« Je pense que l’Europe peut et doit se construire sur une vision humaniste de la compliance »

Les Petites affiches

Lors d’une conférence au Collège de France, le 4 octobre dernier, dans le cadre du cycle de conférences : « Pour une Europe de la gouvernance », Alain Supiot a émis des réserves à l’égard de la compliance en expliquant que l’internalisation de la règle par le salarié est la source du développement de pathologies psychologiques au travail. N’est-ce pas une vison bien sombre de la compliance…

Marie-Anne Frison-Roche

Ce qu’il a dit est pertinent dès l’instant que l’on conçoit la compliance dans une acception réduite, comme le stade ultime d’un mouvement qu’il décrit depuis longtemps : la transformation de l’être humain en machine. Il a cité Les temps modernes de Chaplin en soulignant que les artistes sont les premiers à percevoir les évolutions. Cette compliance à laquelle Alain Supiot fait référence est une série de process à exécuter point par point que l’on internalise dans les entreprises, c’est-à-dire un groupe d’êtres humains. L’on se contente de dire à ces êtres humains : vous allez faire A, B, C et D puis vous recommencerez, tous les jours, toutes les semaines, durant des années à appliquer à la lettre ces procédures de compliance. Ainsi en en faisant de simples exécutants de process, on les transforme en machines. Les employés s’y appliquent avec docilité et minutie car ils savent que s’ils se trompent ils seront écartés, comme des machines qui ne donnent pas satisfaction. Il y a effectivement de quoi « devenir fou », comme l’a dit Alain Supiot et il a raison de voir dans cette conception de la compliance l’aboutissement des Temps modernes : Charlot, après avoir serré ses boulons, se met à serrer les boutons de la robe d’une femme qui passe. C’est le signe qu’il n’est plus humain lui-même, ne songe pas à distinguer la chaîne de montage et la personne ; il est devenu une machine qui serre des boulons avec une extrême diligence. Comme sa sensibilité humaine n’est pas requise, il ne voit pas la différence entre un boulon et un bouton. Et il finit par agresser une femme et donc faire courir à son entreprise un risque pénal. Si c’est cela la compliance, alors moi aussi je suis contre ! Demander à des êtres humains de faire des choses sans savoir pour quelles raisons ils doivent les faire mène toujours à des catastrophes.

LPA

Vous défendez donc une définition riche de la compliance, quelle est-elle ?

MAFR

Il faut laisser là cette définition pauvre de la compliance à juste titre dénoncée par Alain Supiot, pour inventer un droit de la compliance, fondé sur une définition riche. Par la compliance on passe d’une conception traditionnelle de l’activation ex post de la règle juridique lorsqu’elle a été enfreinte par l’entreprise à une activation ex ante où l’entreprise s’empêche d’enfreindre la loi. La conception pauvre consiste dans un engagement contraint ou spontané d’une entité en ex ante à appliquer la réglementation en utilisant des process qui garantiront l’effectivité du droit. C’est la conception souvent développée en banque, finance, concurrence, mais aussi en fiscalité ou encore en droit de l’environnement. En bonne logique, on confie à des algorithmes et autres machines le soin d’organiser cette conformité à la réglementation, moyennant d’importants investissements financiers pour mettre en place les systèmes. Cette définition très répandue est à la fois pauvre et très négative, car elle met à l’écart à la fois le droit et l’humain, tous deux étant considérés comme des facteurs de « risques », à cantonner, voire à éliminer… À l’opposé, il existe une définition riche. Elle part du politique, qu’il s’agisse du gouvernement d’un État, d’un régulateur, d’un organisme international etc. Ce politique a un projet, c’est-à-dire qu’il poursuit des objectifs. Par exemple, il veut lutter contre le terrorisme, protéger la planète, favoriser l’égalité entre hommes et femmes, organiser les territoires, éduquer, etc. Or il lui manque des moyens pour atteindre ces buts et ce d’autant plus que le qualitatif comme le quantitatif ont changé d’échelle. Qualitativement, ces « prétentions » sont de plus en plus grandes, par exemple lutter contre le réchauffement climatique, tandis que quantitativement les moyens sont de plus en plus réduits en raison de l’extension géographique et de la complexité des informations à atteindre. L’État va donc chercher une solution pour atteindre ces buts. Celle-ci consiste à faire appel aux très grandes entreprises. Par exemple, il va se servir des banques pour lutter contre le blanchiment. D’une façon plus générale, on « ouvre » alors la grande entreprise, on place à l’intérieur ce « but monumental » puis on lui enjoint de mettre en œuvre les moyens d’y parvenir en la laissant libre de choisir les plus appropriés. Et cela n’implique pas en soi cette mécanisation, cette déshumanisation dénoncée par Alain Supiot : cela peut même être le contraire, si l’on conçoit bien un droit de la compliance.

