Les technologies de collecte et d’analyse de données, toujours plus perfectionnées, aident les entreprises à prévenir les délits commerciaux, à s’en défendre ou à enquêter à leur sujet.
Dans cette série de deux webinaires, le groupe Enquêtes et défense des cols blancs de BLG explore les notions de gestion des risques sur les plans de la conformité, de l’enquête et de la défense.
Résumé de la séance 1
Diffusion originale le 14 octobre 2021.
Animatrice : Julia Webster, avocate principale – BLG Toronto
Panélistes :
- Rob Mason, chef mondial, Veille réglementaire – Relativity Trace
- Jack Martin, associé et directeur national, Analyse judiciaire de données – KPMG Canada
- Andrew Terrett, directeur national, Technologies juridiques et prestation de services – BLG
Les entreprises disposent maintenant de technologies plus efficaces et doivent par conséquent composer avec le fait que les organismes de réglementation s’attendent à les voir changer leur façon de mettre en place leurs programmes de conformité, quel que soit leur secteur d’activité. Au Canada comme partout ailleurs, l’intelligence artificielle (IA) et les outils de surveillance de données en temps réel permettent aux entreprises d’économiser temps et argent.
Les panélistes ont abordé ces sujets :
- Les solutions de traitement de données utilisées dans divers secteurs à des fins de conformité
- Les limites de l’automatisation
- L’importance du facteur humain dans la mise en œuvre de solides programmes de conformité
- L’avenir de l’analyse de données
Surveillance de données et conception de solutions de conformité
Les institutions financières peuvent contrôler les communications internes écrites et verbales au moyen d’outils de filtrage des données afin de se conformer à des codes de conduite internes, des directives émises par les organismes de réglementation ou toute législation applicable. Alliant l’IA et des lexiques (c.-à-d. des sous-ensembles de vocabulaire) d'un vaste éventail de langues, ces outils peuvent signaler des échanges suspects en temps réel. Il arrive bien sûr que des signalements soient erronés, mais l'analyse des signaux d’alarme contribue à l'apprentissage automatique de l'outil, donc à son exactitude.
Pour que sa solution de détection soit efficace, une entreprise doit comprendre les principaux signaux d’alarme liés à une activité frauduleuse. Cette approche constitue la trame de fond des mécanismes de conformité liés à la détection d'activités de blanchiment d'argent (voir les directives du CANAFE au sujet des transactions suspectes) mais aussi de tentatives de corruption au sein de projets financés par la Banque mondiale. Une fois les principaux signaux d’alarme bien compris, l'entreprise peut tirer profit de l’apprentissage automatique pour filtrer parmi les données des signaux hâtifs, en vue d'atténuer le risque de fraude.
Elle peut par exemple surveiller des transactions en ligne considérées comme à risque élevé en raison de leurs adresses IP, surveiller l’achalandage sur le web en provenance d’une zone géographique problématique, associer entre elles des transactions en fonction de leur montant ou d’une période donnée, ou surveiller celles dont les renseignements sur le client sont incohérents. Ce sont souvent les solutions sur mesure qui donnent les meilleurs résultats, comme les robots logiciels qui minent les sites Web des organismes gouvernementaux de réglementation pour en tirer les renseignements les plus à jour.
Toute solution de surveillance doit être envisagée comme un processus continu : il faut éviter de penser que l’on peut simplement mettre un outil en place, puis le laisser aller; il faut bâtir un programme évolutif, tenu à jour en fonction de l’évolution des signaux d’alarme.
Importance du facteur humain et limites de l'automatisation
Bien que l’IA aide grandement à détecter rapidement et efficacement les transactions et les comportements non conformes, elle ne remplace pas le jugement des professionnels du droit et de la conformité chargés de modifier des politiques et des procédures. L'interprétation des tendances et des faux positifs détectés par les outils d’IA nécessite le jugement humain, tout comme la prise de décision à la suite du signalement de transactions ou de communications.
Côté machine, on doit pouvoir compter sur des éléments clés : des données de qualité, donc exactes, exhaustives et uniformes, et un moteur puissant, soit fiable, robuste, muni des technologies les plus avancées, et assez agile pour évoluer suivant de nouveaux paramètres.
Côté humain, on doit pouvoir s'en remettre à des analystes polyvalents qui ont une connaissance approfondie du sujet, capables de détecter les signaux d’alarme et les incohérences entre les données, même subtils. Ils doivent pouvoir établir des tendances à partir de leurs constatations et se baser sur des données probantes pour faire remonter à qui de droit les transactions problématiques.
Lors de l’analyse des alarmes signalées, il est crucial de réduire le nombre de faux positifs pour améliorer la gestion des risques fondée sur les données et réduire le fardeau des professionnels du droit et de la conformité qui analysent les transactions et communications rapportées. Pour ce faire, il faut instaurer une boucle de rétroaction positive, par laquelle les professionnels de la conformité déterminent pourquoi un signal d’alarme pourrait représenter un faux positif. Ainsi, on s'assure de continuer à raffiner les fonctions d'apprentissage automatique de l'outil d’analyse.
Avenir de l'analyse de données en ce qui a trait à la conformité
L’infonuagique a aidé les professionnels du droit et de la conformité à surmonter les obstacles posés par les infrastructures ainsi qu’à dégager un portrait d’ensemble des données et à les surveiller en temps réel.
Les entreprises ajusteront le tir, misant non plus seulement sur la simple détection des brèches de conformité, mais également et surtout sur la détection des risques. L’IA jouera alors un rôle croissant pour dégager précisément les tendances.
Pour la suite, les scénarios de perfectionnement technologique devraient se concentrer davantage sur les risques, et moins sur les questions secondaires. Les analyses fondées sur les scénarios où l’IA contribue à cerner les principaux risques connexes commencent à porter leurs fruits; toutefois, on envisage plutôt un mode hybride dans l'avenir immédiat, dans lequel la détection de signaux d'alerte basée sur des lexiques continue d’avoir un rôle déterminant.
Les organismes responsables de l’application de la loi s’interrogent sur leurs directives internes en matière de poursuites afin d’évaluer judicieusement les politiques de conformité, à la lumière des avancées technologiques. Par exemple, la politique intitulée « Evaluation of Corporate Compliance Programs » (évaluation des programmes de conformité d’entreprise) du département de la Justice des États-Unis (DOJ) cherche à établir si les services de la conformité sont aptes à détecter et à prévenir les cas d’inconduite. Le DOJ évalue si un service de la conformité donné a accès à des sources de données pertinentes, si des obstacles s’opposent à l’accessibilité des données, et si les données font l’objet de contrôles et de tests opportuns et efficaces. Il observe aussi si les entreprises soumettent leurs données à un examen périodique et si, par la suite, elles mettent à jour leurs politiques et procédures pour en refléter les résultats.
Les professionnels du droit doivent donc être polyvalents : ils doivent non seulement approfondir leur expertise juridique, mais aussi demeurer au fait des outils pouvant aider leurs clients à mettre en place des processus de conformité et à les simplifier.