ComplianceTech® ↗️ to read this Working Paper in English, click on the British flag
► Référence générale : Frison-Roche, M.-A. La place de l'Intelligence artificielle dans le respect de la Compliance dans l'entreprise : la juste mesure, document de travail, juin 2022.
____
🎤 Ce document de travail a été élaboré pour servir tout d'abord de base à une intervention dans la conférence de la Cour de cassation du 1ier juillet 2022 : L'intelligence artificielle et la gestion des entreprises.
📝Il sera également la base à un article.
____
► Résumé du document de travail : Cette réflexion doit cerner le sujet : en quoi les outils dits d'"Intelligence artificielle" peuvent contribuer à la façon dont l'entreprise gère ses obligations de compliance.
C'est un sujet qui pose difficulté par son ampleur même et par son incertitude : en effet, pour traiter ce sujet pratique, l'on est obligé de revenir à la définition même de ce qu'est la Compliance. Si l'on considère que la Compliance est pour l'entreprise l'obligation de donner à voir d'une façon permanente qu'elle "se conforme" à la totalité de la réglementation qui lui est applicable..., alors les outils de l'intelligence artificielle seraient tout pour elles.
En effet, ils seraient la solution, par la Compliance by design, ce qui permet d'incorporer par le codage l'assurance que ce que feront les personnes dont l'entreprise doit répondre sera conforme à la réglementation, les clauses étant automatiquement écrites en "conformité" à la réglementation, celles qui ne le sont pas étant automatiquement effacées ou signalées. La Compliance by design est aussi appelée Automated Compliance : l'entreprise qui se serait bien équipée, aura acquis ou aura construit les bons algorithmes
Mais à la lecture des articles écrits par les spécialistes de la "conformité" dans les entreprises, lorsqu'ils abordent la question de l'intelligence artificielle, c'est la définition même de cette Compliance - et même du rapport entre l'entreprise et le Droit - qui y apparait dans des définitions implicitement affirmées : c'est par exemple cas de l'étude parue en 2022 : "Brave new Planes ou la conformité juridique de grands groupes aéronautiques face aux défis de l'intelligence artificielle"📎
Ici, il n'y a pas de différence entre la Compliance et le Droit lui-même car nous devons tous respecter le Droit. Ce que l'on donne une spécificité plus grande à la Compliance, ce serait pour accroître le poids de l'obligation pesant sur les entreprises : non seulement il faut qu'elles respectent le Droit (désormais appelé "réglementations..."), mais encore c'est à elles de le rendre effectif.
Il s'agirait d'une sorte de cadeau empoisonné.
Il s'agit certes d'un "cadeau", qui leur est arrivé parce que les Etats sont devenus trop faibles pour assurer eux-mêmes l'application effective du Droit📎
Mais le cadeau serait "empoisonné" car qui peut rendre effectives la totalité des réglementations qui lui est applicable ? En effet, il faudrait non seulement que les entreprises respectent toutes les réglementations qui leur sont applicables mais qu'elles fassent en sorte que toutes les personnes dont elles doivent répondre les respectent effectivement. Comme le Droit de la Compliance est une branche du Droit Ex Ante, il faudrait qu'en permanence elles doivent à voir, à tous, que toutes les personnes dont elles répondent respectent effectivement la totalité des réglementations applicables
Il suffit d'énoncer cela pour prendre conscience que cette définition de la Compliance (qui est courante) engendre une tâche insurmontable : comment une entreprise, si bien gérée soit-elle, pourrait-elle tout d'abord connaître la totalité de la "réglementation" qui lui est applicable ? Elle ne le pourrait que si des outils informatiques, par leur capacité de stockage quasiment illimitée, permet d'entasser toutes les "réglementation", quelle que soit leur nature et leur provenance (n'importe quelle "norme", n'importe quelle zone géographie).
