Le Bureau du surintendant des institutions financières (le « BSIF ») a publié récemment une version révisée de la ligne directrice E-23 - Gestion du risque de modélisation (le « projet de ligne directrice ») énonçant les attentes du BSIF au chapitre de la gestion du risque de modélisation à l’échelle organisationnelle qui découle de l’utilisation de l’intelligence artificielle. Ce projet de ligne directrice constitue la première révision du cadre de gestion du risque de modélisation depuis la publication initiale de ce dernier en septembre 2017 (la « ligne directrice de 2017 »). Les parties intéressées ont jusqu’au 22 mars 2024 pour faire parvenir leurs commentaires au BSIF, la version définitive de la ligne directrice entrant en vigueur en juillet 2025.
Tel qu’il est indiqué dans le projet de ligne directrice, les organisations utilisent de plus en plus la modélisation pour orienter la prise de décisions, ce qui les expose à des pertes financières découlant de la prise de mauvaises décisions et à des pertes opérationnelles, ainsi qu’à des risques d’atteinte à leur réputation. Pour tenir compte du risque que pose l’intelligence artificielle (l’« IA »), le projet de ligne directrice met à jour la définition de « modèle » prévue à la ligne directrice de 2017 afin d’y inclure explicitement les méthodes d’IA et d’apprentissage automatique. Il propose par ailleurs d’élargir la portée de la ligne directrice de 2017 de manière à y inclure toutes les institutions financières fédérales (« IFF ») régies par le BSIF, y compris les régimes de retraite fédéraux, les institutions de dépôt fédérales et les sociétés d’assurances fédérales.
Le BSIF exigera que les organisations atténuent leurs risques de modélisation par l’adoption et la mise en œuvre d’un cadre de gestion du risque de modélisation (« GRM ») solide tout au long du cycle de vie des modèles, en tenant compte de la complexité et de la taille de l’organisation, ainsi que de l’utilisation par cette dernière de ses modèles. Un programme de conformité statique ne sera plus suffisant pour satisfaire aux exigences du projet de ligne directrice. Les organisations devront plutôt démontrer leur engagement envers des processus continus de mise à l’essai, de surveillance et d’examen.
Le cadre de GRM englobe les procédures de gouvernance et de surveillance, ainsi que les mécanismes d’évaluation des risques, que les organisations doivent mettre en œuvre à l’échelle organisationnelle pour assurer l’utilisation conforme des modèles. Le projet de ligne directrice précise que les politiques de gouvernance des données de l’organisation constitueront une composante essentielle du cadre de GRM et devront présenter une approche cohérente permettant de gérer les vulnérabilités, les complexités et les changements relatifs aux données utilisées dans les modèles, notamment les biais, les questions d’équité et la confidentialité.
Les organisations demeurent ultimement responsables de toutes leurs activités externalisées, y compris des modèles et des données qu’elles se procurent auprès de sources externes, comme des fournisseurs tiers ou des organismes étrangers. Pour les modèles issus d’une source externe, elles sont tenues par ailleurs d’établir un cadre de GRM qui est conforme aux exigences applicables aux modèles élaborés en interne. En pratique, les organisations devront donc obtenir la documentation appropriée pour comprendre la conception et les données sous-jacentes d’un modèle, y compris tout élément exclusif.
De plus, le BSIF collabore avec Innovation, Sciences et Développement économique Canada afin de s’assurer que ses lignes directrices et ses contrôles sont conformes à la Loi sur l’intelligence artificielle et les données (la « LIAD ») proposée dans le projet de loi C-27. Si la LIAD est adoptée, les IFF qui élaborent des systèmes d’IA en interne ou qui utilisent des systèmes d’IA créés par des tiers devront mettre en œuvre plusieurs mesures de conformité, de surveillance et de tenue de dossiers, et ce, en plus de devoir satisfaire aux obligations qui leur sont imposées par le BSIF. Par exemple, elles seront tenues de publier une description, en langage clair, de l’utilisation visée du système, des types de contenu que celui-ci est censé générer, des mesures d’atténuation établies et de tout autre renseignement pouvant être prescrit par règlement à l’avenir.
Les organisations qui exercent des activités dans le secteur des services financiers devraient être prêtes à adapter leurs mécanismes de gouvernance et leurs programmes de conformité afin d’y intégrer les considérations liées à l’élaboration et à l’utilisation de l’IA. En outre, elles devront évaluer leur approche relative à la gestion des relations avec des tiers afin d’améliorer leurs pratiques en matière de divulgation d’information et de gestion des données pour éviter de s’exposer à des risques liés à l’IA.
Pour en savoir davantage, communiquez avec :
ou un autre membre de notre groupe Services financiers.
Ressources connexes
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse [email protected].
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.