Cette définition a évolué pour prendre en compte l’indépendance du marché de la Regtech, eu égard à l’essor de la fonction conformité et son expansion à tous les secteurs. De plus, les solutions concernées peuvent être le fruit d’une innovation en interne (« in-house ») et pas uniquement des fournisseurs, principalement des start-ups. C’est ainsi que l’autorité bancaire européenne (« EBA ») désigne par « Regtech » toute gamme d'applications des innovations technologiques pour répondre aux exigences réglementaires, de conformité et de reporting mises en œuvre par une institution réglementée, avec ou sans l'aide du fournisseur RegTech[4].
Selon le rapport publié par l’EBA en juin 2021, les technologies les plus utilisées dans les solutions offertes par les fournisseurs Regtech[5] sont : le Cloud computing (69%), le Machine Learning (61%), les Data Transfers Protocols (51%), les Semantics/Graph Analysis (41%) et le Natural Language Processing (41%). Bien que non présentée dans ces chiffres, l’utilisation des interfaces de programmation applicative est omniprésente dans les solutions Regtech.
Il est à noter que les technologies utilisées par les institutions financières[6] dans leurs solutions in-house sont plus ou moins les mêmes, mais dans un ordre légèrement différent.
Les pourcentages ci-dessus montrent une utilisation groupée de ces technologies. En effet, l’EBA déclare que les deux tiers des solutions Regtech utilise une combinaison d’intelligence Artificielle, de Machine Learning, de Big Data, de Cloud coumputing ou d’interfaces de programmation applicative.
Les technologies utilisées dans les Regtech et leurs implications
L’utilisation combinée de ces technologies n’est pas propre aux Regtech. Elle est inhérente à la nature et au fonctionnement mêmes de ces technologies. C’est ainsi que le développement d’une innovation en particulier est nécessaire à la croissance de l’autre.
Avant de définir ces concepts, il convient de les situer dans un processus global. Par simplification, on peut le présenter comme suit : grâce à une infrastructure informatique performante, une grande quantité de données collectées est traitéepar diverses méthodes afin d’obtenir des solutions plus fiables. Nous nous intéresserons dans un premier temps aux données d’entrée et aux méthodes de traitement de ces données. Enfin, nous évoquerons l’infrastructure intervenant tout au long du processus (de la collecte des données à la livraison de la solution finale) et qui facilite les lignes de liaison et de communication.
Le Big Data et l’IA
Le Big Data signifie littéralement données massives (ou mégadonnées). Il désigne un ensemble très volumineux de données variées générées à une vitesse élevée. Cette définition, dite des « 3V », a été développée par l’entreprise Gartner[7] pour montrer que cet ensemble de données ne peut pas être géré par un outil classique de gestion de base de données.
A titre d’illustration, 90% des données qui existaient en 2016 ont été produites sur les deux années précédentes[8]. Cela représentait environ 2,5 quintillions, c’est-à-dire d'octets par jour constituées de données aussi bien structurées[9] que non structurées (photos, vidéos, textes, signaux cardiaques…) et collectées, parfois, en temps réel.
On parle de Big Data Analytics (analyse de mégadonnées) pour désigner l’ensemble des technologies utilisées, y compris l’intelligence artificielle, pour analyser cet ensemble complexe de données et développer des informations exploitables.
L’intelligence artificielle (IA) est une notion polysémique donnant lieu à plusieurs définitions. En général, elle est utilisée pour faire référence à l’ensemble des concepts et techniques utilisés pour développer des systèmes ou des machines capables de reproduire certains traits de l’intelligence humaine, que ce soient des fonctions cognitives tel que l’apprentissage ou des compétences comme le traitement de l’information. Ainsi, et en guise de simplification, plusieurs sous-ensembles de l’IA ont émergé en essayant de reproduire un trait en particulier :
- Le Machine learning (ML) - ou apprentissage automatique - peut-être défini comme l’ensemble des algorithmes qui apprennent et qui s’améliorent en identifiant des relations entre les données traitées afin de produire des modèles prédictifs de manière autonome. Le deep learning - ou apprentissage profond - est un domaine particulier du ML dont les algorithmes traitent des données complexes et non structurées.
