L’ACPR utilise pour la première fois un outil d’IA nommé LUCIA, et ça change tout !
L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) vient de publier une nouvelle sanction à l’encontre d’une caisse régionale d’un grand groupe Français. La nouveauté ne réside pas tant dans les griefs retenus pour infliger un blâme et une amende pécuniaire d’1,5 millions d’euros mais plutôt dans l’utilisation d’un outil d’intelligence artificielle lors du contrôle.
Un outil d’IA pour un contrôle ACPR, qu’est-ce que cela va changer ?
En effet, l’ACPR a pour la première fois utilisé un outil d’intelligence artificielle appelé LUCIA (Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle). Cet outil a permis, en moins de 6 mois, de traiter plus de 500gb de données. Cela représente environ 1 million de clients et plus de 750 millions d’opérations de paiement (plus de 2 ans et demi d’opérations !).
Le dessein de l’utilisation de LUCIA n’est pas clairement défini dans la publication de l’ACPR, cependant la commission déclare d’ores et déjà que :
- Même si LUCIA a joué un rôle dans la détection de dossiers à investiguer, cela est sans incident sur les griefs mentionnés et sur la régularité de la procédure.
- Même si LUCIA permet de traiter une immense quantité de données, cela n’apparait pas disproportionné et ne remet pas en cause la loyauté du contrôle.
Dans tous les cas, cette dernière sanction ne fait apparaitre qu’une dizaine de dossiers avec des manquements LCB-FT. Même si l’audit de l’ACPR ne met pas en exergue des carences du dispositif global de LCB-FT mais uniquement des défaillances ponctuelles, cela n’empêche pas l’ACPR de sanctionner par un blâme et une amende pécuniaire ce professionnel assujetti aux obligations.
Cette utilisation inédite d’un outil d’IA ouvre donc une nouvelle ère dans les contrôles des autorités de tutelle. Les audits seront désormais :
- Plus rapides
- Exhaustifs (l’audit ne se limitera plus à des échantillons)
- Plus précis
- Et donc… plus nombreux !
Quels reproches sont faits par l’ACPR ?
Qualité et quantité de données
Comme la plupart des sanctions de l’ACPR, cette dernière n’échappe pas aux reproches concernant le niveau et la qualité de la connaissance client, et ce dès l’entrée en relation :
- Des informations trop vagues, trop imprécises ne permettent pas un profilage client et une classification des risques acceptables.
- De plus, les justificatifs permettant de prouver l’identité du client mais également la connaissance de ce client sont indispensables.
- La connaissance client basée sur le déclaratif reste tolérée pour des clients jugés à « risque faible » mais est déconseillée.
L’avis d’APS : Il est indispensable que toutes les actions, décisions (manuelles ou automatiques), pièces justificatives, commentaires, etc. soient tracés et conservés dans votre outil LCB-FT, avec possibilité de les mettre à disposition à tout moment. Les rapports de contrôle de l’ACPR prouvent que les enquêteurs savent exactement quoi demander pour vérifier la mise en conformité des dispositifs LCB-FT. De plus, votre dispositif doit absolument être capable d’intégrer et d’analyser n’importe quelle donnée que vous pourriez lui transmettre. La qualité de ces informations transmises est essentielle pour que l’ACPR considère votre dispositif LCB-FT comme adéquat.
Fréquence des mises à jour des données clients
L’ACPR, dans cette restitution de sanction, ne remet pas en cause la fréquence de mise-à-jour des données client définie par l’établissement bancaire visé :
- 2 ans pour un client à risque très élevé,
- 3 ans pour les clients à risque élevé,
- 5 ans pour les clients à risque standard
Cependant, l’ACPR critique la non-application de cette politique théorique dans la pratique et rappelle également qu’un client inactif n’échappe pas à la règle.
L’ACPR indique également que les scenarii de détection d’opérations atypiques ne doivent pas faire de différence entre la clientèle occasionnelle et la clientèle en relation d’affaires.
L’avis d’APS : Outre la mise à jour quotidienne des listes de personnes sensibles, la mise à jour régulière des fiches client permet une meilleure qualité de données et donc une meilleure détection des personnes sensibles.
Les outils de LCB-FT doivent filtrer et analyser quotidiennement l’ensemble de votre portefeuille clients. Ce screening automatisé ne doit alors faire ressortir que les nouvelles alertes ou alertes ayant subi un changement majeur. Dans un souci de productivité, les alertes précédemment décidées n’ayant pas subi de changement majeur ne doivent pas être resoumises à la décision d’un opérateur/analyste LCB-FT.
Politique conformité incohérente
L’ACPR pointe 2 incohérences (que nous rencontrons fréquemment) :
- l’incohérence entre les procédures/politiques Conformité théoriques et celles exécutées au quotidien (l’ACPR est intraitable sur ce sujet !)
- la non-adéquation du dispositif de suivi et d’analyse des opérations avec les obligations LCB-FT auxquelles l’établissement assujetti doit faire face.
L’avis d’APS : Il est indispensable que les outils LCB-FT soient paramétrables et prennent en compte précisément tous les critères internes de Conformité. On remarque que l’ACPR est intraitable sur les éventuelles incohérences constatées entre la politique conformité théorique et la configuration de ses outils LCB-FT. D’ailleurs, ce paramétrage doit facilement être exportable pour pouvoir présenter et expliquer, à tout moment, à un auditeur, le fonctionnement du dispositif.
Ce paramétrage doit également permettre d’automatiser certaines décisions afin de fluidifier les parcours clients/KYC.
Ce paramétrage doit également permettre d’automatiser certaines décisions afin de fluidifier les parcours clients (digitalisés) et les parcours KYC, ce qui offre :
- Productivité
- Sécurité
- Cohérence