Introduction
Alors que les institutions financières se tournent de plus en plus vers les technologies d’intelligence artificielle (IA), les autorités de réglementation accordent plus d’attention à la compréhension et à l’atténuation des risques associés à une gamme croissante de cas d’utilisation de l’IA.
Le 24 septembre 2024, le Bureau du surintendant des institutions financières (BSIF) et l’Agence de la consommation en matière financière du Canada (ACFC) ont publié un rapport sur les utilisations de l’IA dans les institutions financières fédérales (IFF) et les risques en découlant. Le rapport est étayé par les résultats d’un questionnaire sur l’IA envoyé aux IFF à la fin de l’année dernière, dans lequel on leur demandait leur avis sur l’IA et le niveau de préparation à l’informatique quantique. En février 2024, l’Autorité des marchés financiers (AMF) du Québec a publié un document de discussion encourageant l’adoption de certaines pratiques exemplaires pour la mise en œuvre et l’utilisation responsables de l’IA dans le secteur financier. Ensemble, ces publications brossent un portrait de l’environnement de risques actuel et suggèrent une voie à suivre.
Prévalence croissante de l’IA dans le secteur financier canadien
Le rapport du BSIF et de l’ACFC fait état d’une augmentation importante de l’adoption de l’IA par les institutions financières. En 2019, environ 30 % des IFF utilisaient l’IA, puis 50 % en 2023. On prévoit que la barre des 70 % sera atteinte d’ici 2026. De plus, 75 % des institutions financières qui ont répondu au questionnaire prévoient consacrer des investissements à l’IA au cours des trois prochaines années, puisqu’elle est maintenant une priorité stratégique. L’IA est utilisée de diverses façons et a déjà une incidence importante sur des aspects comme l’efficacité opérationnelle et les domaines impliquant des contacts avec les clients. Fait important, l’IA est de plus en plus utilisée pour les fonctions essentielles des sociétés d’assurance (sélection des risques et gestion des sinistres) et des institutions de dépôt (activités liées au risque de crédit et suivi de la conformité).
Le document de discussion de l’AMF présente des constats similaires et met en lumière le potentiel transformateur de l’IA dans le secteur financier : l’IA peut mener à la création de nouveaux produits et services financiers, améliorer la segmentation de la clientèle et rehausser l’expérience globale des clients.
Risques selon l’utilisation de l’IA
En général, l’utilisation de l’IA par les institutions financières entraîne non seulement de nouveaux risques, mais accroît l’étendue et l’incidence des risques existants. Dans le rapport du BSIF et de l’ACFC, les risques sont classés en deux catégories : les risques internes et les risques externes.
1. Risques internes
Les risques internes sont ceux qui touchent l’institution financière et ses produits et services, y compris les risques liés à la gouvernance des données et les risques de modélisation (p. ex., explicabilité, biais), les risques liés aux tiers, les risques opérationnels, les cyberrisques et les risques de réputation. Le rapport de l’AMF souligne les préjudices potentiels importants que la modélisation pourrait faire subir aux consommateurs (p. ex., un consommateur pourrait se voir refuser l’accès à un produit ou un service financier en raison des biais discriminatoires d’un modèle).
2. Risques externes
Selon le rapport du BSIF et de l’ACFC, l’IA générative est utilisée par des acteurs malveillants pour mettre en œuvre de nouvelles stratégies de cyberattaques et réduit le coût de ces attaques, ce qui fait des petites institutions une cible intéressante. Le rapport indique également que les cas de fraude sont en hausse.
Les risques externes entraînent un risque systémique pour l’intégrité du marché et la stabilité financière. Les systèmes d’IA utilisés pour automatiser les processus de négociation et les décisions d’investissement pourraient avoir une incidence défavorable sur la confiance du public envers les marchés financiers. Des erreurs dans ces modèles ou leur détérioration pourraient également entraîner des krachs éclairs, ce qui créerait des problèmes de liquidité du marché. De plus, l’adoption accrue de l’IA pourrait permettre à des acteurs malveillants d’amplifier les risques géopolitiques associés à la mésinformation et à la désinformation.
Erreurs à éviter et pratiques exemplaires
Erreurs à éviter
Le rapport du BSIF et de l’ACFC présente les erreurs potentielles à éviter lors de la mise en œuvre des systèmes d’IA et de l’atténuation des risques liés à l’IA :
- Absence de supervision de la gestion du risque lié à l’IA
- Non prise en compte de tous les risques tout au long du cycle de vie du modèle d’IA
- Absence de mesures d’urgence ou de protection face aux modèles d’IA
- Absence de mise à jour des cadres et des mesures de contrôle du risque lié à l’IA générative
- Insuffisance de la formation sur l’IA offerte aux employés
- Adoption de l’IA sans analyse stratégique
- Faire fi des risques liés à l’IA sous prétexte que l’on ne l’utilise pas
Recommandations
Le document de discussion de l’AMF propose 30 recommandations pour une utilisation responsable de l’IA dans le secteur financier qui vise un équilibre entre l’innovation et l’atténuation des risques. Ces recommandations s’inscrivent généralement dans les catégories suivantes :
- Protection des consommateurs : utiliser l’IA dans l’intérêt des consommateurs, respecter leur vie privée, accroître leur autonomie, les traiter avec équité, gérer les conflits d’intérêts au mieux de leurs intérêts, et consulter ceux qui sont appelés à utiliser un système d’IA.
- Transparence envers les consommateurs et le public : divulguer des informations sur le cadre de la conception et de l’utilisation de l’IA, divulguer des informations sur l’utilisation de l’IA dans les produits et services, expliquer les résultats qui concernent un consommateur, et offrir aux consommateurs des canaux de communication et des mécanismes d’assistance.
- Pertinence des systèmes d’IA : justifier chaque cas d’utilisation de l’IA, et privilégier le traitement le plus facilement explicable.
- Responsabilité : assumer la responsabilité des actions et des décisions d’un système d’IA, responsabiliser les employés et les dirigeants en ce qui a trait à l’utilisation de l’IA, et mettre en place un contrôle humain proportionnel aux risques liés à l’IA.
- Conception et utilisation de l’IA : encadrer la conception et l’utilisation de l’IA, établir un code d’éthique visant la conception et l’utilisation de l’IA, créer un environnement favorable à la transparence et à la divulgation, établir une approche uniforme dans la conception, le déploiement et la surveillance d’un système d’IA, faciliter la création d’équipes de travail diversifiées, soumettre les systèmes d’IA acquis d’une tierce partie à un contrôle diligent, et utiliser l’IA d’une manière qui permette l’atteinte des objectifs de développement durable.
- Gestion des risques liés à l’IA : évaluer les risques liés à l’utilisation d’un système d’IA, assurer la sécurité des systèmes d’IA, gouverner les données utilisées par les systèmes d’IA, gérer les risques liés aux modèles d’IA, effectuer une analyse d’impact et tester les systèmes d’IA, surveiller la performance d’un système d’IA sur une base continue, auditer régulièrement les systèmes d’IA, et former les employés et les utilisateurs sur l’IA.
Conclusion
Le rapport du BSIF et de l’ACFC et le document de discussion de l’AMF soulignent tous les deux le potentiel transformateur de l’IA dans le secteur financier, tout en insistant sur la nécessité d’une gestion efficace des risques. Toutes les institutions financières, même celles qui ne mettent pas en œuvre des modèles d’IA, doivent être au fait de l’évolution de l’environnement des risques.
