Utiliser l'IA dans votre cabinet : ce que la Loi 25 et l'AMF vous obligent à savoir

L'intelligence artificielle est déjà présente dans votre cabinet, même si vous ne l'avez pas adoptée consciemment. Votre CRM utilise des algorithmes pour segmenter votre clientèle. Votre outil de conformité analyse les transactions pour détecter les anomalies. Votre plateforme de placement génère des recommandations basées sur des modèles prédictifs. Votre adjointe utilise peut-être un assistant d'écriture pour rédiger des courriels. Chacun de ces usages déclenche des obligations sous la Loi 25 et s'inscrit dans les attentes de l'AMF en matière d'IA responsable.

Ce n'est plus un sujet théorique réservé aux grandes institutions. C'est une réalité quotidienne qui touche les cabinets de toutes tailles et qui exige une compréhension minimale du cadre réglementaire pour éviter des erreurs coûteuses.

Ce que la Loi 25 dit sur les décisions automatisées

La Loi 25 impose trois obligations spécifiques lorsqu'une décision concernant une personne est prise exclusivement sur la base d'un traitement automatisé de ses renseignements personnels.

L'obligation d'informer. Au moment de la collecte des renseignements ou avant la prise de décision, vous devez informer la personne que ses renseignements seront utilisés dans un processus de décision entièrement automatisé. L'information doit être claire et accessible, pas enfouie dans une politique de confidentialité de 20 pages. Le droit de présenter des observations. La personne doit avoir la possibilité de soumettre ses observations avant ou après la décision. Si un algorithme détermine qu'un client ne se qualifie pas pour un produit financier, le client doit pouvoir contester cette décision et fournir des informations complémentaires. Le droit à une révision humaine. La personne peut demander qu'un humain révise la décision prise par le système automatisé. Cela signifie que vous ne pouvez pas déléguer entièrement la prise de décision à un algorithme sans prévoir un mécanisme de recours humain. Ce que « exclusivement automatisé » signifie en pratique. Le mot-clé est « exclusivement ». Si un algorithme produit une recommandation mais qu'un conseiller la revoit et prend la décision finale, ce n'est pas une décision exclusivement automatisée. Par contre, si votre CRM refuse automatiquement certains clients basé sur un score de risque sans qu'un humain n'intervienne dans le processus, c'est une décision exclusivement automatisée et les trois obligations s'appliquent.

Pour les cabinets financiers, la zone grise la plus fréquente concerne les outils de profilage et de segmentation de clientèle. Si l'outil catégorise automatiquement vos clients et que cette catégorisation influence directement le service qu'ils reçoivent (par exemple, accès ou non à certains produits, fréquence des contacts, niveau de service), un tribunal pourrait considérer que c'est une forme de décision automatisée. La prudence veut que vous documentiez l'intervention humaine dans le processus décisionnel pour chaque situation où un algorithme joue un rôle.

Les 30 pratiques AMF pour l'IA responsable

En 2024, l'AMF a publié un document de réflexion intitulé « Meilleures pratiques pour l'utilisation responsable de l'IA dans le secteur financier ». Ce document articule 30 pratiques regroupées en grandes thématiques. Bien qu'elles ne soient pas juridiquement contraignantes au même titre qu'un règlement, elles expriment les attentes du régulateur et serviront vraisemblablement de référence lors d'inspections ou d'enquêtes.

Voici les principes les plus pertinents pour un cabinet de services financiers.

