Wednesday, March 22, 2017

« Compliance » et exponentielle

Pour ceux qui ne le connaîtraient pas, le terme « compliance » est un anglicisme récent signifiant « conformité » qui se réfère aux nombreuses obligations s’imposant aux entreprises de respecter des textes, lois et normes en tous genres et de toutes origines. La « compliance » est devenue pour de nombreuses entreprises un sujet tout aussi important pour leur survie que le profit ou la marge.

L’explosion quasi-exponentielle depuis une vingtaine d’années du nombre de pages de textes et réglementations est une manifestation du poids croissant de l’étatisation de notre société occidentale. La complexification du monde, typiquement de par son informatisation et sa globalisation, combinée avec le besoin des législateurs démocratiques de justifier leur existence, poussent à une production réglementaire continue comme chasse aux risques de tous genres.

Les exemples ne manquent pas. Sans prétendre, loin de là, connaître tous les secteurs économiques, je peux néanmoins évoquer la célèbre « Sarbanes Oxley » et les « IFRS » (en version 15, pas moins) dans le domaine comptable et financier, la « GDPR » dans le domaine de la protection – supposée – des données personnelles, ou encore la série des « Solvency » dans le secteur des assurances.

Bien sûr, dans un monde informatisé, tout cela finit par être traduit en code plus ou moins maîtrisé, exploitant des technologies qui elles-mêmes ne sont pas dépourvues de « vulnérabilités ». Les entreprises sont donc conduites à accroitre le volume de textes par des « politiques » qu’elles établissent pour elles-mêmes, visant à assurer que non seulement l’informatique respecte les lois, mais aussi se renforce à un niveau très détaillé pour éviter les « failles de sécurité » trop évidentes.

Tous ces textes reposent sur l’idée qu’il serait possible de décrire de manière exhaustive les diverses situations pouvant conduire à un risque dans les affaires et à imposer des pratiques qui se veulent de nature à réduire les possibilités de fraude et autres incertitudes allant de pair avec des risques.

C’est là où intervient l’autre exponentielle, celle de la fulgurante  évolution technologique. Dans un monde où la technologie ne change pas, ou très lentement, une fois les règles posées et les « politiques » technique en place, rien ne changeant plus, le risque serait maîtrisé pour un moment.

Mais dans un monde où la pression concurrentielle pousse à réduire les coûts et où le goût des consommateurs appelle à toujours plus de « numérique », la technologie change de plus en plus souvent. Ce qui met donc les entreprises dans l’obligation de renouveler leurs « politiques » techniques de plus en plus souvent. On constate des cycles de renouvellement qui sont passés d’une fois tous les 5 ans à une fois par an et bientôt une fois par semestre. Les coûts induits sont énormes.

Mais le risque le plus grand n’est pas dans ces coûts. Il est dans l’explosion d’une bulle de risque caché qui va croissant. Le risque de voir que finalement, il va devenir moins coûteux pour l’entreprise de ne plus veiller au respect de politiques qui changent constamment et qui finissent par faire obstacle à l’évolution technologique. Le temps, c’est de l’argent et la « compliance » n’en rapporte pas en soi. Alors ok pour la compliance, mais dès qu’elle coûtera plus qu’on peut gagner, elle fera probablement un gros « pschitt », à moins que la course technologique marque une pause.

Pour la liberté, c’est sans doute une bonne nouvelle. Car cela signifie que l’approche « compliance » déresponsabilisante et typique de grandes entreprises mammouths va peu à peu être remplacée par la prise de risque individuelle ou d’entreprises à taille humaine et responsable. Il me tarde.

No comments: