♾️ suivre Marie-Anne Frison-Roche sur LinkedIn

♾️ s'abonner à la Newsletter MAFR Regulation, Compliance, Law 

____

► Référence complète : M.-A. Frison-Roche, "Si l'algorithme engendre un risque systémique de fraude, l'entreprise doit trouver le moyen de prévenir et détecter celle-ci : cas d'école", Newsletter MAFR Law, Compliance, Regulation, 15 janvier 2023.

____

Le cas agite et inquiète à juste titre. Il est notamment relayé dans Le Parisien et dans Libération.

Il apparait qu'un professeur de master découvre que la moitié de la promotion de ses étudiants avait fait écrire sa copie par un algorithme (ChatGPT), dont on dit que les productions mécaniques se rapprochent, à s'y méprendre, du "langage naturel", c'est-à-dire manié par les êtres humains. Il en a résulté des copies correctes, mais si identiques que l'usage de l'outil par les étudiants avait été ainsi détecté.

La dimension systémique du phénomène mérite qu'on y réfléchisse car il s'agit non seulement de détecter mais encore de prévenir le recours à cet outil, si l'on veut que les travaux rendus par les étudiants permettent d'évaluer leurs niveaux.

L'on peut certes rechercher des solutions très radicales, comme obliger les étudiants à écrire à la main dans des contrôles faits sur table et surveillés..., ou interdire le recours aux algorithmes, interdiction dont l'effectivité va être difficile ; ou rêver d'une Université où l'on leur donnerait des sujets de réflexion à traiter chacun d'une façon originale, ce qui suppose sans doute un nombre d'étudiants moins élevés (d'ailleurs, les lycées et collègues sont aussi concernés).

Mais si l'on regarde le "but" : il s'agit bien de prévenir et détecter un comportement systémiquement dommageable, pour l'Université et pour les étudiants eux-mêmes (qui n'auront rien appris ; ce sont les premières victimes).

Or, la prévention et détection des comportements systémiquement dommageables non pas tant pour les sanctionner mais pour qu'ils ne prospèrent pas à l'avenir, ici garder les avantages des algorithmes comme outils et prévenir leur usage dolosif, c'est la définition du Droit de la Compliance comme mode de prévention et de détection des maux systémique. Cela constitue un "but monumental".

🔴 M.-A. Frison-Roche, 📕Les buts monumentaux de la Compliance, 2022

Pour concrétiser une telle ambition, notamment face à la puissance de ces outils neutres que sont les algorithmes, qui permettent d'ailleurs à des professeurs de rédiger sans difficulté des cours sur l'originalité desquels on ne leur demande pas de compte, le Droit de la Compliance présente un atout majeur : il repose sur les entreprises elles-mêmes, notamment celles par lesquelles le risque est né.

Historiquement, le Droit de la Compliance est né aux Etats-Unis, en imposant aux entreprises ayant contribué par leur comportement interne à la crise de 1929 une série d'obligations de prudence, de gestion des conflits d'intérêts, d'information et de soumission à un superviseur.

🔴 M.-A. Frison-Roche, 📝Compliance : avant, maintenant, après, 2018

C'est en effet aux entreprises de trouver les solutions pour détecter et prévenir les comportements systémiques dommageables.

L'article publié dans Libération fait état des travaux menés par les entreprises fabriquant les algorithmes pour que soient insérés dans les textes des signaux, indétectables par l'usager (par exemple l'algorithme achevant une phrase sur dix par un mot finissant par la même lettre, ou une phrase sur vingt par un mot commençant par la même lettre), mais qu'un autre algorithme pourrait "détecter" pour que le travail produit soit analysé par le professeur (comme on le fait déjà en matière de plagiat).

Il s'agit ici d'une "compliance consentie, choisie par l'entreprise elle-même ; cela pourrait être leur être également imposé.

🔴 L. Benzoni et B. Deffains, 📝Approche économique des outils de la Compliance: finalité, effectivité et mesure de la Compliance subie et choisie, in M.-A. Frison-Roche (dir.), 📕Les outils de la Compliance, 2021

Apparaît ainsi le juste et efficace rapport entre le Droit de la Compliance et ce que l'on appelle "l'intelligence artificielle", dès l'instant que l'on n'a précisément pas une vision mécanique du Droit de la Compliance, ce qui permet de laisser les algorithmes à leur place : des "outils".

🔴 M.-A. Frison-Roche, 🎥Compliance, Intelligence artificielle et gestion des entreprises : la juste mesure, 2022

________

Le projet de loi de Finance a . proposé au Parlement de voter un article 57 dont l'intitulé est : Possibilité pour les administrations fiscales et douanières de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux et des opérateurs de plateformes. 

Son contenu est en l'état du texte voté à l'Assemblée Nationale le suivant :

"(1) I. - A titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l'article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes, l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l'article L. 111-7 du code de la consommation.

(2) Les traitements mentionnés au premier alinéa sont mis en œuvre par des agents spécialement habilités à cet effet par les administrations fiscale et douanière.