- Le Natural Language Processing (NLP) - ou traitement du langage naturel - consiste à élaborer des algorithmes permettant de comprendre le langage humain[10] tel qu’il est parlé et écrit[11]. Il est utilisé, par exemple, dans le cadre de la lecture automatique de mails.
- Le Semantic analysis - ou analyse sémantique - est considéré comme un outil du NLP. Il permet de comprendre et d'interpréter des données textuelles en analysant leur structure grammaticale et en identifiant les relations entre les mots de la phrase dans un contexte particulier. Tandis que le Graph analysis - ou l’analyse de graphes - désigne les algorithmes utilisés pour comprendre la relation entre les entrées de la base de données de graphes. Ces derniers permettent, par exemple, d’établir la connexion entre plusieurs personnes dans le cadre d’une recherche de contacts.
L’interconnexion de ces technologies est omniprésente. En effet, le NLP peut être perçu comme une intersection entre la linguistique et le ML. De plus, l’apprentissage profond peut venir enrichir les application du NLP, dont l’analyse sémantique constitue un outil important.
l’infrastructure
On peut inclure dans l’infrastructure informatique les technologies restantes.
Les Data Transfer protocols (DTP) - ou protocoles de transfert de données - sont un format normalisé pour la transmission de données entre deux appareils. Il existe plusieurs protocoles selon les variables utilisées. En effet, le premier protocole créé, le File Transfer Protocol (FTP), permet le transfert de fichiers entre des systèmes distants. On peut également citer le plus connu de ces protocoles, le Hypertext Transfer Protocol (HTTP), qui est un protocole d’application pour les systèmes d’information hypermédia[12].
Une interface de programmation applicative - Application Programming Interface (API) - est une solution informatique qui permet à des applications de communiquer entre elles, via un langage de programmation, et de s'échanger mutuellement des services ou des données.
À la base, une API n'est qu'un code qui permet à deux programmes distincts et utilisés de s'envoyer des informations afin qu'ils puissent travailler en collaboration. Ainsi les DTP sont un moyen de transférer une grande quantité de données, tandis que les API traitent les données entre les applications. Ces deux technologies peuvent être utilisées conjointement pour faciliter le transfert de données dans le progiciel de gestion intégré (ERP) d’une entreprise.
Le Cloud computing (ci-après « Cloud ») peut être traduit en français par l’expression « l’informatique en nuage ». Selon le Haut Comité Juridique de la Place Financière de Paris (HCJP)[13], le Cloud est « un mode d’organisation et de gestion informatique permettant l’accès et l’utilisation, à distance, de services informatiques (logiciels, applications, plateformes, etc.) standardisés, automatisés et mutualisés, qui sont fournis par un prestataire de services de Cloud à plusieurs clients, comme des services à la demande et généralement facturés à l’usage ». Il se décline sous différents modèles de déploiement dont le Software as a Service (SaaS) qui est le plus utilisé[14]. Le SaaS - ou Logiciel en tant que Service - est une solution logicielle applicative hébergée dans le cloud et exploitée en dehors de l’organisation ou de l’entreprise par un tiers, aussi appelé fournisseur de service. La solution SaaS est accessible à la demande via une connexion Internet.
Il est à noter que les API et certains DTP peuvent être considérés comme faisant partie intégrante du Cloud. En effet, le FTP et ses variantes sont utilisés pour le transfert des fichiers dans le Cloud. Dans le même ordre d’idées, une API permet aux utilisateurs finaux d’accéder à l’application du fournisseur Cloud.
Le modèle Compliance as a service (CaaS) ou Conformité en tant que Service
Les solutions Cloud sont couramment utilisées par le secteur financier[15]. Toutefois, si le recours à cette technologie était contenu aux fonctions dites supports (communication, gestion des ressources humaines, etc.) ; elle est de plus en plus adoptée dans le cadre de fonctions sensibles telles que la conformité, voire le cœur du métier de la banque et de la finance[16].
La CaaS est un accord de niveau de service (« Service level agreement » ou SLA) de service Cloud. Ce contrat précise comment un fournisseur de services managés (ou MSP « managed service provider ») aidera une organisation à respecter ses exigences réglementaires. Cette solution est souvent utilisée dans les secteurs fortement règlementés tels que l’industrie des service financiers. L’objectif de ce modèle est de soulager les fonctions conformité des organisations en externalisant une partie des tâches - voire leur totalité pour les petites structures - à un tiers qui dispose de l’expertise et des ressources nécessaires pour les mener à bien tout en maîtrisant les coûts.
