La montée en puissance du digital est une réalité au niveau de tous les secteurs. Celle-ci a engendré de nouvelles pratiques, où la technicité a rendu sa maîtrise parfois plus complexe, et où la notion de rapport au temps quant au partage d’informations a également pris une toute nouvelle dimension. Stephen Nguyen-Duc, VP Ethics & Compliance, Board member of Ethics*, nous livre son analyse sur les défis en matière de conformité.

Faisant suite à son « White Paper » de 2020 (1), la Commission européenne a proposé en avril 2021 une harmonisation des textes et règlements sur l’intelligence artificielle qui est en cours d’examen. Ce travail a porté en particulier sur une meilleure compréhension des risques et sur leur segmentation de façon à pouvoir les approcher juridiquement et éthiquement.

En effet, la Compliance a vu son environnement brutalement évoluer (RGPD**, DSP2***…) et doit intégrer des nouveaux acteurs digitaux dont les solutions technologiques réclament non seulement une parfaite compréhension, mais aussi une appréciation pointue des risques (profilage, Big Data, blockchain…).

La survenue de la pandémie de Covid-19 a significativement accéléré la transformation digitale des entreprises et institutions. Si les aspects techniques et opérationnels sont naturellement au premier plan de ces évolutions, il serait inexcusable d’oublier les aspects réglementaires et éthiques qui y sont associés.

Le digital : célérité et émergence de risques spécifiques

Chacun a pu observer une accélération récente et bienvenue de la compréhension des enjeux et questionnements éthiques et règlementaires de cette révolution technologique en cours.

Il est assez clair que le digital est entré dans notre environnement personnel et professionnel de façon brutale sans que nécessairement le cadre juridique en soit parfaitement défini et sans que la réflexion éthique associée soit aboutie. La mise en tension des entités Compliance et Juridique a donc été immédiate, à la fois du fait de l’impact sur les opérations et de l’émergence de nombreux nouveaux acteurs et circuits. Enfin, la vélocité quasi incontrôlable des déploiements digitaux faisait pressentir des conséquences très sérieuses en cas de non-gestion appropriée des risques.

Dans les industries de santé où l’utilisateur ultime des produits et solutions est un patient, les bénéfices du digital sont apparus assez rapidement mais son côté « obscur » s’est révélé plus tardivement, en particulier sur les « méga » données collectées, le caractère infini de leur utilisation et sur la multiplication de technologies dont la compréhension échappait au plus grand nombre.

Digital et Compliance : quels points de vigilance ?

On peut en faire ressortir plusieurs :

  • Une gestion modernisée et spécifique des risques à l’aune de ce nouvel environnement. L’analyse précise des risques, déjà exigée pour les entreprises relevant notamment de la loi Sapin 2, comme base de tout programme de conformité, se doit d’être spécifique de ces solutions et technologies. L’exigence étant d’être à la fois opérant sur l’existant mais aussi prospectif sur des technologies qui évoluent à très grande vitesse.
  • Une exigence d’agilité, de fréquence et de pertinence sur les points de contrôle et de monitoring des activités digitales. L’émergence de « real-time » monitoring doit être envisagée sur ce type d’activité.
  • Une gouvernance et un management de projet intégratif de toutes les fonctions. L’approche traditionnelle « Do/Don’t » est particulièrement risquée dans ce domaine. La Conformité doit trouver sa place dans la gouvernance digitale de l’entreprise de façon à anticiper et guider les futures évolutions et l’intégration de la fonction Compliance aux équipes projets se doit d’être naturelle.
  • Une gestion et un suivi spécifiques des acteurs externes, prestataires ou sociétés qui vont intervenir sur les projets digitaux, sont fortement recommandés. 
  • Enfin les programmes de Conformité doivent s’enrichir de procédures claires et pratiques sur ces sujets, ainsi que de programmes d’éducation et formation.   

Conséquences pour la fonction Conformité

Pour répondre à ce nouvel enjeu, la fonction Conformité doit s’adapter :

  • En développant sa propre compétence de ces nouvelles technologies
  • En adaptant les lignes de défense traditionnelles des entreprises à ces risques complexes
  • En faisant sa propre révolution digitale, utilisant ainsi les données plutôt que les subissant, en développant des outils et marqueurs pertinents des activités et ainsi garder un temps d’avance sur la gestion des risques.

Conséquences pour les entreprises

Au prix de quelques précautions, la révolution digitale non seulement bénéficiera aux patients, mais le « mariage de la carpe et du lapin » auquel pouvait laisser penser le rapprochement « Digital et Conformité » se traduira, au contraire, en une opportunité de montrer comment une gestion de risque appropriée, passant par une compréhension fine et mesurée, peut faire progresser le bénéfice et la qualité de vie de chacun.

Stephen Nguyen-Duc

 

 

* Ethics : the International Society of Healthcare Compliance professionals

** RGPD: Règlement General sur la Protection des Données (2016)

***DSP2 : Directive sur les services de paiements (2018)

1.European Commission, White Paper on “Artificial Intelligence – A European approach to excellence and trust”, February 2020