Passer au contenu directement.

Le BSIF et l’ACFC publient un rapport conjoint soulignant les risques liés à l’IA pour les institutions financières

Cette publication fait partie de notre série Perspectives sur l’intelligence artificielle, rédigée par le groupe du droit de l'IA de McCarthy Tétrault – vos partenaires de choix pour vous aider à mieux vous y retrouver dans cet environnement complexe et dynamique. Cette série vous présente des perspectives pratiques et intégratives sur la façon dont l'IA transforme les secteurs industriels, et vous explique comment vous pouvez garder une longueur d'avance. Vous pouvez consulter les autres publications de cette série en cliquant ici ou en visitant notre page Web consacrée à l'intelligence artificielle en cliquant ici.

 

Le 24 septembre 2024, le Bureau du surintendant des institutions financières (« BSIF ») et l’Agence de la consommation en matière financière du Canada (« ACFC ») ont publié un rapport conjoint (le « Rapport ») soulignant les principaux risques pour les institutions financières liés à l’utilisation de l’intelligence artificielle (« IA »). Ce rapport, fondé sur les commentaires recueillis au moyen d’un questionnaire volontaire sur l’IA remis aux institutions financières fédérales, donne un aperçu des tendances actuelles en matière d’adoption de l’IA, des principaux risques et des pratiques exemplaires d’atténuation des risques pour les institutions financières canadiennes réglementées.

Le rapport s’inscrit dans le cadre de l’étude par le BSIF et l’ACFC des risques évolutifs que l’utilisation de l’IA peut poser pour les institutions financières et de leur promotion de l’adoption responsable de l’IA.

Croissance de l’adoption de l’IA dans un avenir prévisible

Le rapport souligne une augmentation importante de l’utilisation de l’IA par les institutions financières canadiennes. Les résultats montrent une hausse d’environ 67 % de l’adoption de l’IA de 2019 à 2023, avec 75 % des institutions financières ayant répondu au questionnaire s’attendant à investir dans l’IA au cours des trois prochaines années, et 70 % d’entre elles s’attendant à utiliser des modèles d’IA d’ici 2026.

Le BSIF et l’ACFC ont constaté que l’utilisation de l’IA par les institutions financières augmente pour des fonctions de base comme la souscription, la gestion des réclamations, le trading algorithmique et la surveillance de la conformité. Les assureurs et les institutions de dépôt priorisent l’IA pour la détection de la fraude et la cybersécurité, ce qui implique souvent des fournisseurs tiers. La plupart des institutions, surtout les plus petites, en sont encore à l’étape de l’adoption de leur prototype d’IA générative, étudiant l’usage de grands modèles de langage (communément appelés « GML ») pour leurs besoins internes et la mobilisation des clients.

Risques internes liés à l’adoption de l’IA

À la suite de l’adoption de l’IA dans différents secteurs, le BSIF et l’ACFC ont adopté le point de vue selon lequel le risque lié à l’IA est considéré comme un « risque transversal », qui amplifiera les risques existants ou en introduira de nouveaux à mesure que l’utilisation de l’IA augmentera ou s’étendra à de nouveaux secteurs au sein des institutions financières. Le rapport souligne les principaux risques internes liés à l’adoption de l’IA, dont les institutions financières devraient être particulièrement conscientes lorsqu’elles envisagent son adoption, notamment :

  • Les risques liés à la gouvernance des données : les risques liés aux données, notamment la protection des renseignements personnels, la gouvernance et la qualité des données, constituent les principales préoccupations dans ce domaine. Les défis découlent des différences réglementaires, de la fragmentation de la propriété des données et des ententes avec des tiers.
  • Les risques de modélisation et d’explicabilité : les risques de modélisation de l’IA augmentent avec leur complexité et leur opacité. Par exemple, l’impossibilité de déterminer les relations causales entre les intrants et les extrants qui influent sur la stabilité du modèle d’IA peut constituer un enjeu.
  • Les risques juridiques, éthiques et d’atteinte à la réputation : les institutions financières qui ne respectent que les exigences réglementaires d’un nombre limité de territoires peuvent s’exposer à des risques d’atteinte à la réputation. Il est essentiel d’accorder la priorité à la protection des renseignements personnels et au consentement des consommateurs, et il faudra une communication claire au sujet des répercussions de l’IA sur les consommateurs et un consentement approprié à l’utilisation des données.
  • Les risques liés aux tiers : la dépendance à l’égard de fournisseurs tiers pour les modèles d’IA pourrait présenter un risque de concentration.
  • Les risques opérationnels et de cybersécurité : l’interconnectivité des systèmes peut entraîner des problèmes imprévus et menacer la résilience. Sans une sécurité adéquate, l’utilisation de l’IA peut accroître le risque de cyberattaques et d’apparition de vulnérabilités financières. Les outils d’IA internes peuvent exposer les institutions à l’empoisonnement des données, ou encore à la divulgation involontaire de données sur les consommateurs ou de secrets commerciaux, en particulier lorsqu’ils utilisent des GML contenant des données internes.