(3) Lorsqu’elles sont de nature à concourir à la constatation des infractions mentionnées au premier alinéa, les données collectées sont conservées pour une durée maximale d’un an à compter de leur collecte et sont détruites à l’issue de ce délai. Toutefois, lorsqu’elles sont utilisées dans le cadre d'une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.

(4) Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

(5) Le droit d'accès aux informations collectées s'exerce auprès du service d'affectation des agents habilités à mettre en œuvre les traitements mentionnés au deuxième alinéa dans les conditions prévues par l'article 42 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

(6) Le droit d'opposition, prévu par l'article 38 de la même loi, ne s'applique pas aux traitements mentionnés au deuxième alinéa.

(7) Les modalités d'application du présent I sont fixées par décret en Conseil d’État.

(8) II. - L'expérimentation prévue au I fait l'objet d'une évaluation dont les résultats sont transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois avant son terme."

Cette initiative a provoqué beaucoup de commentaires, plutôt réservés, même après les explications données par le ministre du Budget à l'Assemblée Nationale. 

Qu'en penser juridiquement ?

Car la situation est assez simple, c'est pourquoi elle est difficile : d'un côté, l'Etat va capter des informations personnelles sans l'autorisation des personnes concernées, ce qui est contraire à l'objet même de la loi de 1978, ce qui entraîne une pleine désapprobation ; de l'autre côté, l'administration obtient les informations pour poursuivre des infractions fiscales et douanières, ce qui concrétise l'intéret général lui-même.

Alors qu'en penser ?

Lire ci-dessous.

rIl est souvent observé, voire théorisé, voire conseillé et vanté, que la Compliance est un mécanisme par lequel des Autorités publiques internalisent des préoccupations politiques (par exemple environnementales) dans des entreprises de grande dimension, celles-ci l'acceptant dès le départ (en Ex Ante) car elles sont plutôt d'accord avec ces "buts monumentaux"  (sauver la planète) et que cette vertu partagée est bénéfique à leur réputation. L'on observe que cela pourrait être la voie la plus fructueuse dans les configurations nouvelles, comme celle du numérique. 

Mais, et l'on a souvent rapproché le Droit de la Compliance du mécanisme contractuel, cela n'est pertinent que si les deux intéressés le veulent bien. Cela est vrai techniquement, par exemple pour la Convention judiciaire d'intérêt public, laquelle requiert consentement explicite. Cela est vrai d'une façon plus générale en ce que l'entreprise voudra bien se structurer pour réaliser les buts politiquement poursuivis par l'État. Réciproquement, les mécanismes de compliance fonctionnent si l'État veut bien admettre les logiques économiques des acteurs globaux ou/et, s'il y a possibles manquements, ne pas poursuivre ses investigations et fermer le dossier qu'il a entrouvert, à un prix plus ou moins élevé.

Mais il suffit de dire Non.

Comme en matière contractuelle, la première liberté est négative et tient dans l'aptitude de dire Non.

L'Etat peut le faire. Mais l'entreprise aussi peut le faire.

Et Daimler vient de dire Non. 

___

Publiquement, notamment par le biais d'un article dans le Wall Street Journal du 28 juin 2019. 

L'entreprise expose dans un avertissement au marché (warning profit) qu'elle est l'objet d'une exigence de la part de l'Autorité allemande de la sécurité automobile d'une allégation de fraude, par l'installation d'un logiciel, visant à tromper les instruments de mesure des émissions des gazs à effet de serre sur les voitures utilisant du diesel.

Il s'agit donc d'un mécanisme de Compliance à visée environnementale qui aurait été contrée, d'une façon intentionnelle. 

Sur cette allégation, le Régulateur à la fois avertit l'entreprise de ce qu'elle considère comme un fait, c'est-à-dire la fraude au dispositif de Compliance, et l'assortit d'une mesure immédiate, à savoir le retrait de la circulation de 42.000 véhicules vendus par Daimler avec un tel dispositif.

Et l'entreprise répond : "Non".

_____

Ce qui ne fait sans doute que commencer, puisqu'un Non clôt le dialogue de l'Ex Ante pour projeter dans l'Ex Post des procédures de sanction, appelle 6 observations :

• 1. Sans doute Daimler, entreprise allemande de construction automobile, a-t-elle en tête dans cette allégation de fraude au calcul de pollution de ses voitures diesel ce qu'il arriva à sa concurrente Volkswagen : à savoir plusieurs milliards de dollars d'amende, pour défaut de Compliance dans une hypothèse similaire (dite du dieselgate). Le choix stratégique qui est alors fait dépend de l'éducation par l'expérience de l'entreprise, qui bénéficie à ce titre d'un cas précédent qui a eu un coût très important. Ainsi instruite, la question qui se pose est de mesurer le risque pris à refuser toute coopération, quand l'entreprise peut pressentir que celle-ci aboutira tout de même à un tel montant....

• 2. Par ailleurs, l'on retrouve la difficulté de la distinction de l'Ex Ante et de l'Ex Post. En effet, certes, dire Non va impliquer pour l'entreprise un coût d'affrontement avec le Régulateur, puis les juridictions, périphériques ou de recours. Mais en Allemagne, le Gouvernement lui-même, à propos d'une banque menacée de poursuites au titre de la Compliance et quasiment sommée par le Régulateur américain de payer "de son plein gré" de payer une amende transactionnelle, avait estimé que cela n'était pas normal, car cela doit être les juges qui punissent, au terme d'une procédure contradictoire et après des faits établis.

