🚧 La place de l'Intelligence artificielle dans le respect de la Compliance par l'entreprise : la juste mesure pour l'entreprise

► Référence générale : Frison-Roche, M.-A. La place de l'Intelligence artificielle dans le respect de la Compliance dans l'entreprise : la juste mesure, document de travail, juin 2022. 

____

🎤 Ce document de travail a été élaboré pour servir tout d'abord de base à une intervention dans la conférence de la Cour de cassation du 1ier juillet 2022 : L'intelligence artificielle et la gestion des entreprises.

📝Il sera également la base à un article.

____

► Résumé du document de travail : Cette réflexion doit cerner le sujet : en quoi les outils dits d'"Intelligence artificielle" peuvent contribuer à la façon dont l'entreprise gère ses obligations de compliance.

C'est un sujet qui pose difficulté par son ampleur même et par son incertitude : en effet, pour traiter ce sujet pratique, l'on est obligé de revenir à la définition même de ce qu'est la Compliance. Si l'on considère que la Compliance est pour l'entreprise l'obligation de donner à voir d'une façon permanente qu'elle "se conforme" à la totalité de la réglementation qui lui est applicable..., alors les outils de l'intelligence artificielle seraient tout pour elles.

En effet, ils seraient la solution, par la Compliance by design, ce qui permet d'incorporer par le codage l'assurance que ce que feront les personnes dont l'entreprise doit répondre sera conforme à la réglementation, les clauses étant automatiquement écrites en "conformité" à la réglementation, celles qui ne le sont pas étant automatiquement effacées ou signalées. La Compliance by design est aussi appelée Automated Compliance : l'entreprise qui se serait bien équipée, aura acquis ou aura construit les bons algorithmes

Mais à la lecture des articles écrits par les spécialistes de la "conformité" dans les entreprises, lorsqu'ils abordent la question de l'intelligence artificielle, c'est la définition même de cette Compliance - et même du rapport entre l'entreprise et le Droit - qui y apparait dans des définitions implicitement affirmées : c'est par exemple cas de l'étude parue en 2022 : "Brave new Planes ou la conformité juridique de grands groupes aéronautiques face aux défis de l'intelligence artificielle"📎!footnote-2571. Dans cet article, la "conformité juridique" signifie l'obligation pour les entreprises de respecter le droit, l'expression de "conformité au droit positif" présentée comme une "nécessité" (ce qui est une nécessité pour chacun...) étant équivalent à "la conformité réglementaire", les auteurs notant que les textes étant nombreux, mal faits et peu unifiés autour du globe, il y a une diminution du "taux de conformité moyen des entreprises".

Ici, il n'y a pas de différence entre la Compliance et le Droit lui-même car nous devons tous respecter le Droit. Ce que l'on donne une spécificité plus grande à la Compliance, ce serait pour accroître le poids de l'obligation pesant sur les entreprises : non seulement il faut qu'elles respectent le Droit (désormais appelé "réglementations..."), mais encore c'est à elles de le rendre effectif.

Il s'agirait d'une sorte de cadeau empoisonné.

Il s'agit certes d'un "cadeau", qui leur est arrivé parce que les Etats sont devenus trop faibles pour assurer eux-mêmes l'application effective du Droit📎!footnote-2572. En outre, le Droit de la compliance est un Droit internalisé dans les entreprises, qui elles sont parfois globales, Droit devenu ainsi global, développant ainsi sous couvert d'une simple "gestion" de l'entreprise notamment par l'édiction de "normes de communauté" des normes que les ont fait désigner comme des "néo-constituants", renversant le rapport entre les entreprises et les pouvoirs souverains. 

Mais le cadeau serait "empoisonné" car qui peut rendre effectives la totalité des réglementations qui lui est applicable ? En effet, il faudrait non seulement que les entreprises respectent toutes les réglementations qui leur sont applicables mais qu'elles fassent en sorte que toutes les personnes dont elles doivent répondre les respectent effectivement. Comme le Droit de la Compliance est une branche du Droit Ex Ante, il faudrait qu'en permanence elles doivent à voir, à tous, que toutes les personnes dont elles répondent respectent effectivement la totalité des réglementations applicables

Il suffit d'énoncer cela pour prendre conscience que cette définition de la Compliance (qui est courante) engendre une tâche insurmontable : comment une entreprise, si bien gérée soit-elle, pourrait-elle tout d'abord connaître la totalité de la "réglementation" qui lui est applicable ? Elle ne le pourrait que si des outils informatiques, par leur capacité de stockage quasiment illimitée, permet d'entasser toutes les "réglementation", quelle que soit leur nature et leur provenance (n'importe quelle "norme", n'importe quelle zone géographie).

Partis sur une telle définition, les entreprises finissent par considérer avec pragmatisme que cela n'est pas possible et qu'il y aura toujours "non-conformité", par l'un ou par l'autre, dans un lieu ou dans un autre, à un moment ou à un autre. C'est ce que recouvre cette expression si étrange, mais que l'on retrouve dans tous les articles écrits par les praticiens : le "risque juridique de conformité" : c'est-à-dire (je cite) "niveau de sanction, probabilité de contrôle".

Ensuite, dans cette conception mécanique, l'entreprise devrait d'une part spontanément démontrer (donc apporter les preuves en permanence) qu'elle "se conforme" à ce qui est expressément appelé la "masse réglementaire". Pour cela, le Droit de la Compliance impose à l'entreprise de détecter toute "non-conformité", acquise ou potentielle, et de prévenir toute non-conformité. Dans cette tâche immense, il faut donc rechercher tout fait ou comportement ou information (data) qui sorte de l'ordinaire, c'est-à-dire qui signale la possible "non-conformité" passée, présente ou future : ce sont les red flags. Elle devra d'autre part calculer ce que lui coûte les diverses non-conformité (niveau de sanction, probabilité de contrôle) : les économistes 

La capacité de mise en coïncidence des situations, faits, comportements normaux, face à des situations, faits, comportements "a-normaux" va produire cette information d'anormalité. L'entreprise va alors réagir pour sanctionner (pour le passé), changer sa structure, par exemple le service en cause (pour le présent) et éduquer les personnes impliquées dont elle doit répondre à l'intérieur et à l'extérieur de l'entreprise (pour le futur).

Ainsi les algorithmes seraient l'avenir de la Compliance. C'est dans leur achat et dans leur élaboration que l'entreprise doit investir : grâce à leur capacité de calcul et de mise en coïncidence que l'entreprise pourrait donner à voir à tous, et plus spécifiquement aux parties prenantes, aux Autorités de supervision, de régulation, et aux juridictions, qu'elles se conforment en Ex Ante à toute la réglementation qui leur est applicable.

Pourquoi cela ne doit pas être ainsi ? 

Parce que le Droit de la Compliance ne se consiste pas pour l'entreprise qu'à se conformer à la réglementation qui lui est applicable : c'est à la fois moins que cela (qui peut obtenir cela...) et plus que cela (car le Droit n'est qu'un amoncellement de réglementations, et heureusement).

C'est d'ailleurs ce que les Régulateurs eux-mêmes pensent. En effet lorsqu'on lit la Recommandation émise le 21 juin 2022 par le réseau des Régulateurs à propos de la proposition de Règlement européen du 21 avril 2021 sur l'Intelligence artificielle, dans un avis 📓Pour une IA européenne protectrice et garante du principe de non-discrimination📎!footnote-2573 ,les Régulateurs recommandent que le souci de la personne soit au centre. Cela signifie qu'il doit y avoir une hiérarchie dans cette "masse réglementaire", une mise en hiérarchie et qu'au centre il y a la protection effective des êtres humains. C'est ce qu'en Droit de la Compliance l'on a désigné comme un "But Monumental"📎!footnote-2574, ce qui donne un sens à l'ensemble des divers outils de compliance maniés par l'entreprise📎!footnote-2575. 

Cela explique que face à cette première conception où l'intelligence artificielle sera la réponse à toutes les exigences de Compliance auxquelles l'entreprise, l'on doit modérer cette conception, parfois avancée, modération que l'on peut formuler de deux façons.

L'on peut en premier lieu, élaborer une critique périphérique, qui consiste à approuver ce schéma mais à estimer que cela produit des "excès". Par exemple en posant qu'il faut qu'il y ait des "limites éthiques" à ces procédés car tout connaître des "comportements anormaux" suppose la captation et le croisement d'informations sur les personnes, ce qui pose problème. De la même façon, prévenir des comportements "non-conformes" conduit à repérer des intentions malicieuses dans des organisations ou sur des visages, ce qui est "excessifs". Ainsi, l'on garde le principe, mais on veille à poser des limites, soit par d'autres "réglementations" (par exemple sur les données personnelles), soit par un souci "éthique" qui anime l'entreprise.

