Le multiplication des contraintes réglementaires (Bâle 3, MiFID, réglement EMIR) n’a pas échappé à une poignée d’entreprises innovantes qui, dans la lignée des FinTech, se sont engouffrées sur un marché très prometteur : cette fois-ci celui de la conformité et de la gestion des risques.

Qu’est-ce qu’une RegTech ?

Les RegTech (pour régulation et technologie) proposent aux entreprises d’externaliser leurs fonctions de conformité et de gestion des risques. Leur spécificité est de s’appuyer sur des technologies innovantes pour répondre rapidement aux besoins : intelligence artificielle, big data, infrastructures cloud.

La gestion des risques étant une composante primordiale au sein des établissements financiers, leur externalisation rend ces derniers plus agiles et permet en outre de réduire les barrières à l’entrée du secteur en supprimant le frein lié à la recherche de cette compétence spécifique.

Une réponse agile aux besoins réglementaires des établissements

Si certains services proposés par les RegTech peuvent s’adresser à des entreprises d’un large panel de secteurs, ce sont principalement les établissements financiers qui sont visés. L’importance et l’évolutivité de la réglementation dans le secteur bancaire et assurantiel impose aux établissements des moyens toujours plus importants pour identifier les risques au sein d’immenses flux de données.

Les principaux services proposés par les RegTech :

La gestion de grands volumes de données (agrégation, analyse et prévisions). Le calcul des exigences de solvabilité (Bâle III) exige par exemple un vaste historique des transactions des clients pour évaluer les risques (méthode IRBF), la volumétrie peut donc rapidement être importante dans le cas d’établissements ayant plusieurs millions de clients.

La surveillance en temps réel des transactions. Celle-ci peut concerner des opérations courantes des particuliers, comme la détection de l’utilisation frauduleuse d’une carte bleue, ou a plus grande échelle l’analyse des transactions sur les marchés financiers et la lutte contre le blanchiment et le financement du terrorisme.

Des outils pour approfondir la connaissance client. Ce besoin est en partie lié aux directives KYC (Know Your Customer) qui imposent une meilleure connaissance client. Les solutions peuvent à la fois permettre une analyse des habitudes des clients afin de détecter d’éventuels comportement suspects ou à risque, tout comme un renforcement des méthodes d’identification avec la signature électronique ou la reconnaissance par empreinte biométrique.

L’identification des nouvelles normes et leur application au sein de l’entreprise. Il s’agit d’assurer une veille sur les évolutions réglementaires, vérifier si elles doivent s’appliquer au client et le mettre rapidement en pratique le cas échéant.

Des outils qui s’appuient sur les dernières innovations technologiques

Les différentes solutions apportées par les RegTech ont toutes un point commun : elles reposent sur des technologies innovantes qui émergent grâce à une part importante accordée à la R&D.

On trouve notamment :

L’intelligence artificielle. Celle-ci permet l’analyse des données hétérogènes et utilise le machine learning pour améliorer la pertinence de ses choix. Dans le cas de la détection de fraude, elle permet par exemple de réduire significativement le nombre de « faux positifs » en apprenant de ses erreurs. Le nombre d’alertes est réduit, celles-ci sont plus pertinentes, l’intervention humaine est donc très largement réduite.

Les innovations dans la cryptographie. Elles permettent d’assurer un haut niveau de sécurité en protégeant les échanges de données entre la RegTech et son client.

L’utilisation des outils du big data. Il permettent d’analyser rapidement de grands volumes de données et, couplés à des outils de visualisation innovants, ils donnent une nouvelle dimension à la compréhension du comportement des clients de l’entreprise.

La biométrie et la signature électronique qui, comme indiqué plus haut, permettent de sécuriser les transactions et d’identifier formellement le client.

Le cloud computing. Grâce à la disponibilité de l’information partout et à tout instant, il devient possible d’analyser les flux en temps réel afin de réagir rapidement en cas d’alerte.

La blockchain (transactions électroniques décentralisées et hautement sécurisées) est également un enjeu crucial pour le développement des RegTech sur les années à venir.

Des limites à surmonter pour gagner la confiance des acteurs

Si le recours aux RegTech pour alléger les coûts de conformité et assouplir l’entreprise semble alléchant, il y a cependant des limites auxquelles ces nouvelles structures doivent faire face.

En premier lieu, celui de la sécurité des transmissions de données sensibles entre acteurs. En dépit des innovations pour sécuriser les échanges, le client doit accorder toute sa confiance à la RegTech dans la mise en oeuvre de sa politique de sécurité. Comment une banque peut-elle par exemple délocaliser en toute sécurité, chez un tiers, des informations confidentielles de ses milliers, voire millions de clients ?

Un deuxième frein, lié au précédent, est soulevé par le caractère personnel des données qui sont collectées et transmises aux tiers : jusqu’où peut-on aller dans la confidentialité des données à externaliser ? Si les entreprises n’exploitent pas encore toutes les possibilités que les outils du big data pourraient leur fournir dans ce domaine, la CNIL contrôle cependant scrupuleusement, en France, la mise à disposition de données personnelles à des tiers et cela pourrait bien être trop limitatif dans le cadre d’une analyse des risques.

Enfin, une des grandes difficultés réside dans la faisabilité et le coût de la mise en place d’une telle organisation en raison d’hétérogénéité et la qualité des données à traiter. La plupart de entreprises utilise des référentiels qui leur sont propres et les données à intégrer sont parfois très hétérogènes. A cela, il faut ajouter les instances de régulation (ACPR, AMF, EBA) qui exigent des reportings sur des périmètres parfois très différents (périmètre consolidé, social ou sous-paliers de consolidation).

Des initiatives ont récemment vu le jour afin d’harmoniser certains référentiels et protocoles. L’instauration du LEI (Legal Entity Identifier) en 2012 permet à ce titre d’identifier de manière unique chacun des intervenants sur les marchés financiers à l’échelle mondiale. La norme ISO20022 a de son côté pour vocation d’harmoniser le format des échanges de données financières (comme les systèmes de paiements). Ces avancées devraient permettre aux RegTech de fournir plus rapidement des solutions aux établissement en faisant converger leurs besoins.