Le 24 et 25 janvier 2019, l’Université de Strasbourg organisait un colloque autour de l’articulation entre les banques, les Regtech et leurs pratiques de la norme grâce à la technologie de l’intelligence artificielle. Vaste programme !

Partenaire de l’événement, nous avons eu le plaisir d’animer une table-ronde consacrée à l’écosystème des Regtech, en présence d’experts : Christian Le Hir, directeur juridique chez Natixis et fondateur de RegMind, Reda Bouakel, fondateur et CEO de Fortia, Bertrand Tillay-Doledec, Responsable produit de Scaled Risk ainsi que Romain Deguest et Steeve Laquitaine, de l’équipe de recherche scientifique de Fundvisory.

Certains se revendiquent Regtech, d’autres Fintech. Mais tous se disent à la croisée des enjeux financiers, réglementaires, business, métiers et technologiques. Ils ont chacun leur avis sur cet écosystème qu’ils ont vu naître et croître.

Retour en exclusivité sur ce passionnant échange qui décomplexifie l’univers Regtech et nous fait réfléchir sur ses enjeux.

Avant toutes choses, comment définir les Regtech ?

Selon Christian Le Hir, les Regtech sont des “outils qui facilitent l’accès au droit et les modalités de faire du droit”. Il ne voit pas forcément les Regtech comme une sous-catégorie des Fintech, mais plutôt comme une branche des Legaltech, les startups qui utilisent les technologies au service du droit.

Il ajoute qu’il y a deux facteurs clés qui définissent les Regtech, voire qui les distinguent de l’univers des Legaltech : les données bancaires et des institutions financières (autrement dit les données des clients), mais aussi les données réglementaires. La combinaison de ces deux types de données permet de distinguer les Regtech des Legaltech. Il avoue donc volontiers que la startup RegMind qu’il a fondé ne rentre pas selon lui dans la catégorie des Regtech, contrairement à Fundvisory.

Christian Le Hir précise que “tout le monde cherche à créer cet écosystème des Regtech, pour avoir une meilleure vision de ce qu’il recouvre”. Parmi les startups Regtech, il mentionne celles qui travaillent sur le KYC (Know Your Customer) et le reporting, qui font partie des plus visibles. Par contre, il y a moins de Regtech sur des domaines pourtant importants comme la Loi Sapin 2, le devoir d’alerte, la RGPD… Il précise que l’ “on a l’impression que le domaine est vaste, mais on ne voit pas les Regtech émerger”. D’où l’intérêt de bien définir et distinguer les Regtech des Fintech et des Legaltech pour faciliter leur émergence !

Justement, comment expliquer que les Regtech n’émergent véritablement que depuis 2017, 2018 – alors que les premières ont vu le jour vers 2011, 2012 ?

Bertrand Tillay-Doledec l’explique avec le contexte économique. Le temps d’incubation des Regtech est apparu après la crise, “qui a fait naître les nombreuses réglementations et un changement d’état d’esprit des régulateurs”. Il précise que l’un des moteurs du marché des Regtech est le montant des amendes, ce pourquoi beaucoup de Regtech sont actives dans le secteur du KYC. Selon lui, plus le montant des amendes est élevé dans un domaine, plus cela favorise la création de Regtech autour du sujet.

L’autre facteur important selon lui est le facteur humain. Bertrand Tillay-Doledec précise que “dans les banques, les derniers à être équipés en informatique sont les services juridiques”. L’enjeu est de savoir « quand est-ce que ces services seront assez matures technologiquement parlant pour rencontrer des ingénieurs ? Et inversement, quand est-ce les ingénieurs seront assez matures juridiquement pour qu’ils se rencontrer ? » Il pose également pose la question : “et dans quel contexte vont-ils se rencontrer ?”. Il a fallu du temps pour que cet écosystème humain se construise, d’où la lente émergence des Regtech.

