Compliance prédictive : l'IA dans la détection de fraude

De la réaction à la prévention

Pendant longtemps, la conformité signifiait découvrir les violations de règles après qu'elles se soient produites. Les auditeurs internes examinaient des échantillons, les commissaires aux comptes analysaient les comptes annuels, et lorsqu'une fraude était découverte, le préjudice était généralement déjà causé. Ce modèle réactif atteint ses limites face à des volumes de données croissants et des méthodes de fraude de plus en plus sophistiquées.

La Compliance prédictive (Predictive Compliance) inverse cette approche : au lieu de documenter les violations passées, l'intelligence artificielle identifie des schémas et anomalies en temps réel – et alerte avant que le dommage ne survienne. La technologie analyse les données de transactions, les processus d'approvisionnement, les notes de frais de déplacement et les schémas de communication pour détecter les écarts suspects par rapport au comportement normal. Pour les entreprises, cela ouvre d'énormes opportunités – mais soulève en même temps des questions juridiques complexes.

Comment fonctionne la détection de fraude assistée par l'IA ?

Détection d'anomalies dans les données de transactions

Le cœur des systèmes modernes de détection de fraude est la détection d'anomalies (Anomaly Detection). Un modèle d'IA apprend d'abord les schémas de transactions normaux d'une entreprise – montants de virements typiques, horaires, destinataires, chaînes d'approbation. Chaque transaction qui s'écarte significativement de ce schéma est signalée comme potentiellement suspecte.

Les domaines d'application typiques comprennent :

• Comptabilité : Factures en double, montants arrondis inhabituels, paiements juste en dessous des seuils d'approbation (dénommé threshold splitting)
• Approvisionnement : Concentrations suspectes de fournisseurs, contrats attribués à des sociétés écrans, évitement systématique des obligations d'appel d'offres
• Frais de déplacement et notes de frais : Schémas de justificatifs non plausibles, frais de représentation excessifs, incohérences temporelles
• Trafic de paiements : Virements vers des comptes inconnus dans des juridictions à haut risque, horaires de paiement inhabituels

Analyse de réseau et détection de relations

Les systèmes avancés vont au-delà de l'analyse des transactions individuelles et créent des réseaux de relations. Ils identifient, par exemple, si un employé du service des achats entretient des liens familiaux ou commerciaux avec un fournisseur fréquemment sollicité – un schéma de corruption classique.

Traitement du langage naturel pour l'analyse des communications

Certains systèmes déploient le traitement du langage naturel (NLP) pour analyser les schémas de communication. Les e-mails, les historiques de discussion et les notes internes sont examinés à la recherche de formulations suspectes – comme des instructions de contourner la voie hiérarchique habituelle ou des avis de confidentialité inhabituels. Cette analyse est techniquement puissante, mais particulièrement sensible du point de vue de la protection des données.

Cadre juridique : obligation et limite à la fois

Les obligations de conformité comme base légale

Les entreprises sont légalement tenues de mettre en œuvre des mesures de conformité appropriées. Pour le secteur financier, des exigences spécifiques découlent des exigences minimales en matière de gestion des risques (MaRisk) de la BaFin (l'autorité fédérale allemande de surveillance financière). La loi anti-blanchiment (Geldwäschegesetz, GwG) impose à de nombreux secteurs des obligations de diligence, des analyses de risques et la mise en place de mesures de sécurité internes.

L'IDW PS 980, en tant que norme d'audit reconnue, définit les principes d'audit régulier des systèmes de gestion de la conformité. Il exige notamment un système de surveillance et d'amélioration adéquat – une exigence qui peut être remplie de manière particulièrement efficace grâce aux outils assistés par l'IA.

Prévention du blanchiment d'argent selon le GwG

Le GwG oblige les entités assujetties au sens du § 2 GwG – notamment les établissements de crédit, les compagnies d'assurance, les avocats, les conseillers fiscaux et les commissaires aux comptes – à des obligations de diligence complètes. Celles-ci comprennent :

• Know Your Customer (KYC) : Identification et vérification des partenaires commerciaux
• Surveillance des transactions : Suivi continu des relations d'affaires
• Déclarations de soupçon : Obligation de déclaration à la Financial Intelligence Unit (FIU) en cas de soupçon de blanchiment

Les systèmes d'IA peuvent remplir ces obligations de manière nettement plus efficace que les processus manuels. Ils détectent les schémas typiques de blanchiment – comme le schtroumpfage (division de montants importants en de nombreuses petites transactions), le layering (dissimulation par des chaînes de transactions complexes) ou les intensités de trésorerie inhabituelles – en temps réel et sur de grands volumes de données.

RGPD : la limite de la protection des données

L'utilisation de l'IA pour la surveillance de la conformité touche inévitablement aux données personnelles des employés. Le règlement général sur la protection des données (RGPD, connu en Allemagne sous le nom de Datenschutz-Grundverordnung, DSGVO) fixe des limites claires.

L'art. 6 du RGPD exige une base juridique pour chaque traitement de données. Pour la surveillance de la conformité, les bases principales sont :

• Art. 6, par. 1, point c) du RGPD : Respect d'une obligation légale (par ex. obligations GwG)
• Art. 6, par. 1, point f) du RGPD : Intérêts légitimes du responsable du traitement (prévention de la fraude), pour autant que ceux-ci l'emportent sur les intérêts des personnes concernées

L'art. 22 du RGPD est particulièrement pertinent : les personnes concernées ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques à leur égard. Un système d'IA qui classe automatiquement un employé comme suspect et entraîne des conséquences doit donc toujours inclure une étape de contrôle humain.