Gouvernance et responsabilité. L'AMF s'attend à ce que les organisations qui utilisent l'IA établissent un cadre de gouvernance clair, avec des rôles et responsabilités définis. Pour un petit cabinet, cela peut se résumer à documenter quels outils d'IA sont utilisés, par qui, pour quelles finalités, et qui est responsable de la supervision. Le responsable de conformité (qui peut aussi être le responsable de la protection des RP sous la Loi 25) est le candidat naturel pour cette responsabilité. Transparence envers les consommateurs. L'AMF recommande que les organisations informent les consommateurs lorsqu'un système d'IA est utilisé dans une interaction ou une décision les concernant. Ce principe rejoint directement l'obligation d'information de la Loi 25 sur les décisions automatisées. Si un chatbot alimenté par l'IA répond aux questions de vos clients, ceux-ci devraient le savoir. Explicabilité des résultats. Lorsqu'un système d'IA a une incidence significative sur un consommateur, celui-ci devrait pouvoir obtenir une explication claire du processus et des principaux facteurs qui ont mené au résultat. L'AMF précise que cette explication ne nécessite pas le partage de code source ou de propriété intellectuelle, mais doit utiliser un langage non technique proportionné à la gravité des conséquences. Équité et non-discrimination. Les systèmes d'IA ne doivent pas produire de résultats discriminatoires basés sur des caractéristiques protégées (origine ethnique, genre, âge, handicap). Pour un cabinet financier, cela concerne particulièrement les outils de scoring, de segmentation ou de recommandation de produits qui pourraient, même involontairement, traiter différemment certains groupes de clients. Supervision humaine. L'AMF insiste sur le maintien d'une supervision humaine significative des systèmes d'IA, proportionnée à leur niveau de risque. Plus l'impact potentiel sur le consommateur est élevé, plus la supervision humaine doit être directe et fréquente. Dans le secteur financier, les recommandations de placement et les décisions de crédit sont des domaines où la supervision humaine doit rester prédominante. Gestion des données d'entraînement. L'AMF souligne le risque que les données d'entraînement des modèles d'IA contiennent des biais, des erreurs ou des renseignements personnels collectés sans consentement adéquat. Le cabinet devrait vérifier que les outils d'IA qu'il utilise n'ont pas été entraînés sur des données obtenues de manière non conforme.

Les risques spécifiques à surveiller

Quatre risques concrets menacent les cabinets financiers qui utilisent l'IA sans cadre de gouvernance.

Le shadow AI : le risque le plus immédiat

Le shadow AI désigne l'utilisation d'outils d'intelligence artificielle par les employés sans que l'organisation en soit informée ou l'ait autorisée. C'est le risque le plus fréquent et le plus sous-estimé dans les cabinets de toutes tailles.

Un adjoint administratif qui copie-colle un dossier client dans ChatGPT pour rédiger une lettre de recommandation. Un conseiller qui utilise un outil de transcription non approuvé pour résumer ses appels clients. Un stagiaire qui envoie des données financières à un assistant d'écriture en ligne pour préparer un rapport.

Chacune de ces actions constitue un transfert de renseignements personnels vers un fournisseur étranger (la plupart des outils d'IA grand public sont hébergés aux États-Unis), sans EFVP, sans DPA, sans consentement du client, et souvent sans que le cabinet en ait connaissance. Sous la Loi 25, c'est une communication non autorisée de renseignements personnels. Si les données sont utilisées pour l'entraînement du modèle par le fournisseur, c'est aussi une utilisation non autorisée.

Le problème n'est pas que vos employés sont malveillants. Ils cherchent à être plus efficaces. Mais l'absence de politique claire et de formation transforme leur bonne intention en incident de conformité.

La fuite de données vers les modèles d'IA

Certains outils d'IA utilisent les données soumises par les utilisateurs pour améliorer leurs modèles. Cela signifie que les renseignements personnels de vos clients pourraient être intégrés dans les données d'entraînement d'un modèle accessible à d'autres utilisateurs partout dans le monde.

Les versions gratuites ou grand public de la plupart des outils d'IA comportent ce risque. Les versions entreprise offrent généralement des garanties contractuelles de non-utilisation des données pour l'entraînement. Vérifiez les conditions de chaque outil. Ne vous fiez pas aux paramètres par défaut.

