L’AMF publie un projet de ligne directrice sur l’utilisation de l’IA par les institutions financières

En réponse à l’adoption généralisée de l’IA par les institutions financières, l’Autorité des marchés financiers (AMF) du Québec a récemment publié un projet de ligne directrice sur l’utilisation des systèmes d’IA par les institutions financières¹. La ligne directrice s’applique aux assureurs autorisés, aux coopératives de services financiers, aux sociétés de fiducie et aux institutions de dépôts autorisées. L’AMF invite les personnes intéressées à soumettre leurs commentaires sur le projet au plus tard le 7 novembre 2025.

Ce que vous devez savoir

• Le projet de ligne directrice définit les attentes de l’AMF à l’égard des mesures que les institutions financières devraient prendre pour atténuer les risques liés à l’utilisation des systèmes d’IA.
• Le projet de ligne directrice s’appuie largement sur les normes internationales, notamment celles relatives à l’évaluation des risques, à la validation et à la surveillance, à la gouvernance, à la transparence et au traitement équitable des clients.
• Même si elle est encore à l’état de projet, la ligne directrice indique clairement ce que l’AMF considère comme les meilleures pratiques en matière d’utilisation de l’IA conformément aux normes internationales. La conformité avec cette ligne directrice aidera donc les institutions financières à répondre aux attentes internationales en matière d’éthique et de sécurité de l’IA.

Aperçu

Le rôle de l’AMF consiste à s’assurer que les professionnels et les entreprises du secteur financier respectent les lois québécoises en vigueur. L’AMF publie des lignes directrices pour veiller à ce que les institutions financières gèrent les risques de manière appropriée et efficace.

L’AMF reprend la définition de l’IA établie par l’Organisation de coopération et de développement économiques : « système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir d’entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels. Différents systèmes d’IA présentent des degrés variables d’autonomie et d’adaptabilité après déploiement »². Le projet de ligne directrice définit également des termes et des concepts courants liés à l’IA.

La ligne directrice recommande que les institutions financières prennent les mesures suivantes :

• attribuer une cote de risque à chacun de ses systèmes d’IA;
• élaborer, documenter, approuver et mettre en œuvre des processus et des contrôles pour atténuer les risques à chaque étape du cycle de vie du système d’IA;
• établir des politiques, des processus et des procédures de gouvernance et spécifier les rôles et responsabilités des parties prenantes;
• mettre en œuvre des politiques, des processus et des procédures de gestion des risques;
• assurer un traitement équitable et éthique des clients.

Attribution d’une cote de risque aux systèmes d’IA

Les institutions financières devraient se doter de processus pour évaluer le risque de chaque système d’IA utilisé afin de déterminer les politiques et procédures applicables à ce système tout au long de son cycle de vie.

Les facteurs d’évaluation pourraient comprendre ce qui suit :

• les caractéristiques du système et des données (qualité des données utilisées, utilisation de données personnelles, degré d’explicabilité, degré de connaissance des paramètres de conception, etc.);
• les contrôles (efficacité du processus de correction du biais, risque de réidentification des renseignements personnels ou confidentiels, risque de participation à l’exclusion financière d’un groupe, etc.);
• l’exposition de l’institution (criticité de l’usage prévu pour le système d’IA, type et volume de clients touchés en cas de problème, dépendance à une tierce partie pour l’utilisation du système d’IA, etc.).

Élaboration et mise en œuvre de stratégies d’atténuation des risques

L’AMF s’attend à ce que les institutions financières élaborent des processus et des contrôles pour chaque étape du cycle de vie du système d’IA, proportionnellement à la cote de risque de ce dernier. Ainsi, les systèmes d’IA dont la cote de risque est plus élevée devraient être surveillés et corrigés plus fréquemment.

La documentation de ces systèmes devrait comprendre une description des éléments techniques du système, des contrôles qui y sont assortis et de l’usage qui en est fait. Ces descriptions devraient comprendre l’évaluation de la performance, la redondance prévue en cas de déficience pour la tâche réalisée par le système, les données utilisées l’entraînement et la réalisation de tests, ainsi que les choix qui ont été faits relativement à la transparence, à l’explicabilité et à la qualité des données.