En règle générale, les MSP fournissent à leurs clients un accès à des logiciels et à des supports offrant des solutions de conformité. Ces offres incluent le plus souvent les stratégies de l’organisation en matière de gouvernance, de risque et de conformité. On peut citer plusieurs exemples concrets. En matière de veille réglementaire, le MSP dispose d’un groupe d’experts en conformité disponible immédiatement pour revoir, analyser et interpréter les évolutions réglementaires avant leur entrée en vigueur. Cela se traduit ensuite par une mise à jour des logiciels et des supports fournis. Cette mise à jour déployée sur le Cloud est d’autant plus rapide grâce à des tests automatisés de code permettant la livraison des nouvelles versions d’algorithmes. C’était notamment le cas lors de l’adoption de l’amendement de la Directive Transparence[17]. L’efficacité des MSP avait permis aux entreprises de se conformer aux différents interprétations des états membres en quelques jours seulement[18].
Avantages
Le modèle CaaS présente indéniablement plusieurs avantages. En effet, les MSP sont responsables en vertu du SLA de la mise à jour automatique de leurs services offerts en fonction des évolutions législatives et réglementaires. Ces mises à jour sont déployées directement sur les postes des utilisateurs, ce qui simplifie les processus de mise en conformité. En plus de ces services, la plupart des offres CaaS proposent des formations et des ressources utiles facilitant les démarches administratives. Cela représente un gain important de temps, de ressources et d’énergie.
Les fournisseurs Cloud sont également tenus d’assurer la maintenance de l’infrastructure informatique liée aux services. En utilisant les avantage du modèle SaaS, les offres de conformité sont modulables en fonction des besoins de l’entreprise et de la réglementation applicable. En effet l’accès au service par voie d’abonnement et la facturation à l’usage réduit drastiquement le coût total d’acquisition de ces technologies.
Risques et futures réglementations
Au fur et à mesure que le Cloud devient la norme de l'industrie, les institutions financières s’exposent à des risques qui doivent être identifiés, surveillés et gérés.
Le modèle CaaS repose sur l’externalisation. A ce sujet, l’EBA rappelle que les dirigeants des institutions financières demeurent responsables de l’ensemble de leurs activités et de la gestions des risques, y compris ceux provenant des accords d’externalisation. Une attention particulière doit être apportée aux accords impliquant des fournisseurs étrangers et à la localisation de leurs serveurs concernant l’accès et la protection des données[19].
L’utilisation de ces solutions génère des risques de conformité liés, par exemple, au dysfonctionnement du service, voire des risques de continuité d’activité causés par les perturbations majeures touchant l’intégrité ou la disponibilité des données. De plus, le modèle présente des risques opérationnels importants tels que le risque de réputation ou encore les risque juridiques et de gouvernance interne générés par le non-respect des procédures internes et la méconnaissance des traitements de l’information par les fournisseurs.
Du côté de la supervision des acteurs financiers, les régulateurs évoquent des potentielles difficultés quant à l’évaluation et au contrôle des systèmes d’information utilisés par les institutions. Enfin, les études sur les fournisseurs Cloud montrent un marché oligopolistique dominé principalement par des géants américains[20]. Cette concentration crée une dépendance des institutions financières pouvant conduire à l’émergence d’un fournisseur Cloud non réglementé mais d’importance systémique. Le HCJP souligne dans son rapport les enjeux de souveraineté de sécurité des données eu égard aux législations extraterritoriales et à la présence des serveurs Cloud dans des pays tiers à l’UE.