§ 26 BDSG : protection des données des employés

Le § 26 de la loi fédérale sur la protection des données (BDSG) autorise le traitement des données personnelles des employés lorsque cela est nécessaire à l'exécution de la relation de travail ou à la détection d'infractions pénales, sous réserve d'un soupçon fondé sur des faits. Une surveillance généralisée et systématique de tous les employés sans motif serait en revanche disproportionnée et illégale.

Conséquence pratique : Les systèmes de conformité assistés par l'IA doivent être configurés pour fonctionner initialement à un niveau agrégé et anonymisé. Ce n'est que lorsqu'un soupçon statistiquement significatif existe que l'analyse peut être affinée au niveau individuel – et même dans ce cas, uniquement avec l'implication du département de conformité et, le cas échéant, du comité d'entreprise.

Protection des lanceurs d'alerte selon le HinSchG

La loi sur la protection des lanceurs d'alerte (Hinweisgeberschutzgesetz, HinSchG), en vigueur depuis juillet 2023, oblige les entreprises de 50 salariés ou plus à mettre en place des canaux de signalement internes. Les lanceurs d'alerte qui signalent des dysfonctionnements sont protégés contre les représailles.

La détection de fraude assistée par l'IA et les systèmes de lancement d'alerte se complètent : tandis que l'IA détecte des schémas systématiques, les lanceurs d'alerte fournissent des informations contextuelles qu'un algorithme ne peut saisir – comme la connaissance d'accords informels ou de motivations personnelles. Une approche intégrée combinant les deux canaux augmente considérablement le taux de détection.

Il est important de noter que lorsqu'un système d'IA identifie un employé comme suspect, cela ne doit entraîner aucune représaille tant que le soupçon n'a pas été confirmé par un contrôle humain. Le seuil de déclenchement de mesures relevant du droit du travail doit être clairement défini et documenté.

Mise en œuvre en pratique

Phase 1 : Analyse des risques et cadrage

Chaque mise en œuvre commence par une analyse approfondie des risques : quels scénarios de fraude sont particulièrement pertinents pour votre entreprise ? Où se situent les plus grands risques de fuite de valeur ? Quelles sources de données sont disponibles ? Les résultats déterminent la portée et les priorités du système.

Phase 2 : Analyse d'impact relative à la protection des données

Avant de déployer un système de conformité assisté par l'IA, une analyse d'impact relative à la protection des données (AIPD) au titre de l'art. 35 du RGPD est obligatoire. Celle-ci doit évaluer notamment :

• Quelles données personnelles sont traitées ?
• Sur quelle base juridique le traitement repose-t-il ?
• Comment le principe de minimisation des données est-il mis en œuvre ?
• Quelles mesures de protection sont en place ?
• Comment la transparence envers les employés concernés est-elle assurée ?

Phase 3 : Implication du comité d'entreprise

Dans les entreprises soumises à la cogestion, le comité d'entreprise dispose d'un droit de codécision lors de l'introduction d'équipements techniques susceptibles de surveiller le comportement et les performances des salariés (§ 87, al. 1, n° 6 de la loi sur l'organisation des entreprises, BetrVG). Un accord d'entreprise réglementant l'objet, la portée, les droits d'accès et les délais de suppression du système d'IA est vivement recommandé.

Phase 4 : Mise en œuvre technique

Les principes suivants doivent s'appliquer lors de la mise en œuvre technique :

• Privacy by Design : La protection des données est intégrée dans l'architecture du système dès le départ
• Explicabilité : Le système doit pouvoir expliquer de manière transparente pourquoi une transaction a été signalée comme suspecte
• Human in the Loop : Chaque rapport de soupçon généré par la machine est examiné par un responsable de la conformité humain
• Piste d'audit : Toutes les décisions du système sont journalisées de manière vérifiable

Phase 5 : Exploitation continue et amélioration

Un système de conformité prédictive n'est pas un projet ponctuel, mais un processus continu. Les examens réguliers comprennent :

• Calibrage des modèles de détection (optimisation du taux de faux positifs)
• Formation du personnel de conformité à la gestion des rapports de soupçon générés par l'IA
• Documentation de toutes les mesures pour l'audit externe selon l'IDW PS 980
• Mises à jour en réponse aux modifications des exigences réglementaires

L'AI Act comme nouveau cadre

Le règlement européen sur l'intelligence artificielle (AI Act), pleinement applicable à partir d'août 2026, classe les systèmes d'IA par niveau de risque. Les systèmes de surveillance de la conformité qui influencent les décisions concernant les employés seront vraisemblablement classés comme IA à haut risque. Cela entraîne des exigences supplémentaires :

• Obligations de transparence envers les personnes concernées
• Exigences de qualité pour les données d'entraînement
• Supervision humaine des sorties du système
• Obligations de documentation et d'enregistrement

Les entreprises qui commencent la mise en œuvre dès maintenant devraient déjà prendre en compte ces exigences.

Conclusion : saisir les opportunités, respecter les limites

La Compliance prédictive offre aux entreprises la possibilité de détecter la fraude et les violations réglementaires nettement plus tôt et d'éviter des dommages considérables. La technologie est mature, les domaines d'application sont variés. Mais le déploiement n'est pas automatique : le RGPD, le BDSG, le HinSchG et l'AI Act définissent un cadre juridique strict qui doit être soigneusement respecté. Ceux qui maintiennent l'équilibre entre obligation de conformité et protection de la vie privée obtiennent un instrument puissant – ceux qui l'ignorent risquent non seulement des amendes, mais aussi la confiance de leurs propres employés.

Chez compleneo, nous vous accompagnons dans la mise en œuvre conforme au droit de systèmes de conformité assistés par l'IA – de l'analyse des risques à l'analyse d'impact relative à la protection des données en passant par l'accord d'entreprise. Contactez-nous.