Partis sur une telle définition, les entreprises finissent par considérer avec pragmatisme que cela n'est pas possible et qu'il y aura toujours "non-conformité", par l'un ou par l'autre, dans un lieu ou dans un autre, à un moment ou à un autre. C'est ce que recouvre cette expression si étrange, mais que l'on retrouve dans tous les articles écrits par les praticiens : le "risque juridique de conformité" : c'est-à -dire (je cite) "niveau de sanction, probabilité de contrôle".
Ensuite, dans cette conception mécanique, l'entreprise devrait d'une part spontanément démontrer (donc apporter les preuves en permanence) qu'elle "se conforme" à ce qui est expressément appelé la "masse réglementaire". Pour cela, le Droit de la Compliance impose à l'entreprise de détecter toute "non-conformité", acquise ou potentielle, et de prévenir toute non-conformité. Dans cette tâche immense, il faut donc rechercher tout fait ou comportement ou information (data) qui sorte de l'ordinaire, c'est-à -dire qui signale la possible "non-conformité" passée, présente ou future : ce sont les red flags. Elle devra d'autre part calculer ce que lui coûte les diverses non-conformité (niveau de sanction, probabilité de contrôle) : les économistes
La capacité de mise en coïncidence des situations, faits, comportements normaux, face à des situations, faits, comportements "a-normaux" va produire cette information d'anormalité. L'entreprise va alors réagir pour sanctionner (pour le passé), changer sa structure, par exemple le service en cause (pour le présent) et éduquer les personnes impliquées dont elle doit répondre à l'intérieur et à l'extérieur de l'entreprise (pour le futur).
Ainsi les algorithmes seraient l'avenir de la Compliance. C'est dans leur achat et dans leur élaboration que l'entreprise doit investir : grâce à leur capacité de calcul et de mise en coïncidence que l'entreprise pourrait donner à voir à tous, et plus spécifiquement aux parties prenantes, aux Autorités de supervision, de régulation, et aux juridictions, qu'elles se conforment en Ex Ante à toute la réglementation qui leur est applicable.
Pourquoi cela ne doit pas ĂŞtre ainsi ?
Parce que le Droit de la Compliance ne se consiste pas pour l'entreprise qu'à se conformer à la réglementation qui lui est applicable : c'est à la fois moins que cela (qui peut obtenir cela...) et plus que cela (car le Droit n'est qu'un amoncellement de réglementations, et heureusement).
C'est d'ailleurs ce que les Régulateurs eux-mêmes pensent. En effet lorsqu'on lit la Recommandation émise le 21 juin 2022 par le réseau des Régulateurs à propos de la proposition de Règlement européen du 21 avril 2021 sur l'Intelligence artificielle, dans un avis 📓Pour une IA européenne protectrice et garante du principe de non-discrimination📎
Cela explique que face à cette première conception où l'intelligence artificielle sera la réponse à toutes les exigences de Compliance auxquelles l'entreprise, l'on doit modérer cette conception, parfois avancée, modération que l'on peut formuler de deux façons.
L'on peut en premier lieu, élaborer une critique périphérique, qui consiste à approuver ce schéma mais à estimer que cela produit des "excès". Par exemple en posant qu'il faut qu'il y ait des "limites éthiques" à ces procédés car tout connaître des "comportements anormaux" suppose la captation et le croisement d'informations sur les personnes, ce qui pose problème. De la même façon, prévenir des comportements "non-conformes" conduit à repérer des intentions malicieuses dans des organisations ou sur des visages, ce qui est "excessifs". Ainsi, l'on garde le principe, mais on veille à poser des limites, soit par d'autres "réglementations" (par exemple sur les données personnelles), soit par un souci "éthique" qui anime l'entreprise.
L'on va avoir plutôt tendance à penser les choses ainsi, par exemple aux Etats-Unis : en conserve l'efficacité de l'exigence d'une "conformité Ex Ante", mais l'on pose des limites, soit par la volonté des entreprises elles-mêmes (par exemple Apple), soit par l'intervention d'autres réglementations, le juge faisant la "balance" entre les divers intérêts servis.
