une main qui tient une guitare

Article

L’AMF publie ses attentes sur l’utilisation de l’IA

12 mai 2026

L’Autorité des marchés financiers (AMF) a récemment publié sa Ligne directrice sur l’utilisation de l’intelligence artificielle dans le secteur financier (la ligne directrice), laquelle entrera en vigueur dans environ un an, soit le 1er mai 2027.

Cette ligne directrice est la première établie par une autorité provinciale de réglementation du secteur financier en matière d’utilisation de l’intelligence artificielle. Elle s’ajoute ainsi au corpus d’attentes d’autres régulateurs du secteur financier, telles que la Ligne directrice E-23  du Bureau du surintendant des institutions financières et l’Avis 11-348 du personnel des Autorités canadiennes en valeurs mobilières (ACVM).

Cette ligne directrice vise principalement à s’assurer que les institutions financières établissent certains mécanismes de gouvernance et de gestion des risques à l’égard des systèmes d’intelligences artificielles (SIA), et ce, tout au long du cycle de vie des SIA.

Qui est visé par cette ligne directrice?

La ligne directrice vise l’ensemble des institutions financières qui utilisent des SIA et qui sont assujetties à la surveillance et au contrôle de l’AMF. Cela inclut les assureurs autorisés, les coopératives de services financiers, les sociétés de fiducie autorisées et les autres institutions de dépôts autorisées au Québec.

La ligne directrice définit un SIA comme étant un :

système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir d’entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels.

La ligne directrice précise que « différents systèmes d’IA présentent des degrés variables d’autonomie et d’adaptabilité après déploiement ».

La définition retenue s’appuie sur les principes internationaux reconnus en matière de gouvernance et de gestion des risques et reprend substantiellement celle développée par l’OCDE, tout comme l’Avis 11‑348 du personnel des ACVM.

Quelles sont les principales attentes de l’AMF?

Gouvernance

La ligne directrice précise que le conseil d’administration a un rôle crucial à jouer dans une saine gouvernance de l’IA. De façon proactive, le conseil doit notamment :

  • Veiller à ce que la haute direction promeuve une culture d’entreprise axée sur l’usage responsable des SIA.
  • Demeurer informé, sur une base régulière, des tendances, risques et changements liés aux SIA pouvant modifier le profil de risque de l’institution.
  • S’assurer que la compétence collective du conseil est suffisante pour comprendre les risques, en particulier lorsque des SIA servent à réaliser des activités critiques.

La haute direction doit, quant à elle, assurer un encadrement adéquat des SIA (gouvernance, gestion et contrôle des risques, connaissance des SIA et validation adaptée aux technologies utilisées).

L’AMF s’attend également à ce qu’un membre de la haute direction se voit attribuer l’imputabilité pour l'ensemble des SIA de l’institution. Elle précise aussi que les SIA doivent être sous la charge des responsables de modèles pour toute la durée de leur cycle de vie. Les responsables de modèles sont les personnes ou équipes chargées de choisir le modèle à utiliser, d’en coordonner l’élaboration, la mise en œuvre et le déploiement.

Gestion des risques

L’AMF s’attend à ce que les institutions financières assurent une gestion rigoureuse des risques importants reliés aux SIA à l’échelle de l’institution, afin d’en avoir une vision complète.

Soulignons que, par ailleurs, vu la Ligne directrice sur la gestion du risque de modèle, l’institution doit mettre en place et tenir à jour un répertoire centralisé des SIA . Les modèles liés aux SIA doivent également être soumis à une évaluation globale des risques, laquelle doit par la suite être communiquée sur une base périodique aux principales parties prenantes, telles que les responsables des modèles, les gestionnaires des équipes qui les utilisent ou en assurent la validation, ainsi que la haute direction.

Les risques à considérer sont variés : il peut notamment s’agir du non-respect des lois sur la protection des renseignements personnels lorsque des renseignements des clients ou d’employés sont utilisés, du risque de biais ou de discrimination dans les décisions automatisées susceptibles d’affecter les droits et les obligations des clients, ou encore du risque de décalage entre les résultats produits par les SIA et les valeurs éthiques de l’institution.

La ligne directrice insiste en outre sur la nécessité de privilégier des SIA adaptés à leurs besoins en sélectionnant les SIA avec un apport significatif aux besoins de l’institution financière et dont les résultants sont fiables et utiles pour l’usage envisagé. Cela s’applique, par exemple, aux données, aux systèmes et aux outils technologiques utilisés par les institutions pour soutenir leurs besoins opérationnels, la prise de décision ou encore l’évaluation des risques.

