Charlotte Gaudin (AML Factory) : “Nous proposons un GPS de la conformité”

Pourquoi avoir créé AML Factory ? 

Avant de lancer cette entreprise, j’ai été consultante et responsable conformité dans plusieurs entreprises, puis j’ai créé  mon propre cabinet, Conformément vôtre. Ces expériences m’ont permis d’intervenir auprès d’une soixantaine de sociétés. À chaque fois, j’ai constaté la même difficulté à trouver des profils qualifiés pour construire les équipes, les mêmes problématiques à composer avec la réglementation, qui évolue fréquemment, les mêmes questionnements en matière de concurrence car selon la réglementation du pays, certaines entreprises sont moins contraintes que d’autres… 

Les entreprises se tournent vers des consultants et des avocats pour traiter ces enjeux, comprendre les textes et les adapter à leurs normes internes. Sauf que le rôle de ces professionnels s’arrête là : ils n’expliquent pas comment mettre ces éléments en œuvre. Les banques se tournent donc ensuite vers des sociétés plus technologiques, qui permettent d’appliquer les normes à l’opérationnel. Comme elles sont moins expertes, ces start-up le font à leur manière et laissent quelques fois des trous dans la raquette. Par ailleurs, cet empilement de services différents ne facilite pas les pratiques de gouvernance. 

Que propose AML Factory ?

Dans les entreprises, les procédures internes figurent parfois sur un document Word, qui est modifié puis validé par les équipes conformité dès qu’il y a une modification réglementaire. Les équipes en charge de la technologie prennent ensuite le relais pour faire évoluer l’outil, les collaborateurs concernés sont formés, puis des rapports sont régulièrement transmis pour assurer le suivi de conformité. 

AML Factory place ces normes dans un environnement numérique, vérifie automatiquement qu’elles restent d’actualité en fonction des évolutions réglementaires, propose automatiquement les mises à jour nécessaires et offre la possibilité de valider ou pas l’évolution du texte. S’il y a validation, la norme interne est mise à jour, puis envoyée vers tous les outils techniques pour soumettre à leurs utilisateurs la possibilité de les actualiser. Nous proposons une sorte de GPS de la réglementation pour les banques, les assurances et les autres professionnels assujettis. Ce service notifie l’utilisateur, suggère des évolutions de normes internes puis les répercute côté opérationnel. Notre plateforme fait aussi remonter les informations utiles au reporting. 

Comment cela fonctionne-t-il techniquement ? 

Nous avons développé un moteur expert fondé sur deux éléments : la modélisation des référentiels mathématiques de la réglementation et des mécaniques d’analyse et d’interprétation. Cela fonctionne comme un arbre des possibles, grâce auquel nous pouvons envisager toutes les situations : si jamais un élément X de la réglementation évolue, quel est l’impact sur les normes internes à l’entreprise ? Quels en sont les effets sur le plan opérationnel, selon chaque situation ? Nous avons ainsi développé une technologie qui s’appelle QARA (Question Answer Response and Action), qui permet de s’adapter au contexte. À chaque action, une question est posée : est-ce qu’il y a eu modification de la réglementation ? Sur quel périmètre, avec quelles données ? En fonction de la réponse, une action est prise par le moteur et permet cette automatisation de l’adaptation de la norme. 

Si l’on prend le cas des listes de pays que publie le GAFI plusieurs fois par an, par exemple…

En lutte contre le blanchiment, les pays sont classés blanc, noir, rouge, gris. Chaque couleur correspond à un facteur de risque et génère des contrôles spécifiques à effectuer, donc ces listes ont un impact sur le monitoring des comptes des clients finaux. Si demain la France passe de blanc à rouge, notre outil sera capable de le signaler directement aux utilisateurs, qui valideront la modification et verront leur norme mise à jour. Une fois cette étape passée, notre module profiler va balayer toute la base clients, identifier ceux liés à la France, réévaluer leur profil de risque en conséquence, puis mettre ce nouveau résultat dans la “to-do list” des personnes qui doivent valider cette évolution. Notre outil peut aller jusqu’à demander au client final de compléter son dossier de KYC en fonction de ce que ce nouveau profil de risque impose comme informations ou contrôles complémentaires. Cette logique fonctionne pour n’importe quelle norme du dispositif et n’importe quelle logique opérationnelle sous-jacente. 