Mais l'on peut en second lieu regarder d'une façon plus critique la conception même de la "Compliance" qui est ainsi servie par l'outil qu'est l' "intelligence artificielle". Car à travers ces instruments, c'est la "Compliance" comme obéissance de tous, l'entreprise et toutes les personnes dont elle répond, qui est la définition de la Compliance.
Le Droit de la Compliance est une branche du Droit si nouvelle qu'il n'est pas encore stabilisé dans sa définition. Il est sans doute néfaste de le définir comme l'obligation par les entreprises de respecter la totalité de la réglementation qui leur est applicable et de le démontrer en permanence : d'une part parce que c'est impossible et d'autre part parce que c'est contraire au principe de liberté qui est la base des systèmes démocratiques.
Le Droit de la Compliance doit se définir d'une façon substantielle, sa substance lui étant donnée par les buts que cette branche du Droit poursuit, ce qui explique d'ailleurs qu'ils puissent d'être pas les mêmes selon les zones du monde, voire selon les secteurs ni, ce qui nous intéressent plus particulièrement ici selon les entreprises, soit parce qu'elles n'ont pas le même projet technique, soit parce qu'elles n'ont pas la même conception d'un même projet technique.
Le fait que le Droit de la Compliance ait de nombreux points de contact avec d'une part les sciences de l'organisation et le management de l'entreprise d'une part et le Droit des sociétés dans l'accueil que celui-ci fait avec la gouvernance d'autre part l'éloigne de cette "conformité réglementaire" pour laquelle l'outil algorithmique pourrait presque suffire à tout.
Dans une conception substantielle, plus politique, le Droit de la Compliance trouve sa définition par rapport à des « buts monumentaux » de nature systémique, qui sont « négatifs » (éviter des catastrophes futures » (finance, numérique, climat, sanitaire, etc.), voire « positifs » (égalité effective entre les êtres humaines).
Dans cette perspective, l’intelligence artificielle prend alors une place beaucoup plus modeste. Ce n’est qu’un moyen parmi beaucoup d’autres d’avoir des informations et des alertes, mais l’essentiel est plutôt l’éducation des personnes, la « culture de compliance », les actions en justice, les décisions innovantes prises par les juges pour l’avenir, ce que ne saisissent pas les algorithmes.
En outre, la dimension très politique du Droit de la compliance, les dirigeants devant être « exemplaires », les « engagements », etc., n’en relèvent pas. Enfin les juges sont de plus en plus importants et innovants dans ce Droit de l’avenir et cette gestion de l’information, si performante soit-elle, n’interfère pas et n’en rend pas compte.
La part d’information est donc prises en compte par les algorithmes dans les algorithmes, et pas davantage. Il ne faut donc pas donner à l’AI une place centrale parce qu’elle demande dans le quantitatif et dans l’aide, ne correspondant pas à ce sera à l’avenir le Droit de la compliance, correspondant davantage à ce qu’est la manipulation du droit conçu comme une « masse réglementaire », c’est-à -dire la confusion même entre le Droit et la réglementation (c’est-à -dire le Droit appréhendé par celui qui ne le connait pas).
____
► Plan du document de travail : La première partie de l'étude décrit la façon dont l'Intelligence artificielle est présentée lorsque l'Entreprise est censée être "toujours conforme à toutes les réglementations qui lui sont applicables", l'Intelligence artificielle pouvant être présentée comme une solution totale et infaillible. Dans cette définition cauchemar d'une entreprise obéissante dans laquelle l'Intelligence artificielle serait une solution de rêve, le prix juridique à payer est très élevé, puisque tout devient obligation de résultat et le système probatoire devient écrasant.
La seconde partie de l'étude décrit la façon dont l'Intelligence est présente lorsque le Droit de la Compliance est défini non plus comme un process d'obéissance mais comme une branche substantielle du Droit définie par des "Buts Monumentaux" à atteindre, seules les entreprises en position de le faire étant concernées. L'Intelligence artificielle prend alors une part beaucoup plus modeste, limitée au premier stade de recueil de l'information, laissant les cultures juridiques et les ordres juridiques intacts, redonnant au compliance officer, data protection officer, etc. leur rôle central, pour la création d'une "culture de compliance.
