Lors d’un panel portant sur les enjeux de l’IA dans les services financiers à l’occasion du 18^e Colloque québécois sur l’investissement de l’Association des marchés de valeurs et des investissements (AMVI), le 8 mai à Montréal, plusieurs experts ont partagé des solutions contre les dérives potentielles des modèles d’IA. Ils ont également souligné que, dans l’industrie financière, les projets d’IA ne sont pas que technologiques. Ils sont profondément humains.

Dans les cas d’usage courant, comme les recommandations d’achat de produits sur Amazon, c’est l’utilisateur qui filtre les résultats. Cependant, dans les services financiers, un encadrement plus structuré est nécessaire entre autres en raison des obligations réglementaires, signale Ashee Sarin. Entre les hallucinations des modèles d’IA, les obligations réglementaires qui évoluent et les enjeux de réputation, les risques sont nombreux et variés pour les firmes. D’où l’importance de bien encadrer l’IA en effectuant un suivi en continu de ses actions, d’en suivre la trace et d’utiliser une technologie appropriée pour y parvenir.

Selon Ashee Sarin, la gestion des risques liés à l’IA repose sur trois lignes de défense : les employés en contact direct avec les clients, en première ligne, les systèmes de contrôle, en deuxième, et une surveillance indépendante en troisième. Des contrôles doivent être présents sur chacune de ces lignes de défense. « Chaque étape du cycle de vie d’un modèle IA doit être contrôlée : des données injectées, à la vérification du modèle, jusqu’à l’analyse des résultats. »

IA sous surveillance chez Desjardins

Non seulement la supervision humaine est utile, mais elle est rendue obligatoire par la réglementation, ajoute Fanny Guertin, directrice principale données et analytique, Gestion de patrimoine et assurance de personnes (GPAP) au Mouvement Desjardins. En effet, la réglementation interdit à une IA de prendre seule des décisions déterminantes. Un algorithme ne peut pas refuser un service ou pénaliser un client sans validation humaine. « Sur chaque transaction de Desjardins (qui fait appel à l’IA), il y a un humain qui vérifie que tout est conforme », dit-elle.

Chez GPAP, la supervision est multicouche. Un premier modèle détermine les transactions contrôlées en priorité, un deuxième valide les résultats du premier, et un humain intervient en bout de chaîne. Cette approche en cascade permet de maintenir un niveau de contrôle élevé tout en éliminant les tâches à faible valeur ajoutée. « C’est l’employé le plus productif possible qui va être contrôlé et vérifié », indique Fanny Guertin, faisant référence à l’IA comme étant cet employé.

Choisir les bons combats

Cette structure ne garantit pas des gains de productivité immédiats, indique Fanny Guertin. « Les bénéfices sont modestes au départ, mais le retour sur investissement se concrétise à moyen terme. » D’autant que les vérifications peuvent être automatisées en partie, ce qui permet d’optimiser les ressources sans sacrifier la conformité.

Pour générer de la valeur réelle, encore faut-il savoir où l’IA peut être utile. Il faut d’abord bien définir les problématiques d’affaires à résoudre, la valeur que l’on veut créer pour les clients et comment simplifier les processus internes.

GPAP utilise par exemple l’intelligence documentaire pour accélérer le traitement des demandes de prêts hypothécaires. L’IA lit les documents en format papier ou numérique et propose des recommandations. Cette technologie est aussi déployée en financement et pour traiter les réclamations d’assurance.

Erreur chez Air Canada

Mais que se passe-t-il quand un modèle utilisant l’IA déraille ? Jocelyn Auger, avocat associé chez Fasken, spécialisé en droit commercial et technologies de l’information, souligne que l’absence de gouvernance liée aux modèles d’IA est encore fréquente, même chez les grandes entreprises.

Il cite le cas d’un client d’Air Canada induit en erreur par un agent conversationnel au sujet d’un rabais pour un billet d’avion en raison d’un deuil familial. Le robot a communiqué une information erronée au client, qui l’a privé du rabais. Le client a poursuivi Air Canada et a gagné, car le tribunal a statué que la compagnie était responsable des propos de son chatbot, soulignant qu’un robot représente l’entreprise autant qu’un employé.

