représente la "réglementation" applicable à un secteur.

Dès lors, le risque ne serait pas dans le secteur, risque que le Droit a pour mission de diminuer en Ex Ante, en organisant par exemple la sécurité des personnes et en faisant en sorte que les accidents n'arrivent pas, que les blacks out ne se produisent pas ; non, comme le dit l'article, le risque serait dans la Compliance elle-même ! 

Le risque serait dans le fait de ne pas respecter ces process vides de sens et sans fin, auxquels l'on ne comprend rien car il n'y a rien à comprendre. 

L'idée est donc de diminuer ce qui est expressément qualifié de "risque de compliance"....

Dans une vision totalement mécanique de la réglementation, la solution serait alors de mettre en place des machines : des algorithmes qui vont activer les corrélations entre les process suivis par l'entreprise et les normes réglementaires stockées dans la mémoire des ordinateurs. Comme tout cela est vide de sens, il n'est pas besoin d'êtres humains par exemple pour l'interprétation des injonctions : il suffit de "suivre".

Ainsi, les "regtechs" n'ont pas besoin de juriste pour lutter contre les "risques juridiques", puisque le sens des prescriptions n'est pas recherché. 

Il suffirait alors effectivement qu'une entreprise du secteur ait la capacité technologique de stockage des textes et de corrélation entre ceux-ci et les process mis aveuglement en place par les entreprises, pour que la sécurité revienne.

Mais cette définition-là ne peut pas tenir.

 

La Compliance renvoie à un Droit, sujet à interprétation, qui doit être internalisé dans l'entreprise non seulement par des algorithmes mais encore et avant tout par des êtres humains, pour lesquels le Droit de la Compliance est fait.

 

 

La filiale de General Electric (GE) spécialisée dans le digital, GE Digital l'explique clairement dans une déclaration du 6 août 2019

L'entreprise expose que les entreprises du secteur de l'énergie sont soumises à de très nombreuses exigences, dont la violation est très coûteuse aux opérateurs assujettis.

GE Digital, en tant qu'elle connaît la spécificité du secteur, l'énergie, et en tant qu'elle maîtrise les techniques digitales, a la solution : la Compliance par l'automatisation du respect de la réglementation spécifique régissant ce secteur-là.

Il s'agit explicitement "d'automatiser l'inspection, le contrôle et la négociation" pour écarter le "risque de compliance".

Est-ce vraiment ainsi qu'il faut concevoir la Compliance ? 

____

 

Une conception automatique de la Compliance, conçue comme un "risque" pallié par un process aveugle

Oui, si l'on ne voit dans les règles applicables qu'un amas de "réglementation", dont on "risque" d'en manquer une, comme on manque une marche en descendant un immense escalier, sans fin, aux millions de marche, escalier sans début et sans fin. 

C'est sans doute la façon dont beaucoup se représente la "réglementation" applicable à un secteur.

Dès lors, le risque ne serait pas dans le secteur, risque que le Droit a pour mission de diminuer en Ex Ante, en organisant par exemple la sécurité des personnes et en faisant en sorte que les accidents n'arrivent pas, que les blacks out ne se produisent pas ; non, comme le dit l'article, le risque serait dans la Compliance elle-même ! 

Le risque serait dans le fait de ne pas respecter ces process vides de sens et sans fin, auxquels l'on ne comprend rien car il n'y a rien à comprendre.  Il s'agirait d'appliquer à la règle les règles d'inspection et de contrôler, d'éliminer l'humain (toujours faillible) afin que par la suite plus rien ne soit reprochable à l'entreprise (car la machine est infaillible) :

"Leveraging GE Digital’s strong integration capabilities to Enterprise Asset Management (EAM) systems, APM Integrity’s Compliance Management uses data from an EAM to automatically generate an inspection plan based on the regulatory code that applies to the equipment. This streamlines the inspection planning process, allowing planners to take more of a review-and-approve role as opposed to a manual, planning-and-scheduling process. If a regulated piece of equipment does not have an inspection plan in place, users are automatically notified – providing a layer of protection that ensures inspections are not missed, which could result in a fine from regulators in the event of an audit". 

L'idée est donc de diminuer ce qui est expressément qualifié de "risque de compliance"....: "GE Digital Launches New Capabilities to Automate Inspection Planning and Mitigate Compliance Risk". 

Dans une vision totalement mécanique de la réglementation, la solution serait alors de mettre en place des machines : des algorithmes qui vont activer les corrélations entre les process suivis par l'entreprise et les normes réglementaires stockées dans la mémoire des ordinateurs. Comme tout cela est vide de sens, il n'est pas besoin d'êtres humains par exemple pour l'interprétation des injonctions : il suffit de "suivre".

Ainsi, les "regtechs" n'ont pas besoin de juriste pour lutter contre les "risques juridiques", puisque le sens des prescriptions n'est pas recherché. 

Il suffirait alors effectivement qu'une entreprise du secteur ait la capacité technologique de stockage des textes et de corrélation entre ceux-ci et les process mis aveuglement en place par les entreprises, pour que la sécurité revienne.

Mais cette définition-là ne peut pas tenir.

Non que les machines soient inutiles ou néfastes, mais elles ne peuvent suffire. Or, elles sont parfois présentées en matière de Compliance comme constituant une solution compléte, permettant d'éliminer l'être humain, lequel était lui la source de tous les soucis.... Or, non seulement la définition mécanique de la Compliance ne peut pas tenir techniquement, mais par ce déplacement de l'humain vers la seule machine elle devient alors néfaste. 

 

La Compliance renvoie à un Droit, sujet à interprétation, qui doit être internalisé dans l'entreprise non seulement par des algorithmes mais encore et avant tout par des êtres humains, pour lesquels le Droit de la Compliance est fait.

En effet, ce qui présentait comme une réglementation unique et plane est en réalité un système juridique hiérarchisé, dont le sens évolue et interagit. Ainsi et par exemple une norme constitutionnelle de Compliance, par exemple l'indépendance, l'impartialité, la loyauté, qui convergent dans la gestion des conflits d'intérêts - pan conséquent de la Compliance -, n'ont pas la même portée que les textes qui portent sur la même question mais ont des décrets, voire du "droit souple".

En outre, la lettre d'un texte permet de connaître son sens. Mais c'est aussi sa finalité et son contexte qui lui donnent son sens. La Cour de justice de l'Union européenne, Cour dont les arrêts sont décisifs en matière de Compliance, le rappelle régulièrement.  Cela, une machine ne peut pas le "savoir", puisqu'un objet ne sait rien, pas plus que la suite de chiffres qu'est l'algorithme. 

Enfin, le Droit de la Compliance peut se définir comme la nouvelle branche du Droit qui intègre dans des entreprises, par exemple celle du secteur énergétique, des finalités et des valeurs qui portent sur l'humanité et son futur, par exemple l'environnement. C'est avant tout dans les êtres humains qui constituent les entreprises concernées qu'il faut le faire comprendre.

Car le Droit est fait pour les êtres humains ; ce ne sont  pas les êtres humains qui sont faits pour suivre ce que dicteraient les machines, comme le disait Portalis. 

Mécaniser les humains, ce que produirait une vision si mécanique de la Compliance irait à l'encontre de toutes les nouvelles conception de ce qu'est l'entreprise, exprimait par la loi PACTE du 22 mai 2019. 

comments are disabled for this article