Rapport du BSIF et de l’ACFC sur l’utilisation de l’IA dans les institutions financières fédérales et les risques connexes

Vers la fin du mois de septembre, le Bureau du surintendant des institutions financières (le « BSIF ») et l’Agence de la consommation en matière financière du Canada (l’« ACFC ») ont publié un rapport conjoint dans lequel ils décrivent l’évolution des risques associés à l’utilisation de l’intelligence artificielle (« IA ») dans les institutions financières fédérales (les « IFF ») et proposent des pratiques exemplaires afin de favoriser une adoption responsable de l’IA (le « rapport »). En 2023, le BSIF et l’ACFC avaient invité les IFF à remplir un questionnaire sur l’IA et sur le niveau de préparation de ces dernières à l’informatique quantique (le « questionnaire »). Le rapport repose en grande partie sur les réponses fournies à ce questionnaire.

Entre autres, le BSIF et l’ACFC y indiquent que l’utilisation de l’IA dans les IFF a augmenté rapidement, ayant passé de 30 % en 2019 à 50 % en 2023 et que cette tendance continuera de s’accélérer. Cette augmentation, selon le rapport, s’expliquerait par une hausse substantielle des investissements en IA et par le recours aux modèles d’IA au sein de ces institutions. En répondant au questionnaire, les IFF ont déclaré qu’elles utilisaient l’IA principalement pour accroître leur efficacité opérationnelle, communiquer avec les clients, créer des documents et détecter les fraudes. Cela dit, leurs réponses, d’un point de vue global, donnent à penser que l’IA est de plus en plus présente dans les fonctions essentielles des IFF, de sorte que cette technologie tendrait à modifier la manière dont les IFF mènent leurs affaires, exercent leurs activités et gèrent les risques.

Le rapport vise à mettre en lumière l’évolution constante des risques associés à l’IA, en faisant ressortir la nécessité d’adopter l’IA de façon responsable et de mettre en place de solides stratégies d’atténuation des risques pour contrebalancer l’utilisation accrue de cette technologie dans les IFF.

Risques associés à l’IA

Dans le rapport, les risques associés à l’IA sont divisés en deux catégories : les risques internes et les risques externes. Les risques internes y sont décrits comme sont ceux qui touchent l’IFF, ainsi que les produits et services de celles-ci, alors que les risques externes s’entendent de ceux qui rendent les IFF plus vulnérables à la fraude et qui font des IFF de plus petite taille des cibles plus attrayantes pour les cyberattaquants, augmentant ainsi les risques systémiques.

Le rapport contient des mises en garde au sujet du fait que l’utilisation de l’IA pourrait amplifier les risques liés à la gouvernance de données, le risque de modélisation, les risques opérationnels et les cyberrisques auxquels s’exposent les IFF. Il fait également remarquer qu’il y a lieu de s’attendre à ce que les risques liés aux tiers augmentent à mesure que les IFF font appel à des fournisseurs externes pour élaborer des modèles d’IA ou que ces fournisseurs intègrent l’IA dans les offres de services qu’ils présentent aux IFF. Enfin, le rapport souligne que les IFF qui ne se dotent pas de mécanismes adéquats en matière de protection et de supervision de la gestion des risques associés à l’IA pourraient également s’exposer à de nouveaux risques juridiques et d’atteinte à la réputation en raison de l’incidence que pourrait avoir l’utilisation de cette technologie sur leurs clients.

Parmi l’ensemble des risques pour les IFF associés à l’IA et soulevés dans le rapport, les risques suivants sont mis en évidence :