L'on va avoir plutôt tendance à penser les choses ainsi, par exemple aux Etats-Unis : en conserve l'efficacité de l'exigence d'une "conformité Ex Ante", mais l'on pose des limites, soit par la volonté des entreprises elles-mêmes (par exemple Apple), soit par l'intervention d'autres réglementations, le juge faisant la "balance" entre les divers intérêts servis.

Mais l'on peut en second lieu regarder d'une façon plus critique la conception même de la "Compliance" qui est ainsi servie par l'outil qu'est l' "intelligence artificielle". Car à travers ces instruments, c'est la "Compliance" comme obéissance de tous, l'entreprise et toutes les personnes dont elle répond, qui est la définition de la Compliance.

Le Droit de la Compliance est une branche du Droit si nouvelle qu'il n'est pas encore stabilisé dans sa définition. Il est sans doute néfaste de le définir comme l'obligation par les entreprises de respecter la totalité de la réglementation qui leur est applicable et de le démontrer en permanence : d'une part parce que c'est impossible et d'autre part parce que c'est contraire au principe de liberté qui est la base des systèmes démocratiques.

Le Droit de la Compliance doit se définir d'une façon substantielle, sa substance lui étant donnée par les buts que cette branche du Droit poursuit, ce qui explique d'ailleurs qu'ils puissent d'être pas les mêmes selon les zones du monde, voire selon les secteurs ni, ce qui nous intéressent plus particulièrement ici selon les entreprises, soit parce qu'elles n'ont pas le même projet technique, soit parce qu'elles n'ont pas la même conception d'un même projet technique.

Le fait que le Droit de la Compliance ait de nombreux points de contact avec d'une part les sciences de l'organisation et le management de l'entreprise d'une part et le Droit des sociétés dans l'accueil que celui-ci fait avec la gouvernance d'autre part l'éloigne de cette "conformité réglementaire" pour laquelle l'outil algorithmique pourrait presque suffire à tout.

Dans une conception substantielle, plus politique, le Droit de la Compliance trouve sa définition par rapport à des « buts monumentaux » de nature systémique, qui sont « négatifs » (éviter des catastrophes futures » (finance, numérique, climat, sanitaire, etc.), voire « positifs » (égalité effective entre les êtres humaines).

Dans cette perspective, l’intelligence artificielle prend alors une place beaucoup plus modeste. Ce n’est qu’un moyen parmi beaucoup d’autres d’avoir des informations et des alertes, mais l’essentiel est plutôt l’éducation des personnes, la « culture de compliance », les actions en justice, les décisions innovantes prises par les juges pour l’avenir, ce que ne saisissent pas les algorithmes.

En outre, la dimension très politique du Droit de la compliance, les dirigeants devant être « exemplaires », les « engagements », etc., n’en relèvent pas. Enfin les juges sont de plus en plus importants et innovants dans ce Droit de l’avenir et cette gestion de l’information, si performante soit-elle, n’interfère pas et n’en rend pas compte.

La part d’information est donc prises en compte par les algorithmes dans les algorithmes, et pas davantage.  Il ne faut donc pas donner à l’AI une place centrale parce qu’elle demande dans le quantitatif et dans l’aide, ne correspondant pas à ce sera à l’avenir le Droit de la compliance, correspondant davantage à ce qu’est la manipulation du droit conçu comme une « masse réglementaire », c’est-à-dire la confusion même entre le Droit et la réglementation (c’est-à-dire le Droit appréhendé par celui qui ne le connait pas). 

____

► Plan du document de travail : La première partie de l'étude décrit la façon dont l'Intelligence artificielle est présentée lorsque l'Entreprise est censée être "toujours conforme à toutes les réglementations qui lui sont applicables", l'Intelligence artificielle pouvant être présentée comme une solution totale et infaillible. Dans cette définition cauchemar d'une entreprise obéissante dans laquelle l'Intelligence artificielle serait une solution de rêve, le prix juridique à payer est très élevé, puisque tout devient obligation de résultat et le système probatoire devient écrasant. 

La seconde partie de l'étude décrit la façon dont l'Intelligence est présente lorsque le Droit de la Compliance est défini non plus comme un process d'obéissance mais comme une branche substantielle du Droit définie par des "Buts Monumentaux" à atteindre, seules les entreprises en position de le faire étant concernées. L'Intelligence artificielle prend alors une part beaucoup plus modeste, limitée au premier stade de recueil de l'information, laissant les cultures juridiques et les ordres juridiques intacts, redonnant au compliance officer, data protection officer, etc. leur rôle central, pour la création d'une "culture de compliance. 

____

Lire ci-dessous les développements⤵️.