En plus des risques internes liés à l’IA susmentionnés, les institutions financières continuent de faire face à des risques externes liés (i) à l’IA générative utilisée par les porteurs de menaces; (ii) aux défis liés à l’adoption de l’IA en raison de l’expertise et des connaissances internes limitées; et (iii) aux pertes de crédit potentielles générées par les pertes d’emplois découlant de l’automatisation et les risques de liquidité potentiels résultant de l’utilisation de l’IA pour déplacer automatiquement les liquidités.

Meilleures pratiques de gestion des risques liés à l’IA

Le rapport propose plusieurs des meilleures pratiques générales pour la gestion des risques liés à l’IA, notamment :

  • L’agilité et la vigilance : la nouveauté de la technologie de l’IA nécessite une gestion des risques agile et vigilante, en particulier dans les secteurs d’activité qui ne sont habituellement pas assujettis à la gestion du risque de modélisation (voir la ligne directrice E-23 du BSIF — Gestion du risque de modélisation).
  • Des cadres exhaustifs de gestion des risques : des lacunes dans la surveillance de la gestion des risques liés à l’IA peuvent émerger si les institutions financières abordent ces risques seulement au moyen de cadres individuels (par exemple axés sur la modélisation ou les cyberrisques). Des cadres organisationnels, de gouvernance et opérationnels complets, en particulier ceux qui adoptent une approche multidisciplinaire, peuvent contribuer à atténuer ces risques.
  • Des réévaluations périodiques : les évaluations initiales des risques négligent souvent l’éventail complet des risques qui apparaît tout au long du cycle de vie du modèle d’IA, ce qui souligne la nécessité de réévaluations périodiques.
  • Des mesures de protection lors de l’utilisation de modèles d’IA : des mesures de contrôle, comme la surveillance du rendement et de l’intégration humaine, des systèmes de sauvegarde, des alertes, des fonctions d’apprentissage machine et des limites à l’utilisation de renseignements personnels identifiables, devraient être en place lors de l’utilisation de modèles d’IA.
  • Des contrôles particuliers concernant l’IA générative : l’utilisation de modèles d’IA générative amplifie les risques comme les biais, les dépendances envers des tiers et la divulgation potentielle de données confidentielles. Pour atténuer ces risques, les institutions financières devraient mettre en œuvre des contrôles particuliers concernant l’IA générative, notamment une surveillance accrue et une formation des employés sur l’utilisation appropriée des données confidentielles dans les modèles d’IA générative.
  • La formation des employés sur l’IA : une formation insuffisante des employés sur l’IA peut mener à de mauvaises prises de décisions et à des risques accrus, ce qui souligne l’importance de programmes de formation complets.
  • Une approche stratégique de l’adoption et des risques de l’IA : une approche stratégique de l’adoption de l’IA est essentielle, car tout retard par rapport aux progrès technologiques peut induire des risques opérationnels, surtout en l’absence d’expertise et de connaissances internes en matière d’IA. Les institutions financières qui n’utilisent pas l’IA devraient tout de même envisager de mettre à jour leurs cadres de gestion des risques, leur formation ou leurs processus de gouvernance pour gérer les risques liés à l’IA.

Feuille de route en matière de réglementation

Le BSIF et l’ACFC ont fait part de leur intention d’engager des discussions plus poussées avec les institutions financières sur la mise en œuvre des meilleures pratiques, y compris la tenue d’un deuxième Forum sur l’intelligence artificielle dans le secteur des services financiers. Par conséquent, les institutions financières devraient s’assurer de demeurer mobilisées dans le développement et l’utilisation de l’IA dans le secteur des services financiers et chercher à mettre en œuvre des stratégies concrètes pour gérer les risques connexes.

 

Si vous avez des questions ou si vous avez besoin d’aide, veuillez communiquer avec Nancy Carroll, Hartley Lefton, Christine Ing, Vanessa Johnson, Charles Morgan ou Christopher Yam.

Auteurs

Abonnez-vous

Recevez nos derniers billets en français

Inscrivez-vous pour recevoir les analyses de ce blogue.
Pour s’abonner au contenu en français, procédez à votre inscription à partir de cette page.

Veuillez entrer une adresse valide