21/4/2026
Réflexions après le séminaire AEFR du 9 avril
Il a fallu vingt ans pour que la fonction conformité arrive à maturité et devienne un pilier incontournable des institutions financières. L'IA pourrait tout remettre en question bien plus rapidement.
C'est en substance ce que l'AEFR constatait en ouvrant son séminaire du 9 avril [le programme et les intervenants sont sur le site de l'AEFR] : « Malgré l'urgence des mutations en cours, la réflexion collective reste disparate, voire absente ».
La matinée était une première réponse à ce constat. Cet article en propose un prolongement.
La question posée : « À quoi ressemblera la fonction conformité demain, avec l'IA ? » concentre une tension que peu osent formuler aussi directement :
Plus de conformité demande plus d'IA pour la traiter ;
plus d'IA demande plus de conformité pour la maîtriser.
Quatre convictions sont sorties de ces échanges avec une clarté suffisante pour qu'on puisse les tenir comme point de départ.
Ces quatre convictions forment un socle solide. Mais la quatrième, en particulier, ouvre une question que la matinée n'a pas eu le temps d'explorer : si la conformité déploie ses propres systèmes IA, qui en répond ? C'est l'une des trois portes que la matinée a entrouvertes sans les franchir.
La matinée a produit quelque chose d'inattendu : non pas des réponses, mais des questions mieux posées.
Trois d'entre elles méritent qu'on s'y arrête.
Deux observations, formulées en passant, pointent vers une transformation que personne n'a nommée explicitement.
Ce ne sont pas des gains de productivité. C'est une rupture épistémologique.
Jusqu'ici, la conformité mesurait ce qu'elle pouvait atteindre — un échantillon, une période, un périmètre défini par les moyens humains disponibles. Ce qu'elle ne mesurait pas n'existait pas dans ses indicateurs. L'IA agentique change cela. L'illustration la plus saisissante est arrivée deux jours avant la matinée : Anthropic annonçait qu'un de ses modèles (Mythos) avait découvert de façon autonome des milliers de vulnérabilités critiques dans tous les grands systèmes d'exploitation — dont certaines dormaient depuis 27 ans, invisibles à des décennies de revue humaine. Ce qui était indétectable ne l'était pas parce que c'était introuvable. C'était parce qu'on n'avait pas encore les moyens de chercher.
La conformité est dans la même situation. Si on peut désormais voir ce qu'on ne voyait pas, les indicateurs sur lesquels la fonction s'est construite — nombre d'alertes traitées, taux de couverture, délai de traitement — mesurent une activité dans un monde de contraintes qui disparaît. Et l'argument « nous faisions de notre mieux avec des moyens limités » perd sa validité précisément au moment où les moyens s'élargissent.
Sophie Schiller (Professeur de droit privé, Université Paris-Dauphine) a posé une question que le responsable de conformité ne peut plus éviter. Quand une IA formule une recommandation —suspendre une relation commerciale, escalader une alerte, produire une déclaration de soupçon — s'agit-il d'une information, d'un conseil, ou d'une décision ? La distinction est décisive, et le secteur financier la connaît bien : elle détermine le régime de responsabilité applicable.
Mais il y a une question encore plus inconfortable, et personne ne l’a abordée. Si demain les moyens technologiques permettent une surveillance exhaustive, et qu'un établissement les utilise mal — mauvais paramétrage, dérive non détectée— où s'arrête l'obligation de moyens et où commence la responsabilité personnelle du CCO qui a validé ces choix ? La réponse n'est pas écrite. Elle le sera, probablement à l'occasion d'une sanction.
Jean-Yves Calvo (Chief Compliance Officer, AXA France) l'a formulé clairement : les experts doivent se projeter dans les capacités de l'IA, les juristes s'approprier la technologie, les data scientists s'approprier la réglementation. Sophie Schiller a prolongé cette réflexion avec une observation plus dérangeante : l'IA automatise précisément les tâches qui constituaient jusqu'ici le premier échelon d'apprentissage du métier. C'est en instruisant des dossiers simples, en rédigeant des notes de première analyse, en traitant des alertes de niveau 1 qu'on apprend les fondamentaux. Les cabinets d'avocats recrutent déjà moins de juniors — c'est un signal. Comment former quelqu'un aux fondamentaux qui lui permettront d'interagir intelligemment avec l'IA, si l’IA le remplace avant même qu’il ne les maîtrise ?