Colloque Regtech - Strasbourg
De gauche à droite : Reda Bouakel (Fortia), Bertrand Tillay-Doledec (Scaled Risk), Thibault Ravel d'Esclapon (Université de Strasbourg), Laura Pironnet (Fintech mag), Romain Deguest (Fundvisory), Steeve Laquitaine (Fundvisory), Christian Le Hir (RegMind, Natixis)

La crise a fait naître les nombreuses réglementations et un changement d’état d’esprit des régulateurs

Bertrand Tillay-Doledec

Où en est le marché Regtech français ? Notamment vis-à-vis de celui des Etats-Unis ?

Reda Bouakel fondateur de Fortia, qui est en train d’ouvrir des filiales aux Etats-Unis où la Regtech a déjà quelques clients, pense que “le marché en France est très dynamique et mature !”. Les banques et les institutions financières ont pris conscience que l’utilisation des technologies financières était indispensable. Il reprend l’expression de Christian Le Hir : il y a un véritable “tsunami réglementaire” qui s’abat sur les institutions financières, qui ne leur laisse plus le choix !

Il mentionne les nombreuses demandes que Fortia reçoit des institutions bancaires, qui ont besoin d’être accompagnées pour mieux gérer et automatiser les processus opérationnels de conformité.

Reda Bouakel parle de son expérience aux Etats-Unis qui affichent quant à eux “une très nette volonté de réduire les coûts, augmenter leur marge et être beaucoup plus compétitifs”. 

Le marché en France est très dynamique et mature !

Reda Bouakel

Comment a évolué la collaboration entre acteurs financiers et Regtech ?

Romain Deguest de Fundvisory estime que “la relation a plutôt évolué positivement”. Au début,  les entreprises se demandaient quel était l’objectif des Regtech : « vont-ils nous disrupter ? Sont-ils des compétiteurs ou des partenaires ? » Aujourd’hui, elles ont compris que les Regtech sont davantage des partenaires et qu’elles n’ont pas vocation à voler leurs clients.

Il précise que “les acteurs financiers ne [leur] déroulent pas non plus le tapis rouge !”. Les contrats de service restent très contraints par la RGPD et la sécurité des données reste très sensible. Certains demandent même des tests de pénétration sur la sécurité informatique des Regtech, passant par des tiers qui sont missionnés pour hacker leurs serveurs ! “Cela les rassure lorsqu’ils voient qu’ils n’y arrivent pas. Mais ce genre d’inquiétudes émerge pour toutes les nouvelles technologies. Aujourd’hui, on ne peut pas créer une startup dans la Tech sans avoir un certain niveau de sécurité avancé.”

Les partenariats se sont développés et les grands groupes font appel aux Regtech pour sous-traiter une partie de leurs services, de leurs traitements et restructurations de données, qu’ils ont parfois du mal à faire en interne. Leur héritage informatique ne leur permet pas une aussi grande agilité que les Regtech. Ces dernières sont donc de véritables atouts, notamment sur des problématiques à court ou très court terme !

Aujourd’hui, on ne peut pas créer une startup dans la Tech sans avoir un certain niveau de sécurité avancé

Romain Deguest

L’objectif des Regtech est-il de se faire absorber par les grands groupes, qui constituent au fur et à mesure des équipes dédiées sur ces questions ?

Romain Deguest évoque quelques absorptions récentes de Regtech et notamment celle du fournisseur de logiciel Harvest par Rotschild ou We Save racheté par Amundi. Il y a des acquisitions car les grands groupes ont tendance à internaliser. Quand ils confient une partie de leur parc client et de leurs données sensibles à une startup, on peut facilement comprendre qu’ils ne veulent pas que cette même startup soit absorbée par un de leurs concurrents.

C’est pourquoi Fundvisory a choisi d’intégrer dans tous ces contrats des clauses précisant qu’en cas de prise de capital d’un concurrent, les données restent sauvegardées.  Romain Deguest est certain qu’une Regtech ne doit pas être le fournisseur d’un seul client ou d’un seul institutionnel. Christian Le Hir acquiese : “Je ne pense pas que ce soit dans l’intérêt d’une banque de s’approprier un acteur de la régulation comme RegMind. La mutualisation est importante surtout sur un outil comme le nôtre. Nous ferons toujours mieux ensemble que isolement, car l’enjeu n’est pas concurrentiel.”