1. Risques liés à la gouvernance des données : Selon les répondants au questionnaire, les risques liés aux données constituent une des principales problématiques entourant l’utilisation de l’IA. Les facteurs qui contribuent à ce type de risque comprennent les différences de réglementation, le morcellement de la propriété des données et les ententes avec des tiers. Le rapport indique que la question de la gouvernance de données dans le contexte de l’IA est un incontournable, laquelle question doit être traitée au moyen de cadres généraux de gouvernance de données, de cadres de gouvernance de données spécifiques à l’IA ou de cadres de gestion du risque de modélisation.
2. Risque de modélisation et explicabilité : Les modèles d’IA présentent un risque accru comparativement aux modèles existants utilisés par les IFF, car ils sont complexes et leurs résultats pourraient ne pas être faciles à déterminer. Afin de respecter les obligations réglementaires applicables, le rapport laisse entendre que les IFF devraient mettre en place des mécanismes et des procédures en matière de gouvernance leur permettant de s’assurer que leurs modèles d’IA sont explicables et leur permettant d’informer tant les utilisateurs internes que les clients de la façon dont ces modèles prennent des décisions.
3. Risques juridiques, éthiques et de réputation : Le rapport met également en garde contre le fait de se contenter de se conformer aux exigences juridiques minimales relativement à l’IA. Le rapport insiste plutôt sur la nécessité d’adopter une approche globale qui tient compte des risques juridiques, éthiques, opérationnels et réputationnels en ce qui a trait à l’utilisation de l’IA. Cette approche devrait accorder la priorité à la protection des renseignements personnels et au consentement des consommateurs et prendre en compte les risques de biais et d’iniquité. Par exemple, les IFF devraient procéder à une évaluation proactive des biais en procédant par exemple à un suivi constant des modèles d’IA ayant une incidence sur les clients et en veillant à utiliser des données représentatives.
4. Risques liés aux tiers : Le rapport révèle que la plupart des IFF utilisent des modèles et des systèmes d’IA de prestataires externes ou recourent aux services de fournisseurs qui utilisent l’IA. Il souligne que, le cas échéant, les IFF demeurent responsables des résultats des systèmes d’IA de tiers. Il est donc important que les IFF mettent en œuvre des mécanismes pour s’assurer que les activités et les services de ces tiers soient exécutés en toute sécurité et en conformité avec les lois et la réglementation en vigueur, ainsi qu’avec les politiques, les normes et les processus internes de ces IFF.
5. Risques opérationnels et cyberrisques : À mesure que les IFF intègrent l’IA à leurs processus, procédures et contrôles, leur exposition aux risques opérationnels augmente également. Cela est dû à l’interdépendance des systèmes et des données qui peut donner lieu à des pannes ou d’autres problèmes inattendus. De plus, en l’absence de mesures de sécurité adéquates, le recours à l’IA peut accroître le risque de cyberattaques. L’utilisation en interne d’outils d’IA peut compromettre la cybersécurité, compte tenu des risques d’empoisonnement de données et de fuite de renseignements protégés. Par exemple, l’IA générative est de plus en plus utilisée par les cyberattaquants pour créer des codes qui exploitent les failles des systèmes et commettre des fraudes au moyen de vidéos hypertruquées et de matériel d’hameçonnage convaincant. Le rapport souligne l’importance de mettre en place des protections suffisamment efficaces autour de ces systèmes pour en assurer la résilience et d’éviter les risques financiers inutiles, étant donné que le coût des cyberattaques majeures subies par les IFF a quadruplé ces dernières années.

Considérations relatives à la gestion des risques et à la gouvernance de l’IA

Le rapport signale huit erreurs potentielles à éviter en ce qui a trait à la gestion des risques associés à l’IA. Il recommande également plusieurs mesures que les IFF peuvent prendre en vue d’atténuer ces risques et de s’assurer de rester conformes aux obligations réglementaires qui leur incombent. Voici quelques considérations utiles que pourraient prendre en compte les IFF pour mieux se prémunir contre ces risques :

