Le 3 juillet 2025, l’Autorité des marchés financiers (« AMF ») a publié un projet de ligne directrice sur l’utilisation de l’intelligence artificielle dans le secteur financier. Cette initiative québécoise s’inscrit dans un mouvement plus large de réglementation proactive des technologies émergentes. Le projet de ligne directrice est soumis à une consultation publique. Les parties prenantes sont invitées à faire parvenir leur commentaires à l’AMF d’ici le 7 novembre 2025.

La ligne directrice que l’AMF prévoit d’adopter a pour objectif de définir des attentes précises et opérationnelles en matière de gestion des risques, de gouvernance et de traitement équitable des clients dans le cadre de l’utilisation de systèmes d’intelligence artificielle (« SIA »).

L’AMF définit un SIA comme suit :

« système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir d’entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels. Différents systèmes d’IA présentent des degrés variables d’autonomie et d’adaptabilité après déploiement »

Cette ligne directrice s’appliquera aux institutions financières, notamment les assureurs autorisés, les coopératives de services financiers, les sociétés de fiducie autorisées et les institutions de dépôts autorisées. L’AMF précise que ses attentes seront modulées selon la nature, la taille, la complexité des activités de l’institution et la cote de risque attribuée à chaque SIA.

Évaluation des risques : Classification basée sur les risques

L’AMF s’attend à ce que chaque institution financière évalue le niveau de risque associé à chacun des SIA qu’elle utilise, en lui attribuant une cote de risque. Cette cote servira à moduler les politiques, processus et contrôles applicables tout au long du cycle de vie du système, y compris en matière de gouvernance, de gestion des risques et de traitement équitable des clients.

Lorsque l’information est incomplète, une cote de risque provisoire doit être attribuée, en adoptant une approche conservatrice. Une révision de cette cote sera requise dès que les données pertinentes sont disponibles.

Cette évaluation devra tenir compte de certains facteurs, notamment :

• les caractéristiques techniques du système (ex. calibrage dynamique, utilisation de données non structurées ou de code source libre),
• la qualité et la provenance des données (primaires, secondaires, synthétiques),
• les contrôles existants (contre les biais, les conflits d’intérêts, les dérives de modèle),
• l’exposition de l’institution (volume de clients affectés, criticité des décisions, dépendance à des tiers).

Les institutions financières devront revoir périodiquement ces cotes et ajuster leurs politiques et contrôles en conséquence.

Un cycle de vie du SIA

L’AMF rappelle que chaque SIA suit un cycle de vie distinct, pouvant aller de la conception jusqu’à la mise hors service.

L’AMF exigera que les institutions financières adoptent des processus couvrant toutes les phases du cycle de vie des SIA. Elles devront élaborer, documenter, approuver et mettre en œuvre des processus et contrôles couvrant chacune de ces étapes, en fonction de la cote de risque du SIA. Plus le risque sera élevé, plus les exigences de suivi, de validation et d’amélioration devront être rigoureuses. Des restrictions spécifiques seront prévues pour les SIA à risque élevé ou pour lesquels certaines données critiques sont manquantes.

Encore une fois, une supervision continue sera exigée, tant sur la performance du SIA que sur ses extrants (biais, erreurs, conflits d’intérêts, violations de propriété intellectuelle, etc.). Cette surveillance devra combiner des outils technologiques et un encadrement humain, particulièrement pour les SIA les plus critiques.

Gouvernance : imputabilité, compétence et supervision

L’AMF insiste sur l’importance d’une gouvernance structurée et d’une imputabilité claire tout au long du cycle de vie des SIA. Elle s’attend à ce que les institutions financières définissent précisément les rôles et responsabilités de toutes les parties prenantes, tout en s’assurant que ces dernières possèdent un niveau de compétence adéquat en matière d’IA, de gestion des risques et d’éthique organisationnelle.

Chaque SIA devra être placé sous la responsabilité d’un gestionnaire désigné, rendant compte à un membre de la haute direction formellement imputable de l’ensemble des SIA de l’institution. Les équipes responsables de la conception et de l’approvisionnement devront posséder à la fois une connaissance fine des besoins d’affaires et des compétences techniques en matière d’IA. Les utilisateurs de ces systèmes et les responsables des lignes d’affaires devront, quant à eux, bien comprendre les limites opérationnelles et les restrictions imposées à ces outils.

La ligne directrice attribuera des responsabilités spécifiques à au conseil d’administration, à la haute direction, au gestionnaire de risque et aux auditeurs internes

Gestion des risques liés à l’IA

La ligne directrice imposera aux institutions financières de se doter d’un cadre de gestion des risques adapté à l’utilisation des SIA. Ce cadre devra tenir compte de la nature, de la taille, de la complexité et du profil de risque de l’institution, ainsi que de la cote de risque propre à chaque SIA.

Les politiques, processus et procédures en place devront être revus régulièrement, à une fréquence qui reflète la rapidité d’évolution des technologies d’IA, selon des critères définis à la ligne directrice.

L’AMF s’attend également à ce que chaque institution tienne un registre centralisé à jour de tous les SIA utilisés, en ce qui concerne la gestion, le suivi et la prise de décisions relatives aux SIA.

Enfin, pour assurer une supervision cohérente et transparente de la part de l’organisation, des mécanismes de suivi institutionnels devront être mis en place, permettant une évaluation périodique des risques liés à l’IA, communiquée aux parties prenantes concernées, y compris la haute direction.

Traitement équitable des clients : au cœur des attentes

La ligne directrice réitère l’application des principes de traitement équitable aux SIA et y ajoute des exigences spécifiques :

1. Les institutions doivent s’assurer que leur code d’éthique encadre explicitement l’usage des SIA et qu’il reflète des standards élevés en matière d’éthique et de respect des droits des clients.
2. Les risques de discrimination doivent être activement surveillés. Les institutions doivent dresser la liste des facteurs ou variables de substitution à proscrire, corriger rapidement tout SIA problématique, et en documenter les modifications. Des rapports de suivi doivent être transmis à la haute direction selon le niveau de risque.
3. Les biais identifiés dans les décisions doivent être corrigés et documentés, notamment en ce qui concerne les groupes affectés.
4. La qualité des données, particulièrement secondaires, doit faire l’objet de contrôles rigoureux. Si des données publiques sont recueillies par moissonnage Web, les institutions doivent informer les clients des limites que cela peut entraîner.

Bref, l’AMF insiste sur l’importance d’une communication claire et transparente avec les clients. Lorsqu’un SIA utilise des renseignements personnels, les institutions doivent s’assurer d’obtenir un consentement. Elles devront également informer le client lorsqu’il interagit avec un système automatisé, tel qu’un agent conversationnel. Sur demande, l’institution devra offrir un accès à une personne physique en mesure d’intervenir et toute décision prise ou assistée par un SIA doit pouvoir être expliquée de manière simple et compréhensible.¹

Mise en œuvre et prochaines étapes

Les parties prenantes sont invitées à transmettre leurs commentaires à l’AMF d’ici le 7 novembre 2025. Ces commentaires seront rendus publics, sauf avis contraire.

Pour en savoir plus sur la ligne directrice de l’AMF, n’hésitez pas à communiquer avec les auteurs, Me Nathalie Durocher et Me Charles Giroux de notre équipe de conformité réglementaire en assurance.

1. Nous rappelons notamment l’application de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1 qui ajoute à ces considérations.↩