En effet ! Les outils Regtech ne mettent pas nécessairement en concurrence les différents acteurs de la place financière car ils visent à optimiser des process internes. Christian Le Hir ajoute que souvent la question se pose pour des groupes comme Natixis, de faire appel à des startups en développement ou de développer en interne avec leurs propres data-scientist. Selon lui, dans ce contexte, une startup qui veut se développer doit proposer un produit fini : “La barre est de plus en plus haute dans les grands établissements !”.

Bertrand Tillay-Doledec parle du cas de Scaled Risk dont les clients demandent aussi à rester maîtres de leurs données et se prémunissent de situation de rachat de la startup en ajoutant des clauses dans les contrats. Pour lui, “cela est lié à l’avantage compétitif qu’ils peuvent tirer de la technologie pure, et pas seulement du service”. Les grands groupes bancaires qui ont des opérations réglées au millimètre près, ont l’impression de prendre des risques énormes en s’associant à des toutes petites structures qui veulent optimiser leurs process.

Reda Bouakel évoque “un rapport entre grands groupes et startups qui reste assez compliqué notamment sur la partie informatique” : les standards techniques et de sécurité des grands groupes sont en effet contraignants. Il donne l’exemple de Fortia qui a consacré 8 de ses développeurs pendant 1 an et demi sur une contrainte technique pour rendre leurs solutions conformes aux exigences de leurs banques clientes. Il souligne un “discours d’ouverture d’esprit mais également une réalité, avec un fossé qui parfois les sépare”.

Reda Bouakel insiste tout de même sur le fait que les Regtech dépendent des banques : “ce sont elles qui nous financent et qui détiennent la donnée ! Nous avons besoin de ce carburant pour faire tourner la machine.”.

Nous ferons toujours mieux ensemble que isolement, car l’enjeu n’est pas concurrentiel.

Christian Le Hir

Quels sont les profils métiers et expertises que l’on retrouve chez les Regtech ? Faut-il absolument être un professionnel à la fois du juridique, de la finance et de la régulation ?

Christian Le Hir évoque “un mix avec une majorité de data-scientist” car la prestation attendue chez RegMind est pûrement algorithmique et technique.

Steeve Laquitaine, Senior Research Scientist chez Fundsory, avoue qu’il y a beaucoup d’expertises juridiques et réglementaires qui peuvent manquer dans son travail et dans celui de l’équipe scientifique. “Pour le profilage par exemple, même si j’ai la compréhension de l’architecture, il manque toujours des données claires et non ambiguës par rapport aux textes de loi (comme Mifid 2). Il nous faudrait une interaction régulière avec des juristes pour nous éduquer et accéder à des réponses rapides.

Bertrand Tillay-Doledec spécifie que “beaucoup de compétences clés pour des startups reposent sur des partenariats, lorsque les expertises ne sont pas en interne.”. Partenariats techniques, commerciaux, juridiques, etc. “On ne pourrait jamais faire tout cela tout seul !”.

Chez Fortia, Reda Bouakel a essentiellement recruté des ingénieurs, développeurs et data-scientists, mais il n’a pas de juristes en internes. Il sait aussi que les meilleurs juristes sur ces questions sont ceux des grands groupes bancaires !

Romain Deguest témoignage de la même expérience chez Fundvisory qui “dialogue beaucoup avec les services conformité et juridiques des groupes financiers, qui ont souvent eux des contraintes encore plus strictes que les régulateurs.”. Cela laisse parfois peu de marge de manoeuvre aux Regtech qui doivent s’adapter aux stratégies de conformité.

Il nous faudrait une interaction régulière avec des juristes pour nous éduquer et accéder à des réponses rapides.

Steeve Laquitaine

[Vous pouvez retrouver les précédentes interviews de Edouard Estour de Scaled Risk et de Reda Bouakel de Fortia]