Guideline de l’AMF sur l’utilisation de l’Intelligence Artificielle dans les institutions financières
L’Autorité des marchés financiers (AMF) du Québec a publié, le 7 avril 2026, la version finale de son Guide d’utilisation de l’intelligence artificielle (IA). Ce guide, disponible uniquement en français à ce jour, entrera en vigueur le 1 mai 2027 et s’appliquera aux assureurs autorisés, aux coopératives de services financiers, aux sociétés de fiducie autorisées et aux institutions de dépôt autorisées exerçant au Québec.
Contexte réglementaire
La publication s’inscrit dans une dynamique plus large de régulation de l’IA au niveau provincial et fédéral. Le Bureau du surintendant des institutions financières (BSIF) a, quant à lui, intégré les modèles d’IA dans son Guide E‑23 sur la gestion du risque de modèle, effectif à partir du 1 avril 2027.
Définition de l’IA selon l’AMF
« Un système automatisé qui, pour des objectifs explicites ou implicites, infère, à partir des données d’entrée, comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels. »
Gouvernance institutionnelle
L’AMF fixe des attentes précises pour le conseil d’administration et la direction générale :
- Le conseil doit veiller à ce que la direction promeuve une culture d’utilisation responsable de l’IA et possède les compétences nécessaires pour comprendre les risques.
- La direction doit mettre en place des mécanismes de gouvernance adéquats, assurer une connaissance suffisante des systèmes d’IA et désigner un cadre responsable de tous les systèmes d’IA.
Gestion des risques et classification
Les institutions doivent identifier, évaluer, quantifier et atténuer les risques liés aux IA. Le guide introduit une approche basée sur le risque :
- Création d’un répertoire centralisé de tous les systèmes d’IA.
- Attribution d’une note de risque à chaque système, réévaluation périodique et adaptation des procédures d’approbation et de suivi.
Cycle de vie d’un système d’IA
Sept étapes sont détaillées, chacune nécessitant des mesures spécifiques :
1. Choix du système d’IA
Documenter les besoins organisationnels et réévaluer la pertinence du système à chaque révalidation.
2. Données d’entraînement
Garantir la qualité des données utilisées pendant la phase d’entraînement et de déploiement.
3. Acquisition ou développement
Intégrer la note de risque et les exigences d’explicabilité lors du processus de sélection.
4. Validation
Évaluer l’explicabilité, la cybersécurité et établir des déclencheurs de validation pour contrôler les biais, la discrimination, les hallucinations, etc.
5. Approbation
Appliquer des mesures d’atténuation conformément à l’appétit pour le risque ; par ex., un examen humain pour les systèmes à haut risque.
6. Déploiement
Réaliser des évaluations de risques, incluant la cybersécurité et les vulnérabilités d’infrastructure, avant le lancement.
7. Surveillance
Mettre en place une surveillance continue, en particulier pour les IA autonomes ou à ajustement dynamique.
Pratiques commerciales et traitement équitable des clients
Le guide impose des exigences supplémentaires lorsque l’IA intervient directement avec les clients :
- Le code d’éthique doit couvrir l’usage de l’IA.
- Identifier et corriger rapidement les variables pouvant générer des résultats discriminatoires.
- Informer les clients qu’ils interagissent avec une IA et leur offrir la possibilité de solliciter une assistance humaine.
- Accompagner tout contenu généré par l’IA d’une mention explicite.
- Fournir une explication claire aux clients affectés par des décisions assistées par l’IA.
Prochaines étapes
Le guide prendra effet le 1 mai 2027. Les institutions financières doivent appliquer les principes de manière proportionnée, en tenant compte de leur taille, complexité et profil de risque.