Afin de surveiller et de maîtriser ces risques, les autorités nationales et européennes préparent ou ont déjà adopé plusieurs textes ayant pour objet d’agir directement sur le marché des géants de la technologie, qui sont par ailleurs les principaux fournisseurs Cloud. Dans ce sens[21], on peut citer le Digital Services Act qui a pour objet d’assurer le respect et la mise à jour des règles concurrentielles et commerciales au regard du développement actuel du marché de la technologie[22] ; ou encore le Digital Market Act qui encadre les acteurs dotés d’un pouvoir de marché important et dont le texte a été adopté par le Parlement européen en décembre 2021[23]. Cependant, la majorité des risques mentionnés ci-dessus devront être traités par le nouveau règlement proposé par la Commission européenne en septembre 2020 : le Digital Operational Resilience Act ou DORA[24]. Ce texte définira les exigences en matière de gestion des risques liés aux technologies d’information et de communication (TIC). Il mettra en place des critères pour identifier les fournisseurs TIC dits « critiques » et les soumettre à la supervision des régulateurs financiers. Ils seront alors assujettis à un cadre de surveillance en cours d’élaboration, qui inclut notamment : les tests d’intrusion, des processus élargis de notification des incidents et des plans de continuité d’activité[25]. En attendant l’aboutissement des négociations, les institutions financières doivent suivre les lignes directrices de l’EBA sur la gestion des risques liés aux TIC et à la sécurité[26].
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] Régulateur financier britannique.
[2] “Financial” & “Technology” : selon l’ACPR, il s’agit de l’ensemble des acteurs et des innovations qui concourent à la révolution numérique du secteur financier.
[3] Traduction de la définition figurant dans Feedback Statement 16-04 (fca.org.uk), page 3.
[4] EBA analysis of RegTech in the EU financial sector, EBA, juin 2021, https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Reports/2021/1015484/EBA%20analysis%20of%20RegTech%20in%20the%20EU%20financial%20sector.pdf
[5] L’étude comprend 147 fournisseur Regtech basés dans l’EEE et hors EEE
[6] L’étude comprend 115 institutions financières (banques, entreprises d’investissement, entreprises de monnaies électroniques, etc.) opérant dans les 26 pays membres de l’UE.
[7] D. Laney, “3-D Data Management: Controlling Data Volume, Velocity and Variety”, Meta Group, 6 février 2001
[8] N. Henke, A. Libarikian et B. Wiseman, “Straight talk about big data”, McKinsey Quarterly, 28 octobre 2016
[9] Il peut s’agir des données relatives aux ventes, comme les codes-barres et les quantités.
[10] Selon Chris Manning, professeur de ML à l'Université de Stanford, le langage humain est un "système de signalisation discret, symbolique et catégoriel... construit pour transmettre le sens du locuteur ou de celui qui écrit". Simons-Institute-Manning-2017.pdf (stanford.edu)
[11] Pour aller plus loin dans le fonctionnement de cette technologie : What is Natural Language Processing? An Introduction to NLP (techtarget.com)
[12] La liste de l’ensemble de ces protocoles et de leurs variables est disponible dans cet article : T. Mohan Tukade et R. Banakar, « Data transfer protocols in IoT-an overview », International Journal of Pure Applied Mathemactics, 118(16), 2018,.
[15] En 2013, la moitié des assureurs/ banques déclaraient utiliser le Cloud computing. Source : Page 9, Les risques associés au Cloud computing (banque-france.fr)
[17] Directive 2004/109/EC (Transparency Directive): EUR-Lex - 32004L0109 - EN - EUR-Lex (europa.eu)
[18] Page 8 : K. Schindler et A. P. White, “Compliance as a service: Utilising the power of the cloud”, Journal of Securities Operations & Custody, 11(2), 2019.
[19] Sur l’évolution des exigences réglementaires en matière de RGPD, voir l’arrêt de la CJUE du 16 juillet 2020 invalidant le EU-US Privacy Shield, https://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=fr
[20]Worldwide Public Cloud Services Market Totaled $233.4 Billion in 2019 with the Top 5 Providers Capturing More Than One Third of the Total, According to IDC
[21]Grandes plateformes du numérique : vers le Digital Services Act et Digital Markets Act | economie.gouv.fr
[22] Texte adopté par le Parlement européen le 20 janvier 2022 : https://www.europarl.europa.eu/news/fr/press-room/20220114IPR21017/legislation-sur-les-services-numeriques-garantir-des-espaces-en-ligne-plus-surs
[23] https://www.europarl.europa.eu/news/fr/press-room/20211210IPR19211/dma-le-parlement-est-pret-a-negocier-avec-le-conseil
[24] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595