1. Mettre en œuvre, en temps opportun, des mesures de gestion des risques : Le fait d’adopter des mesures de gestion des risques et de gouvernance insuffisantes ou tardives en lien avec l’IA pourrait ne pas permettre à une IFF de suivre l’évolution rapide des risques associés aux technologies d’IA utilisées. Les programmes de gestion des risques commandent de faire preuve d’agilité et de vigilance.
2. Gérer les risques à l’échelle de l’entreprise : Des lacunes en matière de gestion du risque peuvent surgir lorsqu’une IFF s’attaque seulement à un volet des risques associés à l’IA, comme les cyberrisques, les risques liés à la protection des renseignements personnels ou le risque de modélisation. La gestion des risques associés à l’IA nécessite une approche globale qui favorise la collaboration et la communication entre toutes les équipes pertinentes d’une IFF.
3. Mettre en place des contrôles tout au long du cycle de vie d’un modèle d’IA : Si une IFF procède à une évaluation initiale des risques, mais omet de mettre en place des contrôles tout au long du cycle de vie d’un modèle d’IA, les risques nouveaux ou imprévus pourraient échapper aux mécanismes de protection adoptés. Les modèles d’IA devraient donc être réévalués périodiquement et approuvés aux fins d’utilisation continue.
4. Prendre des mesures d’urgence ou de protection adéquates : En raison des problèmes d’explicabilité que présentent de nombreux modèles d’IA, ceux-ci risquent de ne pas se comporter comme prévu. Les IFF devraient mettre en place des contrôles et des mécanismes de protection adéquats, comme un suivi des rendements, des systèmes de sauvegarde, des alertes et des limites appliqués à l’utilisation des renseignements personnels.
5. Tenir compte des risques liés à l’IA générative : Les modèles d’IA générative peuvent amplifier les risques existants associés à l’IA, comme les problèmes d’explicabilité et les biais. Il y a donc lieu de mettre en place des contrôles spécifiques à ces modèles. Il peut s’agir d’adopter une politique d’utilisation acceptable, d’augmenter la surveillance, d’offrir de la formation aux employés sur les utilisations appropriées et d’empêcher l’intégration de données confidentielles dans les requêtes d’IA.
6. Offrir de la formation aux employés : Il est important d’offrir plus d’ateliers de formation, à tous les échelons de l’organisation, afin de mieux sensibiliser les employés aux risques, de les aider à faire une meilleure utilisation des outils d’IA et de s’assurer que les utilisateurs connaissent les limites et les contrôles applicables. Il est particulièrement important d’offrir des programmes avancés de formation aux employés qui utilisent directement les technologies de l’IA, ainsi qu’aux hauts dirigeants de l’organisation.
7. Adopter l’IA de façon stratégique : Toute décision de recourir à l’IA devrait s’appuyer sur une analyse stratégique réfléchie des avantages et des risques, en fonction de la situation spécifique de chaque IFF.
8. Se protéger contre les risques liés à l’utilisation de l’IA par d’autres personnes : Qu’une IFF utilise ou non l’IA, un employé ou fournisseur tiers pourrait, lui, y avoir recours sans y être par ailleurs autorisé. Pour atténuer les risques découlant de telles circonstances, une IFF devrait veiller à tenir à jour les mécanismes de protection, augmenter la sensibilisation en interne, renforcer les programmes de formation et modifier les politiques applicables aux fournisseurs tiers.

Prochaines étapes

Selon le rapport, de nombreux répondants au questionnaire ont affirmé attendre la version finale de la ligne directrice E-23 du BSIF, qui concerne la gestion du risque de modélisation à l’échelle organisationnelle, et l’adoption de la Loi sur l’intelligence artificielle et les données présentée dans le projet de loi C-27 avant de mettre pleinement en œuvre une éventuelle stratégie de gestion des risques associés à l’IA.

Le rapport recommande aux IFF de faire preuve de vigilance, de demeurer proactives et de maintenir des cadres en matière de gestion et de contrôle exhaustifs, mais adaptables, pour gérer les risques internes et externes associés à l’IA. Plus particulièrement, le rapport souligne que les IFF doivent continuer de respecter les obligations réglementaires qui leur incombent dans des domaines qui sont par ailleurs touchés par l’utilisation de l’IA, notamment en vertu de la législation sur la protection des consommateurs, sur la protection de la vie privée et sur la sécurité des données, ou encore aux termes des lignes directrices du BSIF qui concernent la gestion du risque de modélisation, la gestion du risque lié aux tiers, la cybersécurité et la résilience opérationnelle.

Pour obtenir un aperçu de la ligne directrice E-23 du BSIF et prendre connaissance d’autres considérations réglementaires liées à l’utilisation de l’IA dans les IFF, consultez notre Bulletin Blakes intitulé Le BSIF publie un projet de ligne directrice sur la gestion du risque de modélisation lié à l’IA. 

Si vous avez des questions, n’hésitez pas à communiquer avec l’un des auteurs de ce bulletin ou un membre des groupes Réglementation des services financiers ou Technologie.