Transition numérique
Lettre de commentaires
7 novembre 2025
Publié par Véronique Proulx
Monsieur le Secrétaire et Directeur général,
Dans le cadre de la présente consultation, la FCCQ a recueilli les commentaires des membres de son comité Services financiers, Capitaux et Économie, sur lequel siègent plusieurs assujettis des secteurs bancaires et de l’assurance. Nous y avons d’ailleurs reçu, le 23 septembre dernier, Mme. Catherine Beaulieu de la Direction de l’encadrement prudentiel et des simulations, qui a pu présenter la Ligne directrice sur l’utilisation de l’IA et répondre aux questions de nos membres.
Nous vous transmettons donc quelques commentaires sur cette Ligne directrice, qui donnent suite à ceux que nous avons formulés en juin 2024 lors de la précédente consultation sur ces questions (Document de réflexion et de discussion : meilleures pratiques pour l’utilisation de l’IA dans le secteur financier).
La définition d’un système d’IA (SIA) doit être clarifiée
Selon plusieurs de nos membres, d’abord, l’actuelle Ligne directrice ne définit pas assez précisément ce qui constitue un SIA : en appliquant mot pour mot la définition de l’OCDE, la Ligne directrice ne permet pas de distinguer clairement les SIA d’autres systèmes automatisés d’analyse ou de prise de décision. Cela est susceptible de générer de l’incertitude chez les assujettis, mais aussi un fardeau administratif plus important que nécessaire, dans la mesure où certains d’entre eux, en l’absence d’une définition plus précise, pourraient décider d’appliquer par défaut les dispositions de la Ligne directrice à certains systèmes ne se qualifiant pas à titre de SIA.
L’effet inverse pourrait aussi s’avérer, si certains assujettis négligent, par omission involontaire, d’appliquer les dispositions de la Ligne directrice à certains systèmes automatisés qui se qualifieraient à titre de SIA. Pour ces raisons, nous recommandons de lever ces incertitudes, notamment en offrant des critères de différentiation plus précis entre systèmes automatisés traditionnels et SIA, ainsi que des exemples concrets et diversifiés de SIA utilisés dans le secteur financier et visés par la Ligne directrice.
Il faut assurer un meilleur équilibre entre fardeau administratif, innovation et compétitivité
Plusieurs de nos membres aussi ont souligné que le cadre réglementaire déjà en vigueur dans le secteur financier aurait pu permettre de gérer les risques et responsabilités afférents à l’utilisation de SIA, moyennant certaines révisions mineures en coordination avec l’industrie.
Le fardeau administratif lié aux exigences démesurément prescriptives qui sont proposées nous apparaît disproportionné, d’autant que le Québec serait l’une des seules juridictions fédérées à imposer un tel cadre à l’échelle internationale. Cela risque d’affecter la compétitivité de notre industrie, dans un contexte où elle doit demeurer à la fine pointe de l’innovation pour faire face aux grandes plateformes numériques et à la concurrence de fintechs souvent étrangères.
Par conséquent, nous proposons également que l’évaluation des facteurs de risque et que les modèles de gestion de ceux-ci tout au long du cycle de vie des SIA utilisés puissent être intégrés aux cadres existants de gestion des risques des assujettis. Cela permettrait d’éviter l’ajout de contrôles additionnels en parallèle, puis d’assurer aux assujettis l’agilité opérationnelle requise.
Les choix commerciaux doivent demeurer la prérogative des entreprises
Pour des raisons analogues, la Ligne directrice telle que proposée pourrait avoir pour effet d’interférer avec certaines prises de décisions commerciales et administratives des assujettis. Par exemple, l’AMF stipule que « l’institution financière devrait favoriser des SIA qui sont conçus suivant des cibles explicites de cybersécurité et d’explicabilité », alors que, sans négliger ces facteurs, certaines institutions pourraient dans certains cas et pour diverses raisons prioriser d’autres cibles ou indicateurs de performance.
En outre, la Ligne directrice souligne que « l’Autorité s’attend à ce que le conseil d’administration veille à ce que la compétence collective des membres du C.A. en matière d’IA soit suffisante pour une bonne compréhension de l’évaluation et la quantification des risques encourus par l’institution ». La notion de « compétence collective » est sujette à interprétation, et dans la mesure où elle respecte la Ligne directrice sur la gouvernance, la composition du C.A. des assujettis devrait demeurer la prérogative pleine et entière de leurs membres ou assemblées d’actionnaires.
Les exigences de transparence doivent être pondérées en fonction des impératifs de confidentialité et d’autonomie opérationnelle
En l’état, la Ligne directrice proposée contient par ailleurs des dispositions potentiellement inapplicables, en particulier dans les cas de SIA développés et fournis par des tiers. Ainsi par exemple, lorsqu’elle stipule que les assujettis doivent obtenir « le catalogue des codes utilisés pour la production du SIA et des données utilisées pour son entraînement ». L’AMF en est consciente, puisqu’elle précise que des mesures compensatoires sont envisageables pour « les SIA acquis d’une tierce partie dont certaines informations requises pour répondre aux attentes de la présente ligne directrice sont manquantes ». Plus de clarté et des exemples précis de telles mesures compensatoires seraient d’ailleurs nécessaires.
Plus fondamentalement encore, certaines des « attentes en matière de traitement équitable des clients », bien que pertinentes et nécessaires, posent des risques liés à la divulgation d’informations privilégiées, voire d’éléments de propriété intellectuelle en lien avec les méthodes d’élaboration, le fonctionnement et l’utilisation des données par les SIA, susceptibles de générer des préjudices commerciaux mais aussi d’ouvrir la porte à d’éventuelles fraudes, voire à de possibles cyberattaques. Un équilibre prudent devra être atteint.
En ce qui concerne l’autonomie opérationnelle et décisionnelle des assujettis, nous en appelons surtout à ce que le consentement des clients à l’utilisation de SIA soit, sauf exceptions, présumé et que les exigences en matière d’explication du fonctionnement des SIA, de leurs risques et des décisions prises par ceux-ci soient clarifiées. De la même manière, des précisions devront être fournies quant à ce qui distingue les biais discriminatoires des critères d’identification et d’évaluation appropriés que peuvent mobiliser les SIA utilisés.
Il est crucial d’assurer une harmonisation maximale aux niveaux national et international
Plusieurs de nos membres ont enfin souligné que l’AMF devra se montrer soucieuse de maximiser l’harmonisation des éventuelles lignes directrices avec la réglementation existante et/ou en cours d’élaboration aux échelles canadienne et internationale. L’objectif est ici d’assurer l’interopérabilité des SIA à l’extérieur des frontières du Québec et du Canada, mais également de limiter et d’unifier les contraintes administratives et réglementaires afférentes à la gestion de ces SIA.
Nous appelons donc l’AMF à élaborer rapidement et à fournir aux assujettis une matrice des principaux cadres et dispositions législatives/règlementaires avec lesquels la présente Ligne directrice sur l’IA présente des enjeux d’harmonisation. À la seule échelle canadienne, pensons notamment, sans s’y limiter, aux autres Lignes directrices de l’AMF susmentionnées, mais également à la Loi 25 (Québec), au projet de loi fédéral C-27, au Code de conduite volontaire visant un développement et une gestion responsables des systèmes d’IA générative avancés d’ISDE, puis à la Ligne directrice E-23 en gestion du risque de modélisation récemment adoptée par le BSIF.
Nous demeurons disponibles pour échanger avec votre équipe et vous.
Je vous prie de recevoir l’expression de ma considération distinguée.
Partager