Alors que l’intelligence artificielle (IA) s’impose de plus en plus comme un levier stratégique au sein des institutions financières canadiennes, le cadre réglementaire régissant l’usage des technologies émergentes s’est, de son côté, considérablement renforcé au cours des dernières années.
Dans ce contexte, l’Autorité des marchés financiers (AMF) a publié pour consultation, le 3 juillet dernier, sa Ligne directrice sur l’utilisation de l’intelligence artificielle, qui précise les attentes applicables à l’égard des institutions financières en matière d’utilisation responsable des systèmes d’intelligence artificielle (SIA) (voir ici pour plus de détails). Les exigences prévues dans cette ligne directrice ont d’ailleurs fait l’objet d’un examen détaillé dans une publication antérieure. Ce nouveau cadre s’ajoute à la ligne directrice B-13 du Bureau du surintendant des institutions financières (BSIF), en vigueur depuis janvier 2024, qui encadre la gestion du risque lié aux technologies et du cyberrisque par les institutions financières fédérales (IFF).
Bien que distinctes dans leur approche, ces deux lignes directrices poursuivent des objectifs convergents et devront désormais être appliquées en parallèle par les institutions du secteur financier opérant à la fois au Québec et sous la réglementation fédérale. Cette coexistence soulève un enjeu pratique : comment harmoniser ces exigences pour éviter la duplication des efforts et assurer une mise en œuvre cohérente?
La présente actualité propose une lecture croisée de ces deux cadres réglementaires, en repérant leurs points de convergence et les leviers d’intégration permettant aux institutions de structurer une gouvernance technologique unifiée et efficace.
Une complémentarité stratégique
Bien que la ligne directrice de l’AMF cible spécifiquement les SIA, elle s’inscrit dans la continuité des principes de gestion du risque lié aux technologies énoncés par le BSIF. Les deux lignes directrices s’appuient sur une démarche fondée sur le risque, formulent une exigence de gouvernance claire et portent une attention particulière à la résilience opérationnelle.
Ainsi, les institutions financières peuvent s’appuyer sur les structures de gouvernance, les processus de validation technologique et les mécanismes de surveillance continue déjà mis en place en vertu de la ligne directrice B-13 pour répondre à plusieurs des attentes de l’AMF.
Points de convergence à exploiter
Afin d’éviter la duplication des efforts, les institutions financières peuvent tirer parti des nombreux recoupements entre les deux lignes directrices. Les rôles et responsabilités définis dans la ligne directrice B-13 en matière de gouvernance technologique peuvent être étendus aux SIA, notamment en désignant un responsable pour chaque système et en assurant une responsabilisation claire jusqu’à la haute direction.
De même, les processus de gestion du cycle de vie des technologies prévus par la ligne directrice B-13 (cycle de développement des systèmes) peuvent être adaptés pour inclure les étapes propres aux SIA, telles que la conception, la validation et la surveillance continue, en y intégrant notamment des indicateurs de performance et des mécanismes de détection des biais.
L’inventaire des actifs technologiques, déjà imposé par la ligne directrice B-13, peut également être enrichi pour inclure les données spécifiques aux SIA dont l’AMF exige le suivi, telles que la cote de risque, les données d’entraînement ou les mécanismes d’explicabilité. Enfin, les protocoles de gestion des incidents technologiques peuvent être élargis pour couvrir les risques propres à l’IA, comme les dérives de modèle, la discrimination et le biais, les hallucinations ou les atteintes à la propriété intellectuelle.
La protection des données constitue également un terrain de convergence évident. Le BSIF aborde cet enjeu sous l’angle de la sécurité, de la confidentialité et de la disponibilité de l’information, tandis que l’AMF prévoit des exigences supplémentaires, notamment quant à la qualité des données et à la limitation de leur usage. Les politiques internes de protection des données peuvent donc être harmonisées en un seul ensemble cohérent afin de couvrir les risques spécifiques liés aux SIA, tout en s’appuyant sur les fondations techniques déjà mises en place conformément aux exigences du BSIF.
Les apports distinctifs de l’AMF
La ligne directrice de l’AMF impose un ensemble de nouvelles exigences, spécifiquement adaptées aux enjeux liés à l’utilisation de l’IA dans les services financiers.
La ligne directrice prévoit une modulation des obligations selon la cote de risque attribuée à chaque SIA, qui influence les exigences en matière de validation, de documentation et de supervision. Elle insiste également sur le respect du traitement équitable des clients et la transparence envers ces derniers, notamment par la détection des biais et l’explicabilité des décisions automatisées. Enfin, elle intègre une dimension environnementale en demandant que les émissions de gaz à effet de serre liées aux SIA soient prises en compte dans l’analyse des risques.
Bien que ces exigences soient récentes, elles peuvent, dans plusieurs cas, être intégrées aux mécanismes de gouvernance, de gestion des risques et de supervision technologique déjà mis en place en vertu de la ligne directrice B 13, à condition d’en élargir la portée pour y inclure les spécificités propres à l’IA.
Se conformer à la fois aux exigences de l’AMF et à celles du BSIF
Plutôt que de multiplier les processus, les institutions financières peuvent y voir une occasion stratégique de concevoir un cadre de conformité interne leur permettant de répondre à la fois aux exigences des lignes directrices B-13 du BSIF et à celles de l’AMF sur l’IA. Cette possibilité repose sur les similitudes observées dans l’approche réglementaire des deux organismes de réglementation, notamment en matière de gouvernance, de gestion des risques et de surveillance des technologies. Une telle démarche favorisera une mise en œuvre plus efficiente de ce cadre pour les institutions financières assujetties aux exigences des deux organismes, tout en renforçant la cohérence et la robustesse des mécanismes de gouvernance technologique.
Les auteur·rices tiennent à remercier Charles-Antoine Bordeleau, stagiaire, pour son aide dans la préparation de la présente actualité juridique.