• 3. Or, il ne s'agit ici que d'une allégation, d'affirmations vraisemblables, de ce qui juridiquement permet de poursuivre, mais qui ne permet pas de condamner. La confusion entre la charge de preuve, qui suppose l'obligation de prouver les faits avant de pouvoir sanctionner, et la charge de l'allégation, qui ne suppose que d'articuler des vraisemblances avant de pouvoir poursuite, est très dommageable, notamment si l'on est attaché aux principes du Droit répressif, comme la présomption d'innocence et les droits de la défense. Cette distinction entre ces deux charges probatoires est au coeur du système probatoire, et le Droit de la Compliance, toujours à la recherche de plus d'efficacité, a tendance à passer de la première à la seconde, pour donner plus de pouvoir aux Régulateur. Puisque les entreprises sont si puissantes ....

• 4. Mais la question première apparaît alors : quelle est la nature non plus tant de la mesure future à craindre, à savoir une sanction qui pourrait prise plus tard, contre Daimler, si le manque s'avère, ou qui ne le sera pas si le manquement n'est pas établi ; mais quelle est la nature de la mesure immédiatement prise, à savoir le retour de 42.000 véhicules ?

• Cela peut paraître une mesure Ex Ante. En effet, la Compliance suppose des voitures non-polluantes. Le Régulateur peut avoir des indices selon lesquels que ces voitures sont polluantes et que le constructeur n'a pas pris les dispositions requises pour qu'elles le soient moins (Compliance), voire s'est organisé pour que ce manquement ne sont pas détecté (fraude à la Compliance).

• Cette allégation permet de penser qu'il y a un risque qu'elles le soient. Il faut donc immédiatement les retirer de la circulation, pour la qualité de l'environnement. Ici et maintement. La question des sanctions se posera après, avoir son appareillage procédural de garanties pour l'entreprise qui sera poursuivie. Mais voyons cela du côté de l'entreprise : devoir retirer 42.000 véhicules du marché constitue un grand dommage et ce que l'on appelle volontiers en Droit répressif une "mesure de sûreté" prise alors que les preuves ne sont pas encore réunies pourrait mériter une requalification en sanction. La jurisprudence est à la fois abondante et nuancée sur cet enjeu de qualification.

• 5. Alors, retirer ces voitures, c'est pour l'entreprise admettre qu'elle est coupable, accroître elle-même la punition. Et si à ce jeu, que l'on appelle aussi le "coût-bénéfice", autant pour l'entreprise affirmer immédiatement au marché que cette exigence du Régulation est infondée en Droit, que les faits allégés ne sont pas constitués, et que de tout cela les juges décideront. L'on ne sait pas davantage si ces affirmations de l'entreprise sont exactes ou fausses mais devant un Tribunal personne ne pense qu'elles valent vérité, elles ne sont que des allégations. Et devant une Cour, un Régulateur apparait comme devant supporter une charge de preuve en tant qu'il doit défendre l'ordre qu'il a émis, prouver le manquement dont il affirme l'existence, ce qui justifie l'exercice qu'il fait de ses pouvoirs. Le fait qu'il exerce son pouvoir pour l'intérêt général et en impartialité ne diminue pas cette charge de preuve.

• 6. En disant "Non", Daimler veut retrouver ce Droit classique, si mis de côté par le Droit de la Compliance, à base de charge de preuve, moyen de preuve, et interdiction de mesures punitives - sauf dommages imminents et très graves - avant qu'un comportement a été sanctionné au terme d'une procédure de sanction. 
• Certes, l'on serait tenté de faire une analogie avec la situation de Boeing dont les avions sont cloués au sol par le Régulateur en ce que celui-ci estime qu'ils ne remplissent pas les conditions de sécurité, ce que l'avionneur conteste, mesure Ex Ante qui ressemble à la mesure de rétraction du marché que constitue la demande de rappel des voitures ici opérée.
• Mais l'analogie ne fonctionne pas sur deux points. En premier lieu, l'activité de vol est une activité régulée que l'on ne peut exercer que sur autorisation Ex Ante de plusieurs Régulateurs, ce qui n'est pas le cas pour le fait de proposer à la vente des voitures ni de rouler avec. C'est là où le Droit de la Régulation, qui souvent se rejoignent, ici se distinguent. En second lieu, la possibilité même que des avions dont il ne soit pas exclu qu'ils ne soient pas sûr est suffisant pour, par précaution, interdire leur décalage. Ici, ce n'est pas la sécurité des personne qui est en jeu, et sans doute pas même le but global de l'environnement, mais la fraude vis-à-vis de l'obligation d'obeïr à la Compliance. Pourquoi obliger au retrait de 42.000 véhicule ? Si ce n'est pour punir ? D'une façon exemplaire, afin de rappeler par avance et à tous ce qu'il en coûte de ne pas obéir à la Compliance ? Et là, l'entreprise dit : "je veux un juge". 

​______