Récemment nommé directeur de la conformité et du risque, Maxime Laot maîtrise les risques pour Qonto, banque des TPE et PME au 450 000 clients. Il faut jongler avec les nouvelles réglementations, le risque bancaire, la conformité financière, les risques éxogènes… Maxime Laot s’appuie sur une équipe de 70 personnes, avec un seul mot d’ordre : anticiper. “Nous ne sommes jamais pris par surprise”, insiste-t-il. Pour maîtriser les risques et rester en conformité dans un environnement aussi présent, il faut beaucoup de veille et jongler avec des sources internes et externes nombreuses. Comment Maxime Laot organise ces missions pour que rien n’échappe à Qonto ?
Maddyness : Concrètement, en quoi consiste votre rôle chez Qonto ?
Maxime Laot : Qonto est une solution de gestion financière pour les entreprises. Qonto a une licence pour opérer. Qui dit licence, dit obligation. Ces obligations procèdent du fait que l'on manipule une matière première très particulière : l'argent de nos clients. Nous avons donc de grandes obligations.
D'abord, celle de connaître la réglementation qui nous est applicable, c’est la partie conformité, qui interprète, traduit les droits et conseille les différentes business unit de Qonto. Ensuite, il y a la fonction risque, dont l'activité est d'identifier, de mesurer et de contrôler les risques. N'importe quelle entreprise fait face à du risque quand elle gère son activité. Mais comme notre activité est très particulière, nous avons une obligation d'avoir une direction de risque qui est très structurée et très formaliste pour faire en sorte que, justement, on ne prenne pas de risque. Je dirige ces deux missions.
L’équipe compte 70 collaborateurs avec des profils différents. Par exemple, notre responsable des affaires réglementaires a un master de droit européen. Certains ont des masters de droit de la donnée. Pour la partie conformité, ce sont des profils très juridiques. Dans la conformité rentre aussi la criminalité financière. Ces profils sont très différents avec des études qui peuvent être des études de droit, des études d'intelligence économique, des masters spécialisés en criminalité financière.
Pour la partie risque, nos collaborateurs sont très opérationnels car ils connaissent bien le risque opérationnel et le réseau de clients. Il y a aussi des ingénieurs financiers, qui vont travailler toute la modélisation.
Comment suivez-vous les nouvelles lois et réglementations ? Comment vous mettez-vous en conformité ?
Prenons l'exemple de la révision de la directive sur les services de paiement, la DSP2. Ce texte date de 2015. Il est en cours de révision et ce sera au nouveau parlement européen de finaliser ses modifications. Nous intervenons très en amont avec des organes de représentation nationaux et européens. Cela nous permet de recevoir et de contribuer aux propositions de texte. Généralement, quand une réglementation passe, elle reflète une partie des choses que nous demandons. Surtout, nous avons eu le temps de nous mettre en conformité. De plus, la mise en vigueur se fait de manière différée en fonction des impacts qu’il peut y avoir.
Nous pensons que la DSP3 va entrer en vigueur en 2026-2027 mais nous travaillons déjà dessus, pour bien anticiper, car certaines des dispositions peuvent toucher à des structures produits qui sont clés. Il faut pouvoir anticiper les impacts, mobiliser les ressources pour être sûr qu'on sera prêt, au bon niveau d'exigence au moment des obligations en vigueur. Il faut anticiper et travailler très en amont. Nous ne sommes jamais pris par surprise.
Pour faire de la veille en interne, il faut un bon positionnement de la fonction en risque et conformité. Là, la fonction en risque et conformité est au plus haut niveau dans le comité exécutif auquel je siège. Donc j'ai accès, tant que directeur de la risque et de la conformité, à toute l'information stratégique de l'entreprise. Donc je connais la roadmap produit, je peux l'influencer. Pour suivre l'information externe, nous réalisons beaucoup de veille réglementaire, nous avons beaucoup d'interactions avec les organismes de représentation, les autorités de supervision, de contrôle, les pairs.
Comment analysez-vous et cartographiez-vous ces risques ? Utilisez-vous l'IA pour vous aider ?
Oui, nous cartographions les risques, nous les listons et nous en donnons les probabilités d’occurrence. Pour identifier les risques, nous avons plusieurs sources. D’abord les experts. À mesure que le business grandit, les dires d’experts deviennent plus informés. Nous avons des incidents qui peuvent se manifester et qui alimentent notre cartographie. Notre système est très interconnecté, nous ne perdons aucune information. Nous menons également des contrôles internes, de l’audit interne, les autorités…
Nous avons également des éléments exogènes, des éléments de contexte qui nous amènent à réévaluer notre cartographie des risques. Pour qu'une cartographie soit bonne, il faut l'ensemble de ces éléments et également la remontée des experts métiers et du terrain. Concernant l’IA, nous l’utilisons dans la cartographie mais cela ne s’y prête pas dans l’évaluation des risques.