Intelligence artificielle et cybersécurité : Points essentiels de la surveillance par le conseil d’administration

Introduction

L’intelligence artificielle (l’« IA ») et la cybersécurité : deux domaines affichant une trajectoire de croissance similairement abrupte et présentant des risques et des occasions pour les émetteurs. La croissance rapide dans ces deux domaines oblige les administrateurs et dirigeants à examiner et dans certains cas à réviser leurs approches habituelles en matière de surveillance. Les administrateurs et dirigeants qui n’en connaissent pas autant sur le sujet pourraient trouver que l’expertise technique de base requise pour gérer ces questions est intimidante. 

Il est toujours aussi important d’adopter des pratiques de gouvernance prudentes face aux nouvelles demandes qui accompagnent ces secteurs en évolution rapide. Les pratiques exemplaires existantes des conseils d’administration (« CA »), rédigées en tenant compte de l’expertise technique et de la connaissance des développements importants dans ces domaines, offrent aux organisations une approche rationnelle pour gérer ces nouveaux risques et ces nouvelles occasions.

Vous trouverez ci-après : (1) les développements récents touchant l’encadrement juridique dans ces domaines; (2) les pratiques exemplaires actuelles qui s’appliquent à la surveillance du CA dans ces domaines; (3) des exemples de questions fréquentes pour mettre en œuvre ces pratiques exemplaires; (4) les principaux points à retenir pour une réflexion plus poussée.

Évolution des lois 

Les autorités de réglementation, au Canada et à l’étranger, portent leur attention sur les enjeux émergents en matière de cybersécurité et d’IA afin de garder le pas avec les développements rapides dans ces domaines. L’attention croissante des gouvernements sur ces enjeux témoigne de l’importance pour les membres du CA d’une organisation de se familiariser avec les questions pertinentes soulevées dans le cas d’utilisation précis de cette organisation. 

Il pourrait être nécessaire de mettre en œuvre des éléments à long terme, tels que des politiques en matière d’IA et des programmes de cybersécurité, afin d’assurer la conformité aux nouveaux régimes législatifs et réglementaires. Les CA et les comités chargés de surveiller la communication de l’information au public et la conformité à la législation devraient s’assurer que la direction fait preuve d’un niveau de diligence approprié dans l’examen des exigences et des directives, qu’elles soient nouvelles ou à venir.

Plus tôt cette année, les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié l’Avis 11-348 du personnel des ACVM et de consultation – Applicabilité du droit canadien des valeurs mobilières à l’utilisation des systèmes d’intelligence artificielle dans les marchés des capitaux (l’« Avis »), qui présente l’avis des ACVM sur la façon dont les émetteurs devraient interpréter et appliquer la réglementation existante dans leur utilisation de l’IA. Les ACVM ont également indiqué qu’elles s’attendaient à ce que les émetteurs fassent preuve d’une plus grande transparence dans l’information périodique et continue sur l’IA, en exigeant une information mieux adaptée à chaque émetteur et en mettant en garde contre l’information trompeuse ou exagérée, qui pourrait constituer de l’« IA-blanchiment ». Pour en savoir davantage sur les indications passées des ACVM sur l’IA et son utilisation, consultez notre Bulletin Blakes intitulé Les ACVM fournissent des indications concernant l’information sur l’IA par les sociétés ouvertes.

En juin dernier, le gouvernement fédéral canadien a déposé le projet de loi C-8, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois (le « projet de loi C-8 ») qui, s’il est adopté, édicterait la Loi sur la protection des cybersystèmes essentiels (la « LPCS »). La LPCS ajouterait de nouvelles exigences de conformité en matière de cybersécurité pour certains secteurs dits « critiques », exigeant entre autres la mise en œuvre et l’examen régulier d’un programme de cybersécurité, certaines exigences réglementaires de signalement en cas de changement de propriété ou de contrôle, ainsi que des obligations en matière de tenue de registres et de résidence des données. Pour en savoir davantage sur le projet de loi C-8 et la LPCS, consultez notre Bulletin Blakes intitulé La Chambre des communes se penche de nouveau sur un projet de loi en matière de cybersécurité.

Les émetteurs doivent se tenir au courant des nouvelles exigences en matière de cybersécurité et d’IA. Le fait d’établir des directives claires sur l’utilisation de l’IA permet d’élaborer le cadre de cybersécurité nécessaire à la gestion des nouvelles obligations de conformité. Les organisations pourraient faire face à de lourdes conséquences en cas de divulgation inadéquate ou d’« IA-blanchiment ».

Survol des pratiques exemplaires à l’aide d’une nouvelle perspective

Vous trouverez ci-après des pratiques de gouvernance exemplaires qui, lorsqu’elles sont examinées à la lumière d’une expertise pertinente et d’une connaissance de l’évolution de la situation, peuvent aider votre organisation à aborder ces nouveaux sujets.

• Les administrateurs devraient participer activement aux questions qui peuvent avoir une incidence importante sur leur organisation et se tenir au courant de celles-ci. À cette fin, ils devraient poser des questions de clarification afin de s’assurer d’être bien informés de ces questions et de se présenter aux réunions du CA fin prêts, armés des connaissances de base nécessaires pour participer activement. 
• Les CA peuvent tirer avantage du fait qu’ils sont composés d’administrateurs ayant chacun des antécédents variés et une expertise différente. La diversité des idées permet d’aborder les enjeux de façon plus globale. Une plus vaste gamme d’expertise permet aux CA d’identifier les questions nécessitant un examen approfondi ou le recours à des experts externes.
• L’établissement de l’orientation d’une organisation aide sa direction à atteindre des objectifs plus précis. Avec un mandat clair du CA, les personnes à tous les niveaux de l’organisation sont mieux en mesure d’obtenir l’adhésion nécessaire pour faire progresser les projets au service de l’orientation stratégique plus large. 
• Les processus d’évaluation régulière du CA, y compris les auto-évaluations, permettent de cerner les lacunes en matière de compétences et les possibilités de perfectionnement. La documentation des points forts recherchés peut aider les émetteurs à justifier les régimes de rémunération offerts à certains membres du CA, ce qui favorisera le recrutement et le maintien en poste des personnes les plus compétentes.