Évaluation des risques

La gestion des SIA au sein de l’institution financière doit s’appuyer sur une classification basée sur les risques, en attribuant à chaque SIA une cote de risque qui doit être mise à jour sur une base régulière.  Le processus d’évaluation des risques décrit dans la ligne directrice s’apparente à l’exercice de matrices de risques de données que plusieurs institutions ont déjà mené ces dernières années.

La ligne directrice propose plusieurs facteurs à prendre en compte dans l’évaluation des risques, notamment l’estimation des répercussions potentielles sur le plan opérationnel, le niveau d’autonomie du SIA ou le risque de non-conformité y étant associé. Également, une évaluation initiale devrait donner lieu à une cote de risque provisoire, qui pourrait être révisée lorsque les informations sont complètes.

Cette approche basée sur les risques doit permettre de moduler, notamment, les activités de validation et de documentation, le niveau d’approbation requis, ainsi que la nature et la fréquence des activités de surveillance et le calendrier de révision de la cote de risque. En cohérence avec l’appétit pour le risque de l’institution, cette cote de risque sert également à ajuster les contraintes imposées aux SIA, le niveau de surveillance, ainsi que les contrôles et mesures d’atténuation visant les risques résiduels.

Il est important de souligner, toutefois, que les institutions disposent d’une discrétion dans la détermination de cette cote de risque, celle-ci étant conçue comme un outil interne de gestion.

Cycle de vie des SIA

Les institutions financières doivent mettre en place des mécanismes et encadrements de gouvernance, tels que des politiques, processus, procédures et contrôles, afin d’encadrer chaque étape du cycle de vie des SIA, de façon proportionnelle à la cote de risque. Elles doivent notamment :

  • Documenter les besoins organisationnels et la justification du recours à un SIA (y compris lors d’une nouvelle validation).
  • S’assurer de la qualité des données utilisées, à l’entraînement comme pendant l’utilisation (données primaires/secondaires, privées/publiques, réelles/synthétiques, structurées/non structurées).
  • Intégrer la cote de risque des SIA et les exigences d’explicabilité (et, au besoin, de cybersécurité) dans les critères de sélection d’une solution. Ces exigences peuvent être modulées en fonction du but recherché, du niveau d’autonomie du SIA, des exigences réglementaires applicables et des impacts potentiels.
  • Effectuer des évaluations adaptées aux objectifs et au risque (par exemple, explicabilité des extrants, cybersécurité, actualité des méthodes et étude des composantes fournies par des tiers).
  • Encadrer l’utilisation des SIA à risque élevé (ou à information incomplète) par des contraintes et des mesures d’atténuation cohérentes avec l’appétit pour le risque.
  • Suivre l’intégration, la performance et l’utilisation, et établir des normes de surveillance selon le niveau de risque.

Enfin, rappelons que lorsqu’un SIA implique le traitement de renseignements personnels, l’institution doit réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), conformément aux exigences de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Consultez notre publication récente, La LPRPSP : Guide de conformité pour les organisations, pour en savoir plus.

Traitement équitable des clients

La ligne directrice réfère par ailleurs à la ligne directrice de l’AMF relative au traitement équitable des consommateurs et ajoute des attentes supplémentaires adaptées à l’utilisation des SIA.

À cet égard, elle souligne l’importance de détecter et de traiter les risques de discrimination et de biais. L’institution devrait notamment dresser, pour chaque SIA, une liste des facteurs et variables de substitution qui ne peuvent être utilisés parce qu’ils seraient discriminatoires dans le contexte d’usage visé et la communiquer aux parties prenantes en temps utile.

Transparence

En ce qui concerne les communications aux clients, les institutions devraient notamment informer les clients lorsqu’ils communiquent avec un SIA (par écrit, audio, vidéo ou tout autre mode dynamique) et les aviser qu’ils peuvent demander l’intervention d’une personne agissant pour le compte de l’institution.  À titre d’exemple, cette exigence pourrait s’appliquer à l’utilisation d’un agent conversationnel vocal dans un centre d’appels, utilisé pour interagir avec les clients, répondre à leurs questions ou traiter leurs demandes.

Tout contenu généré avec la participation d’un SIA doit être accompagné d’une note à cet effet. Enfin, lorsque les clients font l’objet d’une décision prise par un SIA (ou recommandée par un SIA), l’institution doit expliquer cette décision de manière claire et simple.

Quelles sont les premières étapes à suivre pour assurer votre conformité?

Les avocats de BLG ont préparé une liste de contrôle constituée de mesures pratiques pour vous aider à vous conformer aux attentes de l’AMF.

1) Inventaire des SIA

  • Dresser un inventaire centralisé de tous les SIA (en production, en essai/pilote, en développement) et le tenir à jour.
  • Identifier les « activités critiques » et les cas d’usage où un SIA peut affecter des décisions, des recommandations ou des contenus ayant un impact significatif.

