Le 3 juillet 2025, l'Autorité des marchés financiers (AMF) a publié un projet de ligne directrice sur l'utilisation de l'intelligence artificielle dans le secteur financier (la ligne directrice).
Applicable aux assureurs autorisés, aux coopératives de services financiers, aux sociétés de fiducie autorisées et aux autres institutions de dépôts autorisées, cette ligne directrice établit les attentes de l'AMF à l'égard des mesures que les institutions financières devraient prendre pour gérer les risques liés à l'utilisation de systèmes d'intelligence artificielle (SIA) de façon holistique et pour s'assurer du traitement équitable des clients.
L'AMF invite les personnes intéressées à soumettre leurs commentaires avant le 7 novembre 2025.
Définition d'un SIA
La ligne directrice définit un SIA comme étant un « système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir d'entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels ». La ligne directrice ajoute que « différents systèmes d'IA présentent des degrés variables d'autonomie et d'adaptabilité après déploiement ».
Principales attentes
Évaluation des risques
L'AMF s'attend à ce que les institutions financières associent une cote de risque à chacun des SIA qu'elles utilisent et à ce qu'elles revoient, périodiquement ou minimalement sur une base annuelle, les cotes et les facteurs utilisés pour les calculer. Chaque cote devrait servir à moduler l'application des politiques, processus et procédures à mettre en œuvre relativement au cycle de vie des SIA, à sa gouvernance, à la gestion de ses risques et aux aspects touchant le traitement équitable des clients.
La ligne directrice fournit une liste non exhaustive de facteurs à considérer dans l'évaluation des risques, notamment les caractéristiques du SIA et des données, les contrôles et l'exposition de l'institution financière. L'évaluation initiale devrait donner lieu à une cote de risque provisoire, qui pourrait être révisée lorsque les informations sont complètes.
Cycle de vie d'un SIA
Les institutions financières sont tenues d'élaborer, documenter, approuver et mettre en œuvre des processus pour répondre aux attentes relatives à chaque étape du cycle de vie d'un SIA proportionnellement à la cote de risque de ce dernier. Par conséquent, un SIA qui présenterait une cote de risque plus élevé devrait faire l'objet d'un suivi, de mesures correctives et de démarches d'amélioration plus fréquentes.
La ligne directrice explique que le cycle de vie d'un SIA comprend trois phases: la phase de conception ou d'approvisionnement, la phase d'utilisation et de surveillance, et la phase de modification ou de mise hors service.
Au cours de ces différentes phases, les institutions financières devraient évaluer la qualité des données d'apprentissage, mettre en œuvre des processus régissant la conception et l'approvisionnement des SIA, procéder à des validations et à des audits internes, établir des limites à l'utilisation des SIA dont la cote de risque est élevée ou pour lesquels il manque des informations requises pour leur évaluation et supervisées en continu la performance et l'utilisation des SIA.
Il est essentiel que la décision d'une institution financière d'implanter un SIA pour répondre à un besoin particulier, plutôt que d'adopter des solutions alternatives, soit dûment documentée. L'institution financière devrait être en mesure de démontrer que le système retenu constitue la meilleure solution compte tenu de sa cote de risque.
Gouvernance
Les institutions financières devraient adopter des politiques, des processus et des procédures qui spécifient les rôles et les responsabilités de toutes les parties qui participent à chaque phase du cycle de vie d'un SIA. Ces cadres de gouvernance devront également établir les niveaux de compétence nécessaires pour les diverses parties prenantes.
Soulignons que pour la durée de son cycle de vie, chaque SIA devrait être sous la charge d'un ou d'une responsable qui lui serait attitrée. Cette personne devrait rendre compte à un membre de la haute direction qui est imputable pour l'ensemble des SIA de l'institution financière.
Les personnes responsables d'établir les politiques, processus et procédures qui visent les SIA devraient détenir un niveau de connaissance suffisant des SIA et des risques liés à leur utilisation, de l'appétit de l'institution financière pour le risque et des positionnements éthiques de cette dernière. De même, les personnes qui doivent faire l'application des procédures devraient connaître suffisamment les SIA et les risques qui y sont associés.
La ligne directrice définit également quatre groupes de parties prenantes clés – le conseil d'administration, la haute direction, la fonction de gestion des risques et l'audit interne – et précise leurs rôles au-delà de ceux décrits dans d'autres publications de l'AMF. Par exemple, le conseil d'administration devrait disposer collectivement d'une connaissance suffisante des SIA pour prendre des décisions éclairées concernant l'évaluation, le déploiement, les risques et les limites des SIA.
Gestion des risques
Les institutions financières devraient adopter des politiques, des processus et des procédures sur l'utilisation des SIA en fonction de la nature, la taille, la complexité des activités et le profil de risque de l'institution financière.
La ligne directrice recommande aux institutions financières d'identifier les risques importants liés à l'utilisation des SIA, d'établir la taxonomie qui leur est propre et de la maintenir à jour. De plus, les institutions financières devraient évaluer et réévaluer leur appétit pour le risque et leur niveau de tolérance aux principaux risques à la lumière de leur utilisation des SIA.
En outre, dans une optique de gestion des risques, la ligne directrice s'attend à ce que les institutions financières tiennent un répertoire centralisé de toutes leurs SIA et mettent en place les contrôles appropriés pour faciliter la supervision transparente et uniforme des risques liés à l'utilisation des SIA à l'échelle de l'institution financière.
Traitement équitable des clients
La ligne directrice s'appuie sur les lignes directrices existantes de l'AMF relatives au traitement équitable des clients tout en introduisant des attentes supplémentaires adaptées à l'utilisation des SIA.
Les institutions financières devraient veiller à ce que leur code d'éthique leur permette de maintenir des normes élevées d'éthique et d'intégrité dans le contexte particulier de l'utilisation qu'elles font des SIA. La ligne directrice souligne l'importance d'identifier, de consigner et de signaler les cas où l'utilisation des SIA entraîne des résultats discriminatoires ou des décisions biaisées. De tels cas doivent être communiqués à la haute direction et traités de manière appropriée.
En ce qui concerne les communications avec les clients et le consentement de ceux-ci relativement à l'utilisation des SIA, les institutions financières devraient fournir aux clients une information claire, précise et adéquate sur l'utilisation de leurs renseignements personnels. Par exemple, lorsqu'elles recueillent le consentement pour l'utilisation de renseignements personnels par un SIA, les institutions financières devraient s'assurer que les clients comprennent que leurs renseignements personnels seront associés à des données secondaires, ce qui pourrait affecter la qualité de l'information qui pourrait leur être associée. En outre, les institutions financières devraient fournir aux clients une explication simple et claire lorsqu'ils font l'objet d'une prise de décision soit par un SIA de façon autonome, soit par un individu à la suite de l'analyse effectuée par un tel système.
Importance de la ligne directrice
Le projet de ligne directrice marque une avancée importante dans la réglementation de l'IA sur le secteur financier québécois. En effet, il souligne l'importance de s'adapter à des normes en pleine évolution pour atténuer les risques juridiques, d'exploitation, et d'atteinte à la réputation.
Pour en savoir plus sur la ligne directrice ou obtenir de l'aide pour son application, y compris l'élaboration de politiques internes, de cadres de gouvernance ou d'outils de gestion des risques, nous vous invitons à communiquer avec les autrices ou l'auteur du présent article, ou avec l'une des personnes-ressources dont le nom figure ci-après.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