Exemples de questions fréquentes au CA

Les comités dont les membres ont une expérience pertinente dans ces domaines peuvent servir de lien supplémentaire avec la direction grâce à leur formation ou à leur expérience spécialisée. Néanmoins, la participation régulière et active de l’ensemble du CA demeure essentielle pour assurer la rigueur requise dans l’élaboration d’une orientation stratégique et le respect des régimes juridiques, qu’ils soient nouveaux ou en évolution.

Bien que la compréhension des questions à prioriser puisse nécessiter un certain niveau d’expertise, nous vous présentons ci‑après des questions préliminaires aux fins de réflexion ou de discussion. 

Les considérations stratégiques visent à obtenir des réponses qui aident à définir l’orientation d’une organisation dans ces domaines clés. Les considérations liées à la mise en œuvre permettent d’identifier les mesures à prendre pour réaliser l’orientation stratégique prévue de l’organisation. 

Ces questions ont été rédigées dans le but de permettre aux administrateurs et aux dirigeants d’examiner le chevauchement entre leurs obligations fiduciaires et les enjeux liés à l’IA et à la cybersécurité. Elles visent également à aider les organisations à harmoniser leur tolérance au risque globale et leur volonté de saisir de nouvelles occasions. Bien entendu, certains émetteurs auront également des questions supplémentaires qui devraient être examinées en fonction des exigences de leur secteur.

Considérations stratégiques

• La stimulation d’un avantage concurrentiel grâce à l’utilisation de l’IA est-elle un objectif important pour votre organisation? L’objectif est-il plutôt de suivre le rythme de l’utilisation de l’IA dans votre secteur? Dans quelle mesure un tel avantage concurrentiel serait-il durable pour vous ou vos concurrents?
• Comment l’utilisation de l’IA par vos fournisseurs et partenaires clés pourrait-elle offrir à votre organisation de nouvelles occasions ou l’exposer à des risques supplémentaires?
• Des compétences précieuses sont-elles perdues à mesure que certaines tâches deviennent obsolètes parce qu’elles sont accomplies par l’IA? Est-ce que votre organisation ou le secteur où elle exerce ses activités veille à ce que les compétences appropriées soient cultivées dans le cadre de la planification de la relève? 
• Comment l’utilisation actuelle et prévue de l’IA par votre organisation pourrait-elle façonner votre stratégie de cybersécurité?
• La stratégie de cybersécurité de votre organisation est-elle alignée sur sa tolérance au risque en général? Quelles sont la probabilité et la gravité des risques de cybersécurité auxquels votre organisation est exposée? L’analyse et les observations contenues dans notre Étude sur les tendances en matière de cybersécurité au Canada annuelle peuvent vous aider, ainsi que votre organisation, à évaluer les risques et à prendre des décisions en matière de cybersécurité.

Considérations de mise en œuvre

• Quels efforts sont déployés pour évaluer les domaines clés, puis pour trouver et maintenir en poste des personnes possédant des niveaux adéquats de littératie numérique afin de superviser ces domaines?
• Votre plan de continuité des activités prévoit-il un incident de cybersécurité grave et prolongé?
• Les employés sont-ils formés sur les mesures préventives contre le piratage psychologique? Cette formation tient-elle compte du rôle de l’employé et du niveau de ses privilèges d’accès?
• Des examens périodiques et des tests d’intrusion des systèmes de cybersécurité par des experts externes sont-ils effectués?
• Les autres membres de votre CA et de votre équipe de haute direction sont-ils adéquatement informés des risques liés à la cybersécurité? Votre CA et votre équipe de haute direction ont-ils suffisamment d’intérêt pour mettre en œuvre certaines stratégies en matière de cybersécurité ou d’IA?
• Disposez-vous d’une assurance adéquate en cas d’incident de cybersécurité? 
• Comment les entrées d’IA pourraient-elles entraîner des conséquences imprévues liées aux facteurs environnementaux, sociaux et de gouvernance (« ESG ») dans ses résultats? Y a-t-il une surveillance humaine adéquate des entrées et des résultats dans le cadre de l’utilisation de l’IA?
• Votre organisation s’acquitte-t-elle de ses obligations d’information continue et périodique en fournissant suffisamment d’information sur ces sujets? A-t-on retenu les services de l’expert approprié pour aider à la préparation de ces documents?

Points à retenir

L’acquisition et le maintien du niveau d’expertise requis pour superviser des domaines en plein essor comme l’IA et la cybersécurité exigent une grande souplesse, compte tenu de leur évolution rapide et des développements connexes en matière de conformité juridique. 

La direction sera également mieux outillée si elle dispose de directives à l’intention des administrateurs sur les pratiques exemplaires dans les domaines de l’IA et de la cybersécurité. Néanmoins, l’expertise technique ne remplace pas les fondements d’une bonne gouvernance. Un jugement commercial avisé demeure inestimable pour établir les remparts nécessaires permettant aux administrateurs et aux dirigeants de s’attaquer à ces domaines clés.

Pour en savoir davantage, communiquez avec l’un des auteurs du présent bulletin ou un autre membre de nos groupes Intelligence artificielle, Cybersécurité et Marchés des capitaux.