Intelligence artificielle et institutions financières : recommandations d’utilisation du BSIF et de l’ACFC pour une gestion saine des risques

Intelligence artificielle et institutions financières : recommandations d’utilisation du BSIF et de l’ACFC pour une gestion saine des risques

L’utilisation de l’intelligence artificielle (« IA ») par les institutions financières sous réglementation fédérale (« IFRF ») connaît une croissance rapide, tout comme les risques associés. Le 24 septembre 2024, le Bureau du surintendant des institutions financières (le « BSIF ») et l’Agence de la consommation en matière financière du Canada (l’« ACFC ») ont publié un rapport conjoint[1] sur l’utilisation de l’IA et les risques associés (le « rapport sur l’IA »). Ce dernier résume les résultats d’un questionnaire rempli en 2023 par les IFRF, qui ont formulé des commentaires sur l’IA et leur niveau de préparation à l’informatique quantique. Le rapport sur l’IA fait également le point sur les principaux risques auxquels sont exposées les IFRF qui adoptent l’IA et souligne l’importance d’établir un équilibre entre l’innovation et une gestion saine des risques.

L’utilisation de l’IA par les IFRF

Les IFRF utilisent l’IA pour améliorer l’efficacité opérationnelle, soutenir les fonctions essentielles et faciliter la communication avec les clients. L’IA les aide à accomplir un large éventail de tâches, comme la souscription, le traitement des réclamations, la détection des fraudes et le soutien client en ligne. Puisque l’IA est adoptée par un nombre croissant d’institutions et que ses fonctions s’élargissent, il est de plus en plus important de cerner et de gérer les risques associés à son adoption.

Les risques internes et externes liés à l’IA

Le rapport sur l’IA énonce les risques internes ci-dessous auxquels sont exposées les IFRF qui adoptent et utilisent l’IA.

1. Risques liés à la gouvernance de données : La principale préoccupation des répondants concernait les risques liés à la confidentialité, à la gouvernance et à la qualité des données, surtout lorsque celles-ci sont stockées dans différents territoires de compétence et que leur propriété est morcelée.
2. Risque de modélisation et explicabilité : La complexité des modèles d’IA pose souvent un défi quant à l’explicabilité de leurs données de sortie. Les IFRF doivent faire participer les parties prenantes à la conception et à la mise en œuvre des modèles d’IA et leur expliquer comment ces modèles prennent leurs décisions. L’explicabilité constitue un enjeu important pour les modèles d’apprentissage profond tels que l’IA générative (p. ex. ChatGPT).
3. Risques juridiques, éthiques et de réputation : Les modèles d’IA peuvent présenter des risques juridiques et de réputation pour les IFRF en raison de l’évolution constante du contexte juridique, des biais inhérents aux modèles d’IA ainsi que des préoccupations en matière de protection de la vie privée et de consentement des clients.
4. Risques liés aux tiers : Le recours important aux modèles d’IA de tiers pose un risque lié à la concentration en cas de panne. Les IFRF sont responsables des modèles d’IA qu’elles utilisent et doivent s’assurer que ces modèles et les tiers qui les fournissent respectent leurs normes internes.
5. Risques opérationnels et cyberrisques : L’IA aide les IFRF à améliorer leur efficacité opérationnelle, mais elle pose aussi des risques accrus pour les fonctions essentielles par l’entremise de cyberattaques, d’atteintes à la sécurité des données et de risques financiers découlant de défaillances des modèles.

Le rapport sur l’IA énonce également les risques ci-dessous qui sont externes aux IFRF et qui découlent souvent d’auteurs de menace externes et de pressions du marché.

1. Cyberrisques et menaces de fraude : Les IFRF deviennent beaucoup plus vulnérables aux cyberattaques à mesure que l’adoption de l’IA prend de l’importance. Le coût des cyberattaques a d’ailleurs quadruplé ces dernières années. Les auteurs de menace ont en effet de plus en plus recours à l’IA générative pour commettre des fraudes et des vols. Les IFRF sont donc vulnérables à l’hameçonnage par courriel et par message texte, au vol d’identité à l’aide d’hypertrucages et de modifications de voix ainsi qu’aux attaques par logiciel malveillant ciblant des systèmes de base et des technologies critiques.
2. Risques financiers et d’exploitation : Les IFRF risquent de se retrouver confrontées à un nombre accru de pressions si l’IA devient incontournable dans le secteur. Si elles tardent à adopter cette technologie dans un contexte où d’autres institutions utilisent des systèmes plus efficaces et autonomes, elles pourraient subir des pressions financières et concurrentielles.
3. Risques de crédit, de marché et de liquidité : L’adoption accrue de l’IA pourrait accroître le risque lié au crédit consenti pour le commerce de détail. Les risques d’entreprise pourraient également entraîner des pertes sur créance si les perturbations causées par l’IA génèrent des inégalités sectorielles. Les risques de marché et de liquidité peuvent augmenter en raison de comportements grégaires et de krachs éclairs engendrés par l’IA.

Les défis liés à l’IA et ses possibilités

L’adoption rapide de l’IA par les IFRF surpasse les pratiques de gestion des risques, ce qui pose d’importants défis en matière de gouvernance. Le caractère inédit de cette technologie commande agilité et vigilance dans la gestion des risques, surtout dans les secteurs d’activité où la gouvernance du risque de modélisation n’est pas habituelle. Des lacunes dans la supervision de la gestion des risques liés à l’IA peuvent survenir si les IFRF ne considèrent ces derniers que de certains points de vue, sans lien entre eux, plutôt que selon des approches multidisciplinaires rigoureuses.

Une analyse continue des risques est nécessaire à la détermination des risques initiaux, continus et nouveaux. L’absence de mesures d’urgence ou de protection, comme une intervention humaine et un suivi du rendement, augmente le risque que les modèles d’IA ne se comportent pas comme prévu. De plus, le recours aux modèles d’IA générative peut amplifier certains risques, comme l’explicabilité, le biais et la dépendance à l’égard de tiers, ce qui nécessite l’application de mesures de contrôle. Il faut aussi bien former les employés à l’IA, sinon ils risquent de prendre de mauvaises décisions.

Une bonne gestion des risques permet aux IFRF de tirer parti de l’efficacité qu’offrent les systèmes d’IA. Les IFRF doivent être transparentes avec les clients quant à leur utilisation de cette technologie et aux lacunes des modèles adoptés. Elles doivent aussi être en mesure d’expliquer comment le modèle d’IA prend ses décisions.

Les prochaines étapes du BSIF

Pour que les organismes de réglementation puissent suivre la cadence quant aux répercussions de l’IA sur les IFRF, le BSIF a annoncé qu’il prévoit tenir une deuxième séance du Forum sur l’intelligence artificielle dans le secteur des services financiers (« FIASSF »). À la suite des discussions tenues lors de la première séance, le BSIF a publié, en 2023, un rapport sur l’IA responsable. Dans ce document, le BSIF établit quatre domaines importants pour les modèles d’IA (les principes E-D-G-E; voir notre résumé du rapport ici). Le BSIF reconnaît toutefois que le rapport de 2023 ne faisait peut-être pas suffisamment de place aux défis et aux arbitrages que pose l’IA. Il entend s’appuyer sur ces travaux lors des prochaines séances du FIASSF.

[1] Bureau du surintendant des institutions financières, Rapport du BSIF et de l’ACFC – L’IA dans les institutions financières fédérales : utilisations et risques (24 septembre 2024).

Par Darcy Ammerman, Mathurhaen Siri et Nicole Davidson (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024