La vision du compliance officer augmenté à horizon cinq à dix ans est séduisante : maîtrise du socle réglementaire, appui sur l'IA pour la couverture, rôle plus stratégique en amont, impact financier mesurable. Mais ce profil suppose une trajectoire de formation que les filières n'ont pas encore construite, et une gestion des talents que la plupart des établissements n'ont pas encore anticipée.
Ces trois portes mènent toutes au même endroit : la question de ce que la fonction conformité est réellement en train de devenir.
Revenons à la question posée le 9 avril : « à quoi ressemblera la fonction conformité de demain ? »
Les échanges de la matinée ont surtout traité le premier niveau de la transformation — la façon de faire. L'IA générative synthétise les textes réglementaires, l'IA conversationnelle assiste l'analyste dans l'instruction des dossiers, l'IA agentique surveille en continu. C'est réel, déployable, utile. Mais ce premier niveau ne répond pas vraiment à la question. Faire la même chose plus vite et plus largement, ce n'est pas changer de métier.
Le deuxième niveau est le périmètre. L'AI Act en est l'illustration la plus immédiate : la conformité ne se contente plus de déployer l'IA, elle doit désormais en répondre — documenter les systèmes, justifier les décisions algorithmiques, superviser les dérives. Le régulateur lui-même investit dans l'IA pour renforcer ses propres contrôles. Le périmètre de la fonction s'étend, et cette extension n'est pas temporaire.
Mais c'est le troisième niveau qui est le plus difficile à imaginer : le métier lui-même.
La conformité s'est construite sur une logique de contrôle a posteriori — on vérifie que les processus respectent les règles, après qu'ils ont été conçus et déployés. Cette logique a une cohérence : la séparation entre celui qui fait et celui qui contrôle est une garantie d'indépendance. Mais elle a aussi un coût structurel : la conformité arrive souvent trop tard, découvre les problèmes après qu'ils ont produit leurs effets, et consacre l'essentiel de ses ressources à corriger plutôt qu'à prévenir.
L'IA agentique, en rendant possible la surveillance exhaustive et en temps réel, crée pour la première fois les conditions techniques d'une autre logique : la Compliance by Design. Non plus vérifier que les processus sont conformes, mais concevoir des processus qui le sont par construction — des workflows qui ne peuvent pas produire de transaction non conforme, des systèmes qui alertent en temps réel toute déviation avant qu'elle se matérialise. Le RGPD a tracé ce chemin avec le Privacy by Design : la protection des données n'est plus un contrôle ajouté enfin de chaîne, elle est intégrée dès la conception.
Ce glissement soulève une question organisationnelle que personne n'a posée le 9 avril : si la conformité est embarquée dans les processus par construction, est-il encore pertinent de la centraliser dans une fonction dédiée ? Ou doit-on aller vers une gouvernance plus distribuée, où chaque métier est responsable de sa propre conformité by design, et où la fonction centrale joue un rôle d'architecte et d'auditeur plutôt que de contrôleur ?
Je ne prétends pas que c'est la bonne direction. Je ne sais pas si c'est souhaitable, ni faisable dans les contraintes réglementaires actuelles qui supposent précisément cette indépendance de la fonction. Mais je crois que c'est une question que l'IA agentique va forcer à poser, qu'on le veuille ou non.
Cet article ouvre une série de réflexions sur ce que la conformité est en train de devenir. La révolution de la mesure, le paradoxe du contrôle du contrôle, la compliance by design — trois chantiers que j'explorerai dans les prochains articles. Mais cette réflexion n'a de sens que si elle se nourrit de vos expériences et de vos problématiques. Si vous reconnaissez ces questions dans votre quotidien — ou si vous pensez que je fais fausse route — je serais heureux d'en parler.
Chez LIPTON FIT, nous cartographions en parallèle les cas d'usage IA par fonction de conformité. Les premiers résultats sont déjà instructifs, et ils le seraient davantage confrontés à votre réalité. Car avant tout déploiement, avant tout projet, une seule question mérite d'être posée : à quoi ressemble le succès ? Pas en termes de budget — en termes de risques réellement couverts et de décisions mieux fondées.
La question n'est pas comment utiliser l'IA. C'est comment refonder la conformité avec elle.
[pour accéder au dossier complet sur la matinée AEFR, envoyez-moi un message sur Linkedin]
Souscrivez à notre liste pour bénéficier de perspectives sur votre marché.