LPA

Le 9 octobre dernier, lors du premier forum des regtechs – ces sociétés qui utilisent les technologies pour assister les directions juridiques/directions conformité dans leur mise en conformité avec la réglementation – vous êtes intervenue pour proposer la création de Compliancetechs. En quoi est-ce différent des regtechs ?

MAFR

Lors de ce colloque, plusieurs intervenants ont décrit le droit comme un « risque », qu’il faut donc juguler par le recours à des solutions technologiques. Par exemple, on nous a présenté une plate-forme capable de collecter toute la réglementation dans un domaine donné et d’analyser ensuite les activités d’une entreprise en lui proposant un système d’évaluation de conformité sous forme de feux tricolores : vert pour les activités sans risque, orange pour un risque modéré ou rouge en cas de fort risque de non-conformité. Dans un système idéal, il n’y aurait plus de décision, juste s’arrêter au rouge et avancer au vert, des pas mécaniques dictés. Et comment ne pas repenser au film de Chaplin… En dehors du fait que si le feu est orange, le réflexe sera de ne pas bouger – car il faut bien ne pas poursuivre la jeune femme si l’on ne sait pas s’il s’agit d’un bouton de robe ou d’un boulon de machine-outils – par définition il n’y a plus d’humain. Car l’humain, par nature, peut se tromper (« l’erreur est humaine ») ; c’est un risque. À terme, s’il ne devait y avoir que de l’outil de la regtech on peut imaginer que le mieux serait pour les entreprises de ne rien faire. Sauf à articuler à la regtech ce que je désigne comme la Compliancetech.

En effet, l’objectif de celle-ci n’est pas de proposer une analyse de risque indiquant pour chaque violation de « réglementation » ce que cela risque de coûter, mais permettant à tous les êtres humains qui travaillent dans ou pour l’entreprise de connaître et comprendre quels sont les buts poursuivis par le droit qui les concerne, droit dont la réglementation n’est qu’une forme. Et cela change tout ! Car se sentir en charge d’appliquer des règles en comprenant les objectifs, par exemple respecter une procédure parce qu’ainsi quel que soit son niveau on lutte contre le blanchiment et le terrorisme, on protéger la planète, on aide les autres êtres humains, chacun peut le comprendre et chacun est d’accord pour le faire, chacun y est sensible. Or c’est cela la définition « riche » du droit de la compliance. C’est pourquoi, la compliance est avant tout de la pédagogie et non pas de la mécanique, non pas de la compilation de textes mais de la compréhension des buts à la concrétisation desquels chacun peut contribuer.

LPA

Mais si l’on entend réintroduire l’humain, pourquoi faire appel à une Compliancetech ?

MAFR

Parce qu’on ne peut pas mettre un professeur derrière chaque employé ! Nous parlons de très grandes entreprises dans lesquelles précisément la technologie va pouvoir contribuer à réaliser une tâche impossible à faire sans elle. Par exemple, l’on ne peut pas dire à tel géant européen de la construction : vous allez devenir le deuxième employeur d’enseignants en France car il faut que vous formiez tout votre personnel aux préoccupations ESG. La seule solution consiste donc à recourir aux compliancetech. Mais pas pour analyser les risques du droit : le droit n’est pas un risque, c’est une protection ; et pas non plus pour chiffrer le coût potentiel des diverses violations envisageables de règles, mais pour inscrire la compliance dans l’esprit de chaque salarié comme but louable à atteindre grâce à lui.

Par exemple, quand Charlot serre les boulons, il faut qu’il comprenne qu’il construit ainsi une voiture qui sera utile et il le fera en se souciant de l’environnement. Alors il trouvera un intérêt à ce boulon, il pourra peut-être en parler d’une façon humaine et il distinguera aisément l’objet avec un bouton de robe dont le but est bien différent, évitant pour l’entreprise un risque industriel et humain pour la femme malmenée. Peut-être est-ce important en termes d’efficacité de bien serrer des boulons selon le process requis, ce serait si utile que l’être humain qui le fait sache pourquoi il effectue ce travail. C’est l’objet des Compliancetech, indissociable d’une définition riche du droit de la compliance.

LPA

Est-ce que ça ne remet pas en cause les techniques actuelles de management, dans lesquelles on demande aux salariés d’appliquer des process et assez peu de réfléchir… ?

MAFR

Peut-être n’a-t-on pas songé assez à solliciter l’intelligence des salariés en oubliant de considérer qu’ils étaient des êtres humains. Ce phénomène beaucoup observé et parfois décrit comme « l’obsolescence de l’homme » ne l’est souvent que sur le mode de la plainte. Certes les chants désespérés sont les plus beaux. Mais je propose une vision plus optimiste et opérationnelle en expliquant à chacun qui travaille dans et pour une entreprise, que les buts poursuivis par la compliance s’appliquent à celle-ci. Il ne s’agit pas de bouleverser les pratiques actuelles mais simplement d’expliquer quels sont les objectifs poursuivis. De la même façon que si une regtech est en mesure de repérer dans une banque les comptes qui dysfonctionnent, c’est utile. Mais en revanche, pour détecter des signaux faibles, et lutter plus efficacement contre le blanchiment pour continuer dans cet exemple, il faut faire appel à l’intelligence humaine formée à la compliance, laquelle est avant tout une culture centrée sur les buts poursuivis. Il s’agit alors de faire comprendre le sens du droit et de le faire aimer. Au lieu de le présenter comme une sorte de tsunami susceptible d’engloutir l’entreprise, une sorte de risque fatal…