Le biais dans les recommandations automatisées

Si votre CRM ou votre plateforme de placement utilise un algorithme pour recommander des produits à vos clients, cet algorithme peut contenir des biais, intentionnels ou non. Un modèle qui recommande systématiquement des produits moins performants aux clients plus âgés ou aux clients de certains quartiers pourrait constituer une pratique discriminatoire, en violation des obligations d'équité de l'AMF et des droits protégés par la Charte québécoise.

Vous n'avez pas besoin de comprendre le code de l'algorithme. Mais vous devriez être capable d'expliquer à un client pourquoi un produit lui a été recommandé plutôt qu'un autre, et cette explication devrait reposer sur des facteurs objectifs et pertinents.

L'absence de traçabilité

Si un client vous demande pourquoi une décision a été prise à son sujet et que votre réponse est « l'algorithme a décidé, je ne sais pas pourquoi », vous êtes en infraction avec la Loi 25 (obligation d'explicabilité) et en rupture avec les pratiques AMF (transparence et explicabilité). Tout outil d'IA utilisé dans des décisions qui touchent vos clients devrait produire des journaux ou des explications que vous pouvez consulter et communiquer au client si nécessaire.

Comment utiliser l'IA de façon conforme

La conformité ne signifie pas interdire l'IA. Cela signifie l'encadrer. Voici cinq mesures concrètes.

Adoptez une politique d'utilisation acceptable de l'IA. Un document simple (1 à 2 pages) qui précise quels outils d'IA sont autorisés, lesquels sont interdits, quels types de données ne doivent jamais être soumis à un outil d'IA, et quelle est la procédure pour demander l'approbation d'un nouvel outil. Faites signer cette politique par chaque employé. Réalisez une EFVP pour chaque outil d'IA. Comme pour tout fournisseur technologique, un outil d'IA qui traite des données de vos clients nécessite une EFVP. Portez une attention particulière à trois éléments : où sont stockées les données, si elles sont utilisées pour l'entraînement du modèle, et quelles garanties contractuelles le fournisseur offre. [Notre guide EFVP détaille le processus](/fr/blog/efvp-evaluation-facteurs-vie-privee-loi-25). Formez votre personnel. La formation ne doit pas être un cours magistral de trois heures. Un atelier de 30 à 45 minutes couvrant les points essentiels suffit : quels outils sont approuvés, quelles données ne doivent jamais être soumises à un outil d'IA (NAS, données financières, données de santé), comment signaler un incident si quelqu'un fait une erreur. Répétez la formation annuellement et à chaque embauche. Documentez l'intervention humaine dans les décisions. Pour chaque processus où un algorithme joue un rôle dans une décision affectant un client, documentez comment l'intervention humaine est intégrée. Le conseiller a-t-il examiné la recommandation de l'algorithme avant de la présenter au client? Le responsable de conformité a-t-il validé les paramètres de segmentation? Cette documentation est votre preuve que les décisions ne sont pas « exclusivement automatisées » au sens de la Loi 25. Privilégiez les outils d'IA avec des garanties contractuelles. Choisissez des fournisseurs d'IA qui offrent des DPA, qui certifient que les données ne sont pas utilisées pour l'entraînement, qui hébergent les données au Canada et qui détiennent des certifications de sécurité vérifiables. Le coût supplémentaire d'une version entreprise par rapport à une version gratuite est négligeable comparé au risque d'un incident de conformité. [Notre article sur l'évaluation des fournisseurs détaille les critères à vérifier](/fr/blog/loi-25-evaluation-fournisseurs-technologiques).

Le cadre évolue rapidement

Le paysage réglementaire de l'IA est en mouvement au Canada et dans le monde. Le projet de loi fédéral C-27, qui contenait la Loi sur l'intelligence artificielle et les données (LIAD), est mort au feuilleton en janvier 2025. Mais les attentes des régulateurs ne font qu'augmenter. L'AMF continue de raffiner ses pratiques et pourrait les rendre plus formelles dans les