Selon lui, une gouvernance efficace des modèles d’IA exige un suivi humain constant ainsi qu’une formation appropriée des employés : « Même si les erreurs sont inévitables, la manière de les gérer est cruciale ».

Les firmes utilisatrices d’IA restent imputables de ces erreurs : « Il ne faut pas oublier que toutes les autres lois demeurent en vigueur. Dans l’histoire d’Air Canada, ce n’est pas une loi sur l’IA (comme telle) qui s’appliquait », a-t-il dit.

Par ailleurs, Pascale Toupin, directrice de l’encadrement des intermédiaires à l’Autorité des marchés financiers (AMF) a noté dans un autre panel que les Autorités canadiennes en valeurs mobilières (ACVM) ont publié le 5 décembre 2024 l’Avis 11-348 du personnel des ACVM et de consultation, Applicabilité du droit canadien des valeurs mobilières à l’utilisation des systèmes d’intelligence artificielle dans les marchés des capitaux.

L’avis, qui se voulait également une consultation a permis à l’AMF d’avoir le point de vue de l’industrie sur la pertinence ou non d’incorporer un encadrement supplémentaire de l’IA alors que la réglementation actuelle vise une neutralité technologique. Selon elle, l’enjeu de l’explicabilité des décisions et actions de l’IA est pertinent pour les firmes, tout comme la formation du personnel et l’importance de bien comprendre les sources d’informations utilisées par l’IA.

« On est attentifs aux commentaires reçus. On va suivre les travaux de l’Organisation internationale des commissions de valeurs (OICV) qui devrait publier des indications en 2025 ou en 2026 sur la question (de l’IA) », a indiqué Pascale Toupin.

Qualité des données

Autre facteur critique : la qualité des données. « Des données inexactes ou mal structurées peuvent compromettre les performances des modèles », indique Fanny Guertin. Dans le secteur des réclamations médicales, par exemple, une mauvaise catégorisation des données peut générer des résultats inexploitables.

S’ajoute à cela la complexité juridique. Jocelyn Auger précise que les obligations de protection des renseignements personnels (Loi 25) freinent l’adoption de l’IA dans les secteurs réglementés. « Les organisations peinent à déterminer où leurs données sont stockées et comment elles sont utilisées par les fournisseurs de solutions d’IA. Le langage contractuel flou de certains fournisseurs ajoute à l’incertitude. Si bien que certains clients refusent que l’IA soit utilisée dans la prestation de services. »

Pour éviter tout faux pas réglementaire, certaines institutions limitent l’usage de leurs outils, comme Morningstar, où les chatbots ne sont pas autorisés à fournir des conseils financiers personnalisés.

Selon un sondage effectué dans l’assistance, 78 % des personnes utilisent déjà l’IA dans leur travail, principalement pour l’analyse de données (39 %) et la conformité (37 %), suivis par la relation client (20 %). Mais, malgré cette adoption massive, le niveau de confort reste variable.

La clé de la réussite ? « L’alignement avec les systèmes existants, et surtout l’adhésion des utilisateurs », dit Fanny Guertin. Car un outil, aussi puissant soit-il, est inutile s’il n’est pas utilisé ou compris par les équipes, estime la spécialiste. La gestion du changement devient alors le nerf de la guerre.

L’article « Il faut traiter l’IA comme un employé qui n’a pas de jugement » est apparu en premier sur Finance et Investissement.

Des changements qui passent sous le radar

Les experts en fiscalité s’accordent à dire que ces nouvelles règles sont passées sous le radar de nombreux contribuables. Elles risquent pourtant de transformer de manière significative les pratiques de vérification fiscale et la collecte de renseignements par l’ARC. Ces modifications méritent d’être mieux comprises, car elles pourraient avoir des répercussions bien plus vastes que l’augmentation du taux d’inclusion du gain en capital.

Quelles sont ces nouvelles règles ?