____
Lire ci-dessous les développements⤵️.
Laroche, B. et Boullu-Chataigner, J.,📝 Brave new Planes ou la conformité juridique de grands groupes aéronautiques face aux défis de l'intelligence artificielle, 2002 (les deux auteurs sont Regulatory Legal Affaires & Privacy chez Airbus).
Sur le rapport général entre le Droit de la Compliance et les analyses de Sciences politiques, qui analysent la naissance du Droit de la Compliance sous cet angle-là, v. Frison-Roche, M.-A., Précis Dalloz Droit de la compliance, à paraître.
Frison-Roche, M.-A. (dir.), Les buts monumentaux de la compliance, in coll. "Régulations & Compliance, JoRC & Dalloz, 2022.
Frison-Roche, M.-A., Les buts monumentaux, coeur battant de la compliance, in Les buts monumentaux de la compliance, 2022.
I. L'INTELLIGENCE ARTIFICIELLE, PRESENTÉE COMME LA SOLUTION TOTALE ET INFAILLIBLE POUR L'EXPLOIT D'UNE ENTREPRISE TOUJOURS CONFORME
L'on ne sait s'il faut parler de rêve ou de cauchemar ...📎
A. LE REVE TECHNOLOGIQUE DE LA SOLUTION TOTALE ET INFAILLIBLE POUR GÉRER LE "RISQUE DE CONFORMITÉ"
Les divers outils d'intelligence artificielle pourraient bien, de l'intelligence artificielle dite "faible" à l'intelligence artificielle dite "forte", constituer la solution à tout, puisque c'est là que les entreprises recrutent. Par exemple un analyste souligne : "Les banques ont énormément de datas à exploiter et de très nombreux cas d'usages. C'est un formidable terrain de jeu pour ce type de profils. La Société Générale a fait de l'exploitation des données une de ses priorités stratégiques pour améliorer ses offres de services mais aussi les usages en matière de gestion des risques ou encore de la conformité. Il compte aujourd'hui un peu plus de 350 data analystes en interne, répartis dans les différents métiers de la banque, et compte bien faire grossir ses rangs.".
1. La technologie pour compiler la "masse réglementaire"
Comme il faudrait respecter toutes les réglementations, comme celles-ci sont d'un nombre astronomique, qu'elles veuillent de partout, il faut donc beaucoup de mémoire morte pour les stocker. Très souvent les praticiens imputent à la dégénérescence de "l'art législatif" l'avancée de l'intelligence artificiel et soutiennent que si le Législateur avait plus de tenue il ne serait pas remplacé par des robots.
2. La technologie pour détecter sans aide humaine la non-conformité à la masse réglementaire
xx
3. La technologie pour se conformer sans intervention humaine à la masse réglementaire
xx
B. LE PRIX JURIDIQUE DE LA CONCEPTION DE L'INTELLIGENCE ARTIFICIELLE COMME SOLUTION TOTALE ET INFAILLIBLE : LA POSSIBLE GÉNÉRALISATION DES OBLIGATION DE RESULTAT, L'ALOURDISSEMENT PROBATOIRE ET DES RESPONSABILITÉS ET DES SANCTIONS
Si l'on pense que l'entreprise doit s'organise pour faire en sorte qu'en Ex Ante elle donne à voir qu'elle "se conforme" et qu'elle-même s'ajuste ce qu'il serait donc une exigence du Droit, exigence totale en ce qu'elle vise toutes les réglementations, c'est-à -dire toutes les branches du Droit, tous les systèmes juridiques car il lui faudrait respecter non seulement toutes les "réglementations locales" (puisque c'est ainsi que les non-juristes désignent les ordres juridiques....) mais encore les ordres juridiques dont elles ne sont pas sujets de droit et auxquelles elles ne sont pas rattachées par des filiales (en raison de l'effet dit "extraterritorial" du Droit de la compliance), et qu'elle peut le faire par l'Intelligence artificielle qui va embrasser toute la "masse réglementaire", qui va détecter la "non-conformité" et qui va produire la "conformité", cela va produire ce qu'il faut désigner comme un "prix juridique", qui correspond à ce que l'on appelle si étrangement le "risque de conformité".
