AML à l’ère de l’IA : quand la machine signale un problème, qui en est responsable ?
Les professionnels de la conformité se posent une question cruciale, même si peu l’ont exprimée publiquement. Lorsque un système d’IA prend une décision de conformité et qu’un problème survient, qui est responsable ? C’est une question de gouvernance qui n’a pas encore de réponse claire dans les cadres réglementaires mondiaux.
L’IA dans les opérations de conformité
L’IA est de plus en plus intégrée dans les opérations de conformité des entreprises financières réglementées à travers le monde. Des fonctions telles que la surveillance des transactions, l’intégration des clients, l’évaluation des risques et la détection des activités suspectes sont au cœur des obligations de lutte contre le blanchiment d’argent (AML) et le financement du terrorisme (CFT). Ces fonctions sont désormais partiellement ou largement pilotées par des systèmes automatisés dans de nombreuses institutions, ce qui est un développement généralement positif. L’IA traite des volumes que aucune équipe humaine ne peut égaler, identifie des schémas que nul analyste ne pourrait détecter, et réduit le fardeau des faux positifs qui a longtemps rendu les opérations de conformité inefficaces.
Le manque de responsabilité
Cependant, cela n’a pas résolu la question fondamentale de la responsabilité. Les cadres AML reposent sur une prémisse fondamentale : un être humain a pris une décision. Qu’il s’agisse d’un responsable de la conformité évaluant un risque ou d’un responsable des rapports de blanchiment d’argent décidant de déposer un rapport, chaque étape implique une personne qui peut être interrogée et tenue pour responsable.
L’IA modifie cette chaîne sans la remplacer. Bien que les systèmes puissent signaler, évaluer ou escalader, la révision humaine devient souvent superficielle en raison des volumes élevés, diluant ainsi le jugement réel derrière la « signature humaine ». Les régulateurs commencent à aborder cette question, signalant que les modèles d’IA doivent être fiables, transparents et explicables.
Comment la machine soutient l’expert
Pour combler cette lacune, l’accent doit être mis sur le fait que « la machine » ne prend pas de décisions, mais « la machine » aide le jugement d’expert. Un workflow structuré basé sur l’IA assure la transparence et la supervision humaine. Lorsque le système interne d’évaluation des risques clients détecte un client dont l’activité augmente le risque, un outil basé sur l’IA est automatiquement déclenché. Cet outil génère un profil client complet pour un examen immédiat, compilant tous les détails pertinents ainsi que l’activité commerciale de toutes les plateformes.
Un agent d’analyse EDD spécialisé effectue une évaluation initiale du profil client, mettant en évidence des domaines de préoccupation et fournissant des informations exploitables. Cela permet à l’équipe des opérations de conformité d’agir rapidement, armée d’informations ciblées et prioritaires au lieu de devoir trier des montagnes de données.
De plus, le même outil d’IA peut rédiger des rapports d’activités suspectes (SAR) ou des rapports de transactions suspectes (STR) dans les cas signalés pour une attention réglementaire ultérieure. En automatisant cette partie du processus, il est possible de respecter des délais stricts.
Où se situe la responsabilité
La réponse à qui est responsable est actuellement dispersée entre les fournisseurs de technologie, les fonctions de conformité et la direction. Cette ambiguïté ne survivra pas à des actions coercitives significatives. Une véritable responsabilité nécessite une couche de gouvernance qui évolue avec le déploiement. Chaque décision assistée par IA doit être classée dans une catégorie définie, certaines pouvant être exécutées de manière autonome et d’autres nécessitant une révision humaine obligatoire.
Il est essentiel que chaque catégorie ait un propriétaire interne nommé au sein de la fonction de conformité, qui puisse expliquer, en termes simples, pourquoi une décision spécifique a été prise. Traiter la supervision humaine comme une simple formalité crée l’apparence de responsabilité sans la substance. Une culture de conformité authentique, capable de résister à la pression réglementaire internationale, repose sur des personnes qui comprennent le pourquoi de leurs actions.
La machine peut signaler, mais elle ne peut pas être tenue responsable. Cette responsabilité reste entre les mains des personnes qui construisent le cadre de gouvernance autour d’elle, et c’est exactement là où elle doit rester.