LPA

En même temps, on ne peut nier qu’à défaut du droit, la réglementation dans son aspect mouvant, pléthorique, parfois incompréhensible voire contradictoire représente un risque réel et une préoccupation sérieuse pour les entreprises, notamment en termes de responsabilité…

MAFR

Les entreprises semblent en effet avoir souvent peur des problèmes de compliance et dépensent des sommes très importantes pour s’en protéger. Comme la compréhension de la compliance est souvent rattachée à une définition restreinte, le droit réduit à la réglementation, les buts exclus de la perspective au profit de la technicité, les entreprises le font parfois d’une façon qui dessert leurs intérêts, ou à tout le moins ne suffisent pas. Ainsi, des algorithmes lancent des alertes dans tous les sens, les réglementations sont segmentées. La technicité, l’automatisme, l’argent dépensé sécurisent les dirigeants, les investisseurs et les actionnaires. Dans la vie les règles interfèrent les unes avec les autres, les risques résident dans les êtres humains qui ne sont pas forcément à des postes dits de responsabilités et l’on ne profite pas du fait que tous les employés sont aptes non seulement à comprendre les buts poursuivis par le droit de la compliance mais à agir pour aider à les atteindre (par exemple : lutter contre le trafic de drogue). L’entreprise ne gagne pas à transformer les salariés en « charlots ». Ce n’est d’ailleurs en rien ce que demandent les régulateurs, qui sanctionnent l’application par l’entreprise du droit de la compliance ! Il suffit de lire leurs décisions pour constater que ce qu’ils réclament c’est que les entreprises se structurent pour atteindre les buts qu’on a internalisés en leur sein. Il y a une obligation de résultat sur l’organisation structurelle de l’entreprise (par exemple : cartographie des risques et moyens mobilisés) mais concernant le comportement des êtres humains vis-à-vis des buts visés, il ne s’agit que d’une obligation de moyens. Les autorités de régulation sont dirigées par des êtres humains eux-mêmes raisonnables qui ne perçoivent pas les entreprises comme des criminels nés mais comme des entités performantes, globales et ayant des informations, des moyens pour parvenir à des objectifs fixés par la puissance publique. En pratique, on va donc sanctionner la banque qui n’aura pas établi la cartographie des risques qui lui a été demandée, pas celle qui n’a pas aperçu la survenance d’un risque, dès l’instant que l’entreprise a préconstitué ses diligences. Cette organisation probatoire fine et raisonnable est commune à tous les secteurs, la pharmacie par exemple, si l’on se réfère aux règles en matière de tests, d’informations et d’effets secondaires. Mais la compliance finit par créer une sorte de paranoïa dommageable, certaines entreprises voyant tout en obligations de résultat et appréhendant tout le droit comme un risque, à fuir, ou un coût, à réduire… À force de mal interpréter les attentes des régulateurs, les entreprises vont finir par se paralyser elles-mêmes, puisque tous ces feux rouges mènent à l’inaction. Et elles seront à la merci d’entreprises moins vertueuses qui décideront elles de s’émanciper des règles et d’en assumer le risque, puisque le respect du droit, réduit à la « réglementation », laquelle est dissociée de son but, ne serait plus que cela. L’avenir s’annonce calamiteux si l’on avance dans cette voie. Et le pire, c’est que personne n’a jamais donné une telle définition de la compliance. Prenons la définition riche du droit de la compliance, et l’avenir sera inverse.

LPA

Lors du Forum des regtechs, vous avez conclu en disant : « La technologie c’est la façon dont pourra survivre et se développer l’humanisme ». Qu’entendez-vous par cette formule ?

MAFR

C’est la chance de l’Europe. Aux États-Unis, le but de la compliance est la protection des systèmes bancaires, financiers et de concurrence par la compliance. L’Europe a une carte à jouer en désignant le protégé final, celui qui est le véritable objectif de la réglementation, au-delà de la préservation du système financier ou de la concurrence : la personne humaine. Je crois en une Europe humaniste et souveraine. Je pense que l’Europe peut et doit se construire sur une vision humaniste de la compliance. Si par les Compliancetech, les entreprises européennes inculquent à chacun le but humaniste de la compliance (protéger la nature, protéger l’être humain), la compliance sera dans la ligne de l’Europe classique. Comme l’a très bien décrit Gunter Anders qui écrivit son désespoir devant « l’obsolescence de l’homme » par l’industrialisation de la société, nous ne voulons pas être des machines désirantes et désirées. C’est pourquoi la technologie doit demeurer au service de l’homme.