De quelle manière vous interfacez-vous avec les systèmes de vos clients ? Pour le KYC par exemple, passez-vous par des outils déjà existants ou en proposez-vous un en propre ? 

Les deux sont possibles : AML Factory a développé son propre module de KYC, mais nous pouvons  nous connecter à une solution déjà existante, par API. Ensuite, il y a d’autres mécanismes en cours de déploiement, qui visent à enrichir la proposition de valeur d’AML Factory. Nous travaillons par exemple à l’automatisation de la veille réglementaire pour pouvoir injecter les données directement dans notre back-office et adresser les suggestions d’évolution en conséquence. La troisième étape consistera à fournir nos back-office et notre veille réglementaire au client, en gardant une validation par l’être humain. Sur des sujets d’analyse des transactions, nous développons par ailleurs des algorithmes pour vérifier si l’historique disponible d’un client contient des itérations anormales. Nous recourons au machine learning pour venir modéliser les propositions d’alerte qui peuvent être faites. Nous avons différents projets R&D de ce type, qui visent à améliorer l’approche par les risques et à alléger les contraintes vécues par les clients. 

Vous êtes experte des questions de lutte contre la fraude et le blanchiment. Quelle vision avez-vous de l’affaire des FinCEN Files, que révélait BuzzFeed News et l’ICIJ le 20 septembre ? 

Elle manque certains pans de la question. Les FinCEN Files, que les banques doivent envoyer aux autorités, sont des déclarations de soupçon. On ne sait pas si la personne a effectivement réalisé du blanchiment d’argent ou de la fraude et ce n’est pas aux banques de qualifier ce genre de choses. Elles doivent seulement transmettre leurs doutes. Cela dit, en Europe et aux États-Unis, lorsqu’une banque réalise une déclaration de soupçon, sa responsabilité administrative est levée : on ne peut pas l’accuser d’avoir accepté la transaction. Par ailleurs, si les transferts de fonds étaient bloqués, des organismes comme Tracfin auraient des difficultés à remonter la piste si on bloquait les déplacements de fonds tels que réalisés par les banques, des organismes comme Tracfin ne pourraient plus s’en servir pour aller vérifier les informations des personnes réceptrices. Donc il y a beaucoup de manières d’envisager le problème qui ne sont pas forcément évoquées dans ces articles. 

Faudrait-il que les banques en fassent plus en matière de lutte contre le blanchiment et le financement du terrorisme ? 

Elles font déjà beaucoup, en réalité. Un rapport de LexisNexis Risk Solutions démontrait que le secteur financier de 5 ou 6 pays européens dont la France dépensait plus de 135 milliards de dollars en conformité (138,8 milliards pour la zone Europe Moyen-Orient Afrique en 2019, 31,5 milliards pour les États-Unis et le Canada, ndlr). C’est énorme, en termes de ressources humaines et d’outils (lire notre article paru en avril pour plus de précisions). Mais leur problème, c’est qu’elles fonctionnent souvent en silos. Au sein d’un département conformité, les services KYC ne dialoguent pas nécessairement avec ceux chargés de surveiller les personnalités politiquement exposées, ni avec celles en charge de la réglementation. Les banques traitent des milliards de transactions par jour, mais leurs informations sont rarement centralisées ou consolidées dans un outil dédié. C’est pour ça qu’elles ont besoin d’outils de business intelligence qui leur permettent de remonter toutes leurs informations, puis de faire en sorte que leur traitement soit conforme aux réglementations. Mais c’est complexe. 

Face aux 180 milliards d’euros dépensés par le secteur financier dans la la lutte contre la fraude, le volume de flux monétaires illicites dans le monde représenterait entre 1 600 et 4 000 milliards de dollars, selon l’ONU…

 Soit à 3 à 5% du PIB mondial, dont 75% seraient blanchis en transitant via le secteur financier. C’est considérable. Si vraiment on voulait que le déplacement de fonds potentiellement frauduleux cesse du jour au lendemain, il faudrait largement augmenter la charge de la sanction. On a vu plusieurs banques être condamnées à des milliards d’euros d’amende, quelquefois à répétition. Donc si le souhait est de mettre définitivement fin à ces pratiques, il faudrait retirer les agréments des institutions qui ne respectent pas les règles. C’est la seule sanction que j’imagine être suffisamment lourde pour être capable de pousser toutes les institutions financières à mettre tous les moyens disponibles sur le sujet d’un coup – même si, comme je le disais précédemment, elles font déjà beaucoup sur le sujet.