1. La possible généralisation des obligations de résultat
xx
2. Un système probatoire de compliance écrasant
xx
3. Des responsabilités objectives pour autrui
xx
4. Des pénalités systémiques Ex Ante
ssss
II. L'INTELLIGENCE ARTIFICIELLE, UNE "AIDE MASSIVE" POUR LE DROIT DE LA COMPLIANCE, DÉFINI PAR SES BUTS MONUMENTAUX
Ce régime juridique décrit, dont on perçoit la tentation dans certains systèmes juridiques en distance avec l'Etat de Droit utilisant plutôt la technique juridique comme seul outil d'effectivité, d'efficacité et d'efficience, ce qui est le cas du système juridique chinois et de l'usage qu'il fait du Droit de la Compliance, découle de la définition même du Droit de la Compliance. C'est pourquoi la définition du Droit de la Compliance est si essentielle en pratique📎
PRÉALABLE : DÉFINITION SUBSTANTIELLE DU DROIT DE LA COMPLIANCE PAR SES BUTS MONUMENTAUX SYSTÉMIQUES, NÉGATIFS ET POSITIFS
Ainsi le rôle d'une entreprise au regard du Droit de la Compliance n'est pas d'obéir par avance et de donner à voir à tous qu'elle obéit : son rôle est de participer à la concrétisation des très grandes ambitions que cette nouvelle branche du Droit vise. Toutes les entreprises ne sont donc pas concernées, puisqu'il faut que l'entreprise soit "en position" d'agir, Ne sont alors concernées par le Droit de la Compliance que les entreprises qui peuvent agir pour concrétiser des "buts monumentaux systémiques", c'est-à -dire des volontés techniques et politiques
A. L'ENTREPRISE, UNE ENTITÉ "EN POSITION" POUR PARTICIPER A LA CONCRÉTISATION D'UN BUT MONUMENTAL DU DROIT DE LA COMPLIANCE
1. L'intelligence artificielle, la première étape pour rassembler l'information
sss
2. La fourniture de matériau pour la compréhension du but, substance du Droit de la compliance
sss
3. Redonner au juriste et au compliance officer la place qui leur revient
sss
4. La double culture requise par la compliance by design
B. PRODUIRE LES BONNES INCITATIONS EN TROUVANT LA JUSTE PLACE DE L'INTELLIGENCE ARTIFICIELLE DANS LA CONCRÉTISATION DU DROIT DE LA COMPLIANCE
Le Droit de la Compliance repose sur la puissance des entreprises puisque ce sont elles qui, par leur position globale, leur inventivité, leur capacité d'éducation et leurs engagements, peuvent en Ex Ante concrétiser les Buts Monumentaux du Droit de la Compliance📎
1. Ne pas mixer les "réglementations" pour que demeure les cultures juridiques, les cutlure juridictionnelles et la performance pratique des "ordres juridiques"
sss
2. Ne pas prétendre connaître l'avenir
ss
3.Cerner les exigences mécaniques, l'intelligence artificielles et les obligations de moyens
ssss
4. Associer culture de compliance, souci de l'humains et obligations de moyens
sss
Sur le fait que la Compliance est souvent présentée aux entreprises, voire aux Etats à travers le thème de "l'extraterritorialité" sous le thème du "cauchemar"..., v. Frison-Roche, M.-A., Le rêve de la compliance, in Racine, J.-B. (dir.), Le droit économique au XXIième siècle. Notions et enjeux, 2021.
Frison-Roche, M.-A., Précis Dalloz Droit de la Compliance, à paraître.
Sur les relations entre les sanctions et les incitations, sujet central en Droit de la Compliance, v. Frison-Roche, M.-A., ..., et Tardieu, H., ..., in Frison-Roche, M.-A. (dir.), Les outils de la compliance, 2021 ; Frison-Roche, M.-A., ..., 2022.
les commentaires sont désactivés pour cette fiche