Date
Mars 2021

Technologies of Compliance: Risk and Regulation in a Digital Age


Sécurité & transition numérique
auteur
Auteur(s) :
auteurs

Bamberger, K. A.

 

référence
Référence :
référence

Bamberger, K. A., Technologies of Compliance: Risk and Regulation in a Digital Age. Texas Law Review, Vol. 88, p. 669, 2010, UC Berkeley Public Law Research Paper No. 1463727.

 

Notre avis

stars
4
avis

Un article sur la dérégulation de la sécurité industrielle à l’ère digitale, appliquée au secteur bancaire, un peu ancien (2010) mais très bien écrit.

Synthèse

En décembre 2006, la crise de la banque Goldman Sachs (au moment de la crise américaine des subprimes) débutait en interne, avec la décision stratégique de vendre une partie des capitaux de réserve et en diversifiant rapidement les actifs pour couvrir l’effondrement de la valeur des avoirs immobiliers. Les pertes furent énormes en 2007, mais les décisions évitèrent la faillite comme celles survenues à leurs concurrents (Lehman Brothers et autres) et les profits sont revenus dès 2009.

En parallèle, Goldman avait investi depuis les années 1990 sur la digitalisation de ses procédures internes, et l’adoption des nouvelles technologies. Ces indicateurs digitaux ont bien joué leur rôle dans le rétablissement de la banque.

Dès lors, Goldman Sachs a développé un environnement digital de contrôle interne encore plus sophistiqué, capable à la fois de gérer quasi automatiquement les opérations bancaires sur le marché par une analyse de ce marché tout aussi digitalisé et intelligent. Cela fournit en retour aux autorités un compte rendu fidèle de l’état des finances de la banque conforme à toutes les attentes légales, particulièrement en matière de contrôle du risque financier (mesure, protections, et atténuation).

Finalement, c’est un nouveau système de régulation du risque bancaire que Goldman a introduit dans tous les USA ‒ puis comme un standard mondial ‒, faisant évoluer la loi, avec la reconnaissance d’une capacité internalisée aux entreprises de « management-based model », d’ajustement dynamique interne proposant une alternative à la vision externe, plus réglée et unique qui prévalait de la part des autorités.

L’argument central était que les indicateurs digitaux donnaient à la banque (et aux autorités) une visibilité incomparable sur les risques par rapport aux indicateurs demandés par les autorités jusque-là. La vision était plus dynamique, plus personnalisée aux spécificités de chaque industriel, plus réactive, bref, plus exacte, et donc plus sécurisante pour le pilotage des risques et leur contingentement (loin de la rigidité « la même pour tous - One size fits all » qui prévalait dans le contrôle par les autorités).

L’idée fit son chemin et se développa rapidement. Mais trois questions arrivèrent rapidement sur la table : la dépendance technologique (au digital), le transfert de responsabilité (aux entreprises), et la preuve apportée aux autorités de la qualité du contrôle interne qui suppose en retour une lisibilité et une standardisation renforcée des outils technologiques de contrôle interne employés par les firmes.

La suite de l’article développe plus particulièrement ce dernier point.

La question de la standardisation a fortement sollicité les vendeurs de solutions informatiques de contrôle, et créé un marché extraordinairement juteux pour ce nouveau domaine appelé « GRC - Governance, risk and compliance » (marché estimé à $52 milliards en 2008).

Ces GRC offrent de nombreux outils de conformité, s’appuyant sur une armada d’indicateurs et de données, avec une identification et une évaluation automatique des risques, suggérant des barrières et solutions de prévention, récupération et atténuation, et servant la traçabilité et la détection des fraudes en temps quasi réel.

Mais ces mêmes outils ont aussi créé de nouveaux défis, et même si ce ne fut pas le cas de Goldman Sachs, ils ont prouvé qu’ils étaient peu efficaces pour voir venir la crise des subprimes.

Un de risques majeurs de ces technologies est de créer et construire une vision artificielle (Heidegger parle de « Gestell ») qui parait fondée sur une apparente rationalité mathématique et mesurable qui finit par prendre la main sur la vision humaine, experte mais plus intuitive du domaine. Or, c’est précisément cette image calculée, rassurante qui a retardé la décision de réaction aux subprimes à l’échelle de tous les USA alors que les experts intuitaient clairement le problème.

Autres risques :

  • Le manque de transparence et de compréhension du calcul de l’estimation du risque, particulièrement avec des montages financiers internes aux entreprises avec de nombreuses tierces parties quasi-invisibles.
  • Une mauvaise prise en compte dans les modèles d’estimation de la dimension systémique des risques (incapacité de nombreux emprunteurs de rembourser leurs crédits à cause d’un mode commun).
  • La logique réactive et automatique de ces systèmes en matière de conformité peut s’avérer finalement préjudiciable en précipitant les systèmes dans la ruine si les indicateurs ont eux-mêmes une tendance rapide inflationniste ou déflationniste.

Au total, ces risques sont suffisamment sérieux pour développer des contre-mesures à cette automatisation intensive de la gestion de la sécurité et de son contrôle. L’auteur fournit deux pistes impliquant toutes les deux une participation plus active des experts des entreprises aux décisions stratégiques de pilotage des risques :

  • Il faut exploiter différemment les données. Ok pour fournir des chiffres, mais il faut aussi bien intégrer cette vision non seulement sur la foi des données disponibles (du passé), mais aussi dans un futur prenant en compte l’évolution du marché, des systèmes, des intentions industrielles… Un futur qui est forcément plus dans la tête des directions et des experts que dans les seules données du passé.
  • Il faut aussi sans doute revenir à une situation qui implique davantage les autorités dans l’évaluation des risques, en leur permettant de participer à l’analyse des risques dans le contexte de la digitalisation, et avec une préoccupation de conformité juridique renforcée.

Pour résumer, davantage de transparence sur les calculs de risque, davantage de considération pour réintroduire un regard et des décisions expertes humaines à tous les niveaux concernés de l’entreprise dans la surveillance des risques, et davantage de coopération in fine entre autorités de contrôle et entités contrôlées.