Résumés de rencontres, rédaction de courriels, préparation de présentations, idéation marketing : les usages de l’intelligence artificielle (IA) générative se multiplient dans les cabinets de services financiers. Cette adoption devance toutefois souvent la mise en place de mécanismes de contrôle adéquats.
Chez les conseillers indépendants, l’IA est souvent utilisée sans politique interne claire, sans encadrement formel et parfois sans réelle compréhension des risques réglementaires, souligne Emeline Manson, formatrice en prévention des fraudes et cybersécurité et fondatrice de CY-clic, qui a collaboré à un guide pratique sur l’utilisation de l’IA générative dans les services financiers.
« La bonne question à se poser n’est pas “est-ce que je peux utiliser l’IA ?”, mais plutôt “dans quel contexte, avec quelles données, sous quelle supervision ?” », déclare-t-elle.
Plus de la moitié (57 %) des firmes indépendantes utilisent déjà l’IA dans leurs opérations, 29 % en explorent le potentiel et à peine 14 % affirment ne pas s’y intéresser, selon une étude récente de Schwab Advisor Services citée dans le guide.
Dans ce contexte, plusieurs zones grises se dessinent. Voici six angles morts à surveiller pour éviter les dérapages :
- Retirer le nom du client ne suffit pas
La Loi 25 ne se limite pas aux identifiants directs comme le nom ou le numéro d’assurance sociale. Elle couvre aussi les combinaisons d’informations permettant d’identifier une personne indirectement : âge, situation familiale, montants des actifs, profil de risque, historique médical. Effacer le nom d’un client avant de soumettre une note à l’IA ne garantit donc pas la conformité.
« Un conseiller peut entrer trop d’informations dans un outil ou réutiliser une réponse inexacte sans la valider », signale Emeline Manson. Avant de soumettre un texte anonymisé à un outil d’IA public, elle suggère de se demander si quelqu’un qui connaît vaguement votre clientèle pourrait identifier la personne concernée à la lecture de ce texte.
Autre piège fréquent : demander à une IA de dépersonnaliser elle-même le contenu, car à ce stade, il est trop tard, les données ont déjà été transmises au serveur externe. Le guide recommande plutôt une analyse rigoureuse du contenu avant toute utilisation d’outil public.
- L’IA fantôme, un risque qui vient de l’intérieur
Ce phénomène est l’un des risques qui inquiètent le plus les experts en cybersécurité, soit l’utilisation d’IA non approuvées. Extensions de navigateur, outils gratuits de transcription ou assistants non vérifiés : ces outils ouvrent des brèches de sécurité importantes dans la sécurité des données.
Même lorsqu’aucun renseignement nominatif n’est transmis, l’utilisation d’un outil non approuvé peut contrevenir aux politiques internes, des exigences de la Loi 25, de l’Autorité des marchés financiers (AMF) ou de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRI).
- Transcrire un appel sans consentement
Les outils de transcription automatisée facilitent la rédaction de comptes rendus après une rencontre client, mais sous certaines conditions. Le client doit être informé dès le départ que l’appel sera enregistré et que la transcription sera traitée par un outil automatisé.
Ce consentement doit être consigné au dossier. Un oubli peut constituer un manquement déontologique, signale le guide. Dans ce contexte, la technologie ne modifie pas les obligations : elle les rend simplement plus faciles à contourner involontairement.
- La responsabilité ne se délègue pas
L’un des malentendus fréquents consiste à croire que l’IA partage une partie de la responsabilité professionnelle. Or, le conseiller demeure entièrement responsable des recommandations ou communications produites avec l’IA. Devant un comité de discipline, l’argument « l’algorithme me l’a suggéré » n’a aucune valeur. Le devoir de compétence implique de comprendre les hypothèses sous-jacentes aux recommandations, d’en identifier les biais potentiels et de justifier les décisions retenues ou écartées.
Cette responsabilité s’étend à la détection des hallucinations : informations fiscales erronées, règles américaines appliquées par erreur, clauses légales inexistantes. Aucune recommandation financière issue d’un outil d’IA ne devrait être transmise à un client sans validation indépendante.
- Aide à la décision, pas automatisation
L’IA peut suggérer un profil d’investisseur, recommander des suivis ou proposer une répartition d’actifs. La décision finale doit toutefois rester humaine. Une recommandation validée, documentée et révisée par un professionnel reste conforme. À l’inverse, un système qui agit sans intervention humaine devient un traitement automatisé interdit.
Cette distinction touche en particulier les chatbots qui répondent aux clients sans supervision, les systèmes automatisés d’envoi de communications ou les d’agent IA capables d’agir de façon autonome. Des pratiques qui soulèvent des enjeux de conformité dans le cadre réglementaire québécois.
- Les versions gratuites : une illusion d’économie
Dans plusieurs petits cabinets, les versions gratuites des outils d’IA sont utilisées pour des raisons de coût ou de simplicité. Or, cette économie apparente peut se transformer en risque majeur. Les plateformes gratuites offrent rarement des garanties sur la localisation ou la suppression des données, qui peuvent être utilisées pour entraîner des modèles d’IA, stockées hors Québec et réutilisées à d’autres fins.
Selon Emeline Manson, « la localisation des serveurs est un élément très important, sinon on perd le contrôle sur qui pourrait avoir accès aux renseignements. » Toute information client saisie dans ces outils peut constituer une transmission à un tiers non encadrée, en violation avec la Loi 25, même en l’absence d’intention malveillante du conseiller. Les versions pour entreprise offrent davantage de protections, mais imposent aussi une gouvernance plus rigoureuse : gestion des accès, contrôle des paramètres d’entraînement et limitation stricte des données utilisées.
Ce qu’il faudrait déjà avoir mis en place
L’encadrement de l’IA tend à devenir une attente implicite des régulateurs. Lors des inspections, les cabinets doivent être en mesure de démontrer qu’un cadre de gouvernance de l’IA est en place.
Cela inclut notamment :
- une liste des outils autorisés ;
- une politique signée par tous les employés sur les usages permis et interdits ;
- un registre de consignation des incidents de confidentialité conforme à la Loi 25 ;
- des mécanismes de validation humaine des contenus générés par IA ;
- une désignation claire du responsable chargé de valider les contenus produits par l’IA avant diffusion.
Le devoir de compétence évolue également. Il inclut désormais la maîtrise des outils technologiques utilisés dans la pratique. Faire appel à l’IA sans en comprendre les limites, les biais ou les conditions d’utilisation pourrait devenir difficile à défendre sur le plan disciplinaire.
Avant chaque utilisation, certaines questions deviennent essentielles : les informations divulguées permettent-elles d’identifier un client ? Le consentement a-t-il été obtenu ? L’outil est-il approuvé par la firme ? L’usage vise-t-il une aide à la rédaction ou une décision finale ? Et surtout, le conseiller est-il prêt à valider chaque élément produit ?
« Une politique simple vaut mieux qu’un flou complet », résume Emeline Manson. L’objectif n’est pas de produire un cadre lourd, insiste-t-elle, mais plutôt de « déterminer ce qui est permis, ce qui est interdit » et d’identifier clairement « les données qui ne devraient jamais être entrées dans ce type d’outils ». L’important est d’agir rapidement, même avec des balises imparfaites, souligne la formatrice. « Le but n’est pas de freiner l’innovation, mais de mieux l’encadrer en définissant les responsabilités et les validations humaines nécessaires. »