En outre, les institutions devraient prendre des mesures pour :

• justifier le bien-fondé d’utiliser un système d’IA avant de procéder à sa conception ou à son approvisionnement en tenant compte des besoins de l’institution, de sa tolérance au risque et des solutions alternatives;
• s’assurer de la qualité des données utilisées par le système d’IA et corriger les biais;
• mettre en place des processus de conception d’approvisionnement de systèmes d’IA de manière à favoriser des systèmes qui atténuent les risques en mettant l’accent sur la cybersécurité, l’explicabilité et la robustesse;
• valider les systèmes d’IA en évaluant notamment les risques liés à la cybersécurité et les risques de biais, de discrimination, d’hallucinations et de non-respect la propriété intellectuelle, et mener un audit interne pour déterminer si les processus, les procédures et les contrôles relatifs à l’utilisation des systèmes d’IA sont adéquats;
• limiter l’utilisation de systèmes d’IA dont la cote de risque est élevée et pour lesquels il manque des informations requises pour leur évaluation;
• superviser en continu la performance et l’utilisation des systèmes d’IA et leurs extrants.

Établissement de politiques de gouvernance précisant les rôles et responsabilités des parties prenantes

L’AMF s’attend à ce que les institutions financières mettent en place des mécanismes de gouvernance qui précisent les rôles et responsabilités des personnes en charge des systèmes d’IA. Chaque système d’IA devrait être sous la charge d’une personne responsable. Celle-ci devrait rendre compte à un membre de la haute direction qui est imputable pour l’ensemble des systèmes d’IA de l’institution.

La ligne directrice définit les responsabilités du conseil d’administration et de la haute direction :

• Le conseil d’administration veille à ce que la haute direction fasse la promotion d’une culture d’entreprise axée sur l’utilisation responsable de l’IA et que la compétence collective des membres du conseil d’administration est suffisante pour comprendre les risques liés aux systèmes d’IA.
• La haute direction élabore une politique de gestion des risques liés à l’utilisation des systèmes d’IA qui définit clairement les rôles et responsabilités des parties prenantes, s’assure d’atteindre un niveau adéquat de connaissance des systèmes d’IA, s’assure que les exercices de validation se fassent sur une base récurrente en fonction de la cote de risque attribuée au système et mène des audits internes.

La ligne directrice définit également les compétences requises pour les personnes qui s’occupent de la gestion, de l’approvisionnement et de la conception des systèmes d’IA.

Mise en œuvre des politiques, des processus et des procédures de gestion des risques

Les institutions financières doivent disposer de politiques, de processus et de procédures adaptés à leurs activités, à leur profil de risque et à la cote de risque de leurs systèmes d’IA.

• Répertoire centralisé des systèmes d’IA : Les institutions doivent tenir un répertoire de tous les systèmes d’IA qu’elles utilisent. Ce répertoire doit offrir un portrait complet des spécificités des systèmes d’IA et des modèles qui les composent, ce qui comprend la façon dont les modèles ont été entraînés, l’origine et la description des données utilisées pour l’entraînement, l’isolement en amont ou en aval du système, sa cote de risque et les déclencheurs du processus de validation.
• Évaluation des risques : L’AMF s’attend à ce que les responsables, utilisateurs, équipes de validation des systèmes d’IA de même que la haute direction reçoivent une évaluation des risques liés à l’utilisation des systèmes d’IA sur une base périodique à l’échelle de l’institution.

Traitement équitable des clients

Le projet de ligne directrice énonce des attentes en matière de traitement équitable des clients qui s’appliquent à l’utilisation des systèmes d’IA et s’ajoutent aux attentes existantes prévues dans les autres lignes directrices de l’AMF. Ainsi, l’AMF s’attend à ce que :

• le code d’éthique de l’institution lui permette de maintenir de hauts standards d’éthique dans le cadre de son utilisation des systèmes d’IA;
• les facteurs discriminatoires sont documentés et communiqués à la haute direction;
• les occurrences de discrimination et les biais constatés dans les systèmes ayant une incidence sur les clients soient corrigés sans délai;
• une attention particulière soit portée à la qualité des sources de données secondaires utilisées lorsque les résultats ont une incidence sur les clients;
• le consentement des clients soit obtenu lorsque leurs données personnelles sont utilisées par un système d’IA;
• les clients soient informés lorsqu’ils entrent en communication avec un système d’IA (comme un agent conversationnel) et qu’une personne puisse intervenir à la demande du client;
• une explication soit fournie aux clients qui font l’objet d’une décision prise ou assistée par un système d’IA.

Conclusion

Le projet de ligne directrice est bénéfique pour les institutions financières pour deux raisons : d’abord, il énonce les attentes de l’AMF à l’égard des institutions financières qui utilisent des systèmes d’IA; ensuite, il sert de référence pour évaluer les mesures de gestion des risques liés à l’IA. En se conformant avec la ligne directrice, les institutions financières s’assureront de respecter les attentes à l’égard de l’éthique et de la sécurité de l’IA au niveau international, puisque la ligne directrice reprend les principes énoncés dans le Règlement sur l’intelligence artificielle de l’Union européenne et la Recommandation du Conseil sur l’intelligence artificielle de l’OCDE.