2) Gouvernance et imputabilité

  • Désigner un membre de la haute direction responsable de l’ensemble des SIA.
  • Désigner des responsables de modèles (par SIA) couvrant tout le cycle de vie.
  • S’assurer que le conseil d’administration reçoit une information périodique sur les tendances, les risques et les changements liés aux SIA pouvant modifier le profil de risque de l’institution.
  • Identifier les besoins de formation du conseil d’administration et de la haute direction relativement aux SIA utilisés (et à leurs risques), surtout lorsque des SIA soutiennent des activités critiques.

3) Gestion des risques et classification

  • Identifier, répertorier et maintenir à jour les risques importants liés aux SIA à l’échelle de l’institution.
  • Établir une méthode uniforme d’attribution d’une cote de risque pour chaque SIA (incluant une cote provisoire lorsque l’information est incomplète).
  • Prévoir un calendrier de révision périodique de la cote de risque et des mesures d’atténuation.
  • Communiquer, sur une base périodique, les résultats d’une évaluation globale des risques aux principales parties prenantes (responsables des SIA, gestionnaires, haute direction).

4) Cycle de vie des SIA

  • Documenter les besoins organisationnels et la justification du recours à un SIA.
  • Mettre en place des exigences de qualité des données à l’entraînement et en utilisation (exactitude, biais, pertinence, etc.).
  • Intégrer les exigences d’explicabilité (et, au besoin, de cybersécurité) dans les critères de sélection et d’approvisionnement.
  • Adapter les évaluations aux objectifs et au niveau de risque de chaque SIA (explicabilité des extrants, cybersécurité, actualité des méthodes, étude des composantes fournies par des tiers).
  • Encadrer l’utilisation des SIA à risque élevé (ou à information incomplète) par des contraintes et des mesures d’atténuation cohérentes avec l’appétit pour le risque.

5) Renseignements personnels et vie privée

  • Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) lorsqu’un SIA implique le traitement de renseignements personnels, conformément aux exigences réglementaires en vigueur.
  • Encadrer l’accès, la conservation, la traçabilité et la suppression des données utilisées par les SIA.

Quels sont les changements apportés à la version finale de la ligne directrice de l’AMF?

Pour ceux étant familiers avec le projet de ligne directrice, l’équipe de BLG a ciblé les changements les plus importants qui ont été apportés à la version finale et vous les présente sous forme de questions-réponses.

La ligne directrice s’applique-t-elle à toute utilisation de SIA?

  • Oui. La nouvelle ligne directrice de l’AMF précise de façon explicite qu’elle s’applique désormais à toute utilisation des SIA, y compris les situations qui ne concernent pas le traitement de dossiers de clients.

Quelles sont les attentes qui ont été retirées par rapport au projet antérieur de ligne directrice?

  • Fonction de gestion des risques : L’AMF précisait souhaiter que la fonction de gestion des risques joue un rôle quant à la validation de SIA, de l’élaboration de la taxonomie des risques et de la gestion des sources des risques. Dans la version finale, l’AMF n’accorde pas de rôle précis à cette fonction.
  • Audit interne : L’AMF ne réfère plus à l’audit interne dans la version finale de ligne directrice.
  • Moissonnage du Web : L’ancienne version indiquait que les données secondaires obtenues à l’aide de moissonnage du Web devaient avoir une incidence négative sur la cote de risque d’un SIA. Or, toute référence au moissonnage du Web a été retirée de la ligne directrice.
  • Supervision en continu : L’AMF a retiré la liste d’éléments précis qui devraient être supervisés en continu quant aux SIA, tout en conservant l’attente générale de supervision en continu.

Quelles sont les attentes qui ont été ajoutées ?

  • Normes de surveillance : L’AMF précise qu’elle s’attend désormais à ce que des normes de surveillance soient établies pour chaque SIA en fonction de son niveau de risque. Ces normes de surveillance serviront de balises pour la surveillance des SIA qui présentent des défis particuliers, tels que les SIA qui sont dotés d’autonomie ou les modèles faisant l’objet d’un calibrage dynamique.

Quelles sont les attentes qui ont été modifiées ?

  • Processus de validation : L’AMF suggère de procéder à des évaluations différentes de celles proposées dans le projet pour le processus de validation d’un SIA, soit l’évaluation de l’explicabilité, une analyse de l’actualité des processus liés au SIA et une étude faite par un tiers des composantes du SIA. Les évaluations de l’analyse et de la correction du biais effectuées, ainsi que de l’analyse de la discrimination, ont été retirées.

Les auteurs tiennent à remercier Marianne Bellavance, étudiante en droit, pour sa contribution à cet article.

Principaux contacts

Contenu connexe