De la gestion des risques en version pratico-pratique par votre banquier

Petit résumé de l’introduction du podcast : il était question du propriétaire d’une boutique dans le sud de l’Espagne, dont l’activité tournait autour des appels téléphoniques longue distance, des ventes de cartes prépayées et des virements internationaux, et qui, du jour au lendemain, a vu ses comptes bancaires totalement bloqués. L’argent était toujours là, mais plus moyen de faire la moindre opération : ni retrait ni dépôt, ni accès par le site web via son interface client, etc. Et surtout, plus moyen d’encaisser les revenus de son activité professionnelle, et bien évidemment, plus de connexion entre son compte et son terminal de paiement CB, ce qui est le pire pour un commerçant. Non seulement ce brave homme était tout ce qu’il y a de plus honnête, mais en plus, ce phénomène toucherait des dizaines de milliers de personnes chaque année dans l’UE : particuliers, propriétaires de petits commerces, restaurateurs, voire présidents d’associations à but non lucratif… Bref, on trouve de tout.

C’est le moment exact où, mentalement, vous vous figurez une scène digne du début du capitalisme sauvage du XIXᵉ siècle, avec des messieurs en redingote, chapeau haut de forme et barreau de chaise vissé entre les dents, listant les clients non rentables à virer à la prochaine assemblée du CA, pendant qu’un serveur en livrée leur apporte les cours de bourse et le café sur un plateau d’argent. Sauf que non, en tout cas, pas sur ce coup : l’explication est aussi tordue que simple.

Depuis des années, les pouvoirs publics chassent toutes les formes de trafics illégaux (drogue, etc.) à coups de descentes de police, d’infiltrés et d’écoutes téléphoniques, mais aussi et surtout en s’attaquant au nerf de la guerre : l’argent. Et l’argent, il est la plupart du temps sur un compte en banque - pour les fanas de crypto, ne vous inquiétez pas, vous êtes les prochains sur la liste, ça va bien me faire marrer l’expression « finance décentralisée ». Et donc, rien de plus simple, en apparence, que de demander aux banquiers de faire le boulot à la place de l’État, à savoir pister, repérer, détecter les opérations suspectes et illégales. Et pour motiver sérieusement le banquier qui, sans cela, aurait d’autres comptes à fouetter, rien de mieux que la prune : depuis 10 ans, les grandes banques ont dû verser des milliards d’euros d’amende pour ne pas avoir détecté ou avoir été assez diligentes dans le cadre du blanchiment (le record étant détenu par la BNP, qui, en 2014, s’est vue délestée de 9 milliards USD, ça en fait des abonnements CB GOLD).

Alors, les banques ont déployé massivement des programmes d’analyse en tout genre : Big Data, Data Lake, algorithmes prédictifs, et maintenant bien entendu de l’IA à tour de bras – si l’administration fiscale veut détecter la fraude fiscale et sociale, nul besoin de pisser du code, les banques ont déjà fait le taf, j’dis ça, j’dis rien. Sauf qu’il y a un hic : cela s’appelle les faux positifs. Vous savez, le truc genre le mail qui a été bloqué par le système anti-spam alors qu’il est légitime, et ça vous enquiquine, et vous devez appeler la DSI pour le débloquer, et c’est justement la propal que vous attendiez en urgence du fournisseur serbo-croate-russo-ukrainien qui devait vous livrer le machin hyper urgent, etc. etc. etc. Alors il faut du monde pour repérer ces faux positifs – on estime que sur la place parisienne, entre 15 000 et 20 000 personnes traitent les alertes remontées par les algorithmes, ce qui coûte une blinde, et de toute manière, des faux positifs, il en passe toujours dans le dispositif. Pas de chance quand cela tombe sur vous : en 2022 et 2023, certaines néobanques telles que N26 ont bloqué par erreur des milliers de comptes qu’il a fallu des mois de procédures kafkaïennes pour débloquer, le truc à vous dégoûter définitivement des Fintech.

Mais du point de vue d’une banque, le raisonnement se tient : entre se prendre une prune à 6 chiffres (au moins) par un juge à cause d’un virement entre trafiquants de poudre alcaloïde, et devoir fermer le compte d’un pauvre gars qui n’a rien fait (ce que leurs CGU les autorisent par ailleurs) et qui n’a strictement aucune chance d’obtenir le moindre euro de réparation, le calcul est vite fait. Dit autrement et pour parler risques, quand vous imposez à un organisme une obligation de résultats (et non pas de moyens), quand il le peut et quand l’équation économique va dans son sens (ce qui est le cas ici), il reporte sans hésiter cette obligation de résultats sur le maillon d’après de la chaîne économique : vous, moi, le pauvre gugusse qui n’y est pour rien. Et le pire, c’est que si j’étais banquier, c’est exactement ce que je ferais.

Mais le plus drôle – si j’ose dire – c’est que ce genre de mesure finit par avoir une efficacité asymptotiquement nulle : aucune organisation ne s’adapte aussi rapidement que les organisations mafieuses, et les techniques pour déplacer du flouze en mode « à bas bruit », sans faire sonner les algos susnommés, sont déjà en place. Ce qui, au final, revient à dire qu’il y a un seul couillon dans cette grande histoire : le gugusse du dessus – et vous, et moi. Et les quelques mafieux d’entrée de gamme qui se feront rattraper par Darwin, bien entendu.

L’absence d’anticipation, niveau ras des pâquerettes, interroge légèrement tout de même, surtout venant de gens qui sont supposés avoir fait des études – je parle de ceux qui ont voté et déployé cette réglementation. Mais bon, vous allez me dire que ladite réglementation date un peu – avant le Big Data, avant l’IA, avant les néobanques –, pas faux. Et puis, ce n’est pas comme si les mêmes diplômés étaient en train de nous jouer le même sketch avec le chiffrement et ses backdoors, hein ?