Le régime fiscal canadien repose sur le principe de l’autocotisation, ce qui permet à l’ARC de collecter des renseignements auprès des contribuables. Toutefois, un rapport de 2018 du Bureau du vérificateur général a révélé que ces demandes étaient souvent retardées de plusieurs mois, voire de plusieurs années. Pour y remédier, le Budget 2024 propose de renforcer les pouvoirs de l’ARC en matière de vérification fiscale et de collecte de renseignements. Ces mesures, appuyées par un projet de loi (modifié en août 2024), visent à améliorer l’efficacité des vérifications fiscales et à garantir la perception des revenus fiscaux en temps opportun.

Quatre mesures clés à surveiller :

1. L’ARC est autorisée à obliger une personne d’être interrogée sous serment (oralement ou par écrit).
2. Émission d’avis de non-conformité avec des pénalités pouvant atteindre 25 000 $ pour non-respect des demandes de l’ARC.
3. Imposition de pénalités automatiques en cas de non-respect d’une ordonnance d’exécution.
4. Suspension de la période de prescription dans certaines situations.

Des mesures controversées

Ces mesures ont soulevé de vives critiques au sein de la communauté fiscale. Bien que certains praticiens reconnaissent la nécessité pour l’ARC de disposer d’outils efficaces pour effectuer des vérifications, beaucoup estiment que les règles existantes sont déjà suffisantes. De plus, ces nouvelles mesures pourraient entraîner des abus de la part de l’ARC dans le traitement des dossiers des contribuables.

Voici quelques préoccupations soulevées par les fiscalistes :

• Les interrogatoires sous serment risquent d’entraîner des coûts importants pour les contribuables.
• Les pouvoirs actuels de l’ARC en matière de collecte de documents sont déjà considérables et pourraient suffire à garantir la conformité fiscale.
• La possibilité d’émettre des avis de non-conformité pourrait être utilisée de manière excessive, notamment contre les contribuables qui, bien qu’ayant répondu aux demandes de l’ARC, s’opposent à certaines demandes jugées abusives.
• L’imposition de pénalités automatiques pourrait pénaliser des contribuables ayant déjà fourni la majorité des renseignements demandés.

Une réforme suspendue, mais pas oubliée

Face aux critiques, un groupe de travail a été mis sur pied par l’Association du Barreau canadien et Comptables professionnels agréés du Canada pour étudier ces mesures. Toutefois, le projet de loi concernant ces nouvelles règles a été suspendu par la prorogation du Parlement le 7 janvier dernier, suite à une demande du Premier ministre Justin Trudeau. La communauté fiscale s’attend à ce qu’un nouveau projet de loi soit présenté lors de la reprise des travaux de la Chambre des communes. À suivre…

L’article Collecte de renseignements par l’ARC : de nouvelles règles attendues en 2025 est apparu en premier sur Finance et Investissement.

La mise en application de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels s’est échelonnée sur trois ans. La dernière portion, axée sur le droit à la portabilité des données, est entrée en vigueur le 22 septembre dernier.

Depuis, les organisations ont l’obligation de communiquer un renseignement personnel informatisé recueilli par elles à toute personne concernée ou à un organisme autorisé à le recueillir, lorsque la demande en est faite. Cette communication doit être effectuée dans un format technologique structuré et couramment utilisé, par exemple un format de type CSV ou XML, précise le gouvernement du Québec.

Le droit à la portabilité vise à encourager la concurrence et à faciliter le droit du consommateur à changer de fournisseur, que ce soit pour un service Internet ou une institution financière, illustre Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken.

Cela fait en sorte qu’on ne peut pas refuser de remettre les informations fournies pour constituer son dossier à la personne ou à un nouveau fournisseur en invoquant la non-disponibilité de l’information sur un format technologique facile à utiliser.

Le droit à la portabilité ne vise toutefois pas les renseignements personnels recueillis en format papier ni ceux créés ou induits par une entreprise, par exemple pour un profil d’utilisateur sur le Web.

Des défis à relever

La mise en place de cette législation a posé et pose toujours des défis pour les entreprises. L’avocate explique que « tout le monde est visé par la loi, même les entreprises qui font du B2B. Ces entreprises ne recueillent peut-être pas des renseignements sur leurs clients en tant qu’individus, mais elles ont des employés. À partir du moment où une entreprise a des employés au Québec, elle est assujettie à la loi 25 ».

Or, bien que la Loi sur la protection des renseignements personnels dans le secteur privé existe depuis 1994, « les entreprises avaient manifestement peu investi de ressources et avaient mis en place peu de processus », constate-t-elle. Mais, la loi 25, qui augmente les obligations des entreprises et ajoute des sanctions importantes, « a créé un effet de réveil collectif ».

L’un des défis qu’ont dû relever la majorité des entreprises a été de procéder à un inventaire de données duquel doivent découler leurs politiques et leur cadre. « Et ça, je vous dirais que ce n’était pas fait dans la plupart des entreprises, observe Kateri-Anne Grenier. […] Et l’inventaire, c’est un défi, mais ça se fait avec des solutions humaines et technologiques. C’est une étape qui est primordiale dans un exercice sérieux. »

L’autre défi, une fois qu’un programme de conformité à la loi 25 a été mis en place, consiste à le mener à bien à l’intérieur de l’entreprise. « Donc, une fois que c’est fini, ça recommence, c’est-à-dire qu’on a adopté notre cadre, les politiques, on a renégocié nos contrats avec les fournisseurs, on a sécurisé nos systèmes, on a donné des rôles et des responsabilités aux acteurs à l’interne, et après, il faut faire des vérifications ponctuelles, annuelles, bisannuelles, et auditer ces processus pour savoir s’ils fonctionnent, s’ils peuvent être améliorés, s’ils sont respectés », explique-t-elle.

Une démarche de conformité à la loi 25 implique forcément des coûts, mais aussi des avantages. Cela permet de valoriser les données et de bien les caractériser, selon Kateri-Anne Grenier. « Ça permet aussi de réaligner les objectifs des équipes de marketing et de vente sur ce qui est conforme et non conforme […]. Ça permet de protéger l’entreprise quand elle négocie les contrats, parce que maintenant, les obligations sont telles que l’entreprise qui veut confier des renseignements à l’extérieur du Québec doit prendre certaines précautions. Elle doit, lorsqu’elle a de nouveaux projets technologiques, faire les EFVP [évaluations des facteurs relatifs à la vie privée] », ajoute l’avocate.

Une telle démarche, quand elle est faite en amont, permet une meilleure gestion des risques. « Une entreprise qui garde trop de données trop longtemps, ou qui a des données qu’elle n’aurait pas dû collecter à la base, s’expose de façon évidente lors d’incidents de confidentialité et devra faire face à une gestion de crise. Cela concerne particulièrement les entreprises qui font affaire avec les consommateurs où le risque réputationnel est non négligeable », prévient Kateri-Anne Grenier.

La loi 25 prévoit d’ailleurs la possibilité pour la Commission d’accès à l’information d’imposer des sanctions administratives pécuniaires dans le secteur privé. Ces sanctions peuvent s’élever jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial si ce montant est plus élevé.

« Lorsque des données d’individus – que ce soient des employés ou des clients – sont exfiltrées, poursuit-elle, et qu’elles sont de nature à poser un risque de préjudice pour ces personnes, par exemple un risque de vol d’identité, nous devrons non seulement assumer des frais pour notifier individuellement ces individus, mais il est fréquent que l’entreprise propose également des mesures de protection pour les aider, notamment des facilités pour s’inscrire gratuitement à un service de surveillance du crédit comme Equifax ou TransUnion. »

En fin de compte, la plupart des entreprises que Fasken a accompagnées voient dans la démarche de conformité « une mesure de prévention, et sont d’avis que les coûts investis vont être moindres que le coût de faire face à une crise soudaine […] », fait valoir Kateri-Anne Grenier.

L’article Loi 25 : une nouvelle étape est apparu en premier sur Finance et Investissement.