Encadrement de l’IA par les institutions financières

Cette Ligne directrice, qui vient compléter la Ligne directrice sur la gestion du risque de modèle[1] publiée par l’AMF en juin 2025, s’applique aux institutions financières régies par l’AMF[2]. La Ligne directrice s’appuie notamment sur les principes de l’Organisation de coopération et de développement économiques (l’« OCDE ») en matière d’intelligence artificielle (« IA »)[3].

Bien que cette Ligne directrice ne soit pas contraignante, elle demeure pertinente puisqu’elle reflète les attentes du régulateur sur l’encadrement de l’IA dans le secteur financier. Cet article dresse un sommaire des principales attentes de l’AMF énoncées dans la Ligne directrice.

Classification basée sur les risques

Les attentes de l’AMF pour l’encadrement des risques liés aux SIA reposent sur l’attribution d’une cote de risque à chaque SIA utilisé par les institutions financières. Les mesures à mettre en place devraient être proportionnelles à cette cote de risque. Pour établir cette classification, les institutions financières devraient réévaluer périodiquement divers facteurs, notamment l’utilisation de données personnelles et le niveau de dépendance de l’institution financière envers le SIA, et ajuster la cote de risque en conséquence.

Survol du projet de ligne directrice

1. Attentes en lien avec le cycle de vie d’un SIA

Les SIA devraient être encadrés à chacune des étapes de leur cycle de vie soit : la conception ou l’approvisionnement ; la mise à l’épreuve ; l’utilisation et la surveillance ; ainsi que la mise hors service ou la modification du SIA. L’AMF expose les attentes suivantes que nous reprenons sommairement :

• Processus et contrôles proportionnels: Les processus et contrôles devraient être documentés, approuvés et mis en œuvre proportionnellement à la cote de risque du SIA pour chacune des étapes de son cycle de vie.
• Justification de l’utilisation: Avant de développer ou d’acquérir un SIA, l’institution financière devrait justifier son choix en tenant compte des alternatives disponibles et de son appétit pour le risque.
• Données d’apprentissage : La qualité et l’équité des données utilisées pour l’apprentissage du SIA devraient être assurées en surveillant et en corrigeant activement les biais générés par le SIA.
• Développement et acquisition: Le développement d’un SIA devrait suivre des processus robustes axés sur les risques, notamment en incluant des objectifs explicites de cybersécurité, d’explicabilité ou de robustesse.
• Validation et audit interne : Le processus de validation et d’audit interne du SIA devrait notamment évaluer la cybersécurité, la correction des biais et la discrimination.
• Approbation des SIA à haut risque : L’utilisation des SIA à haut risque devrait être limitée si des informations essentielles à leur évaluation sont manquantes.
• Surveillance en continu : Les performances, les résultats et l’utilisation des SIA devraient être surveillés en continu afin de détecter les dérives, biais, facteurs interdits et conflits d’intérêts, à l’aide d’outils technologiques en complément d’une supervision humaine.

2. Attentes en matière de gouvernance

Les institutions financières devraient, entre autres, définir clairement les rôles et responsabilités des parties prenantes à chaque étape du cycle de vie des SIA et s’assurer de leur niveau de compétence. Ces exigences s’ajoutent à celles prévues dans d’autres lignes directrices de l’AMF[4].

• Conseil d’administration : Le conseil d’administration devrait promouvoir une culture d’entreprise responsable de l’IA, s’informer sur les SIA à risque élevé au sein de l’entreprise et veiller à la compétence de ses membres en matière d’IA.
• Haute direction : La haute direction devrait élaborer une politique de gestion des risques liés aux SIA et désigner une personne imputable pour l’ensemble des SIA de l’organisation.
• Fonction de gestion des risques : La fonction de gestion des risques devrait mettre en place un cadre de validation, élaborer et communiquer une taxonomie des risques et gérer les risques liés à l’utilisation des SIA.
• Fonction d’audit interne : La fonction d’audit interne devrait examiner l’efficacité de la gouvernance, de la gestion des risques et des contrôles internes pour le développement, l’approvisionnement et l’utilisation des SIA.

3. Attentes en matière de gestion des risques liés à l’IA

Les institutions financières devraient disposer de politiques, processus et procédures adaptés à la nature, la taille et la complexité de leurs activités et au profil de risque de l’institution et des SIA utilisés.

• Répertoire des SIA : Les institutions financières devraient tenir un registre centralisé et à jour de l’ensemble des SIA, incluant leur spécificité et leur cote de risque.
• Évaluation des risques et rapports : Les institutions financières devraient mettre en place des contrôles pour assurer une supervision transparente et communiquer périodiquement l’évaluation des risques aux parties prenantes (utilisateurs, la haute direction, etc.).

4. Attentes en matière de traitement équitable des clients

L’institution financière devrait garantir un traitement équitable des clients lors de l’utilisation des SIA en maintenant des standards élevés d’éthique et d’intégrité dont notamment :

• Code d’éthique : L’institution financière devrait s’assurer que son code d’éthique permette de maintenir des standards élevés d’éthique et d’intégrité dans l’utilisation des SIA.
• Discrimination et biais : L’institution devrait corriger et documenter les facteurs discriminatoires et les biais dans les décisions prises par des SIA, et produire des rapports à cet égard.
• Qualité des données : L’institution financière devrait s’assurer de la qualité et de la véracité des données personnelles utilisées par les SIA.
• Communication au client : L’institution financière devrait fournir des informations claires lors de l’obtention du consentement des clients pour l’utilisation de leurs données personnelles avec un SIA, informer les clients lorsqu’ils interagissent avec un SIA, garantir la possibilité d’avoir accès à une personne humaine et expliquer les décisions prises ou assistées par un SIA.

Conclusion

En énonçant ses attentes en matière d’encadrement des SIA, l’AMF invite les institutions financières à adopter une approche proactive et responsable dans la gestion des risques liés à l’IA, tout en assurant la protection des clients. Bien que ces attentes ne soient pas contraignantes, elles constituent un signal fort quant à la direction que prendra la réglementation dans les prochaines années. Les professionnels du secteur financier ont donc intérêt à tenir compte des attentes de l’AMF afin de se préparer aux évolutions réglementaires en matière d’IA.

La période de consultation publique est en cours et les personnes intéressées sont invitées à soumettre leurs commentaires d’ici le 7 novembre 2025 en écrivant à l’adresse courriel suivante : consultation-en-cours@lautorite.qc.ca.

Par Me Julie-Martine Loranger, Avocate émérite, associée chez McCarthy Tétrault S.E.N.C.R.L., s.r.l., avec la collaboration de Vincent Leduc et Bronté Anderson respectivement associée, stagiaire et étudiante chez McCarthy Tétrault, S.EN.C.R.L.

Le présent article ne constitue pas un avis juridique.

[1] Voir : https://lautorite.qc.ca/fileadmin/lautorite/reglementation/lignes-directrices-assurance/ld-gestion-risque-modele-2025_fr.pdf.

[2] Notamment aux assureurs autorités, aux coopératives de services financiers, aux sociétés de fiducie autorisées et aux institutions de dépôts autorisées.

[3] À titre d’exemple, l’AMF a choisi de définir « Système d’intelligence artificielle » au lieu d’« intelligence artificielle », ce qui s’aligne avec les Principes de l’OCDE en matière d’IA. Voir : Principes de l’OCDE en matière d’IA.

[4] Voir notamment la Ligne directrice sur la gouvernance et la Ligne directrice sur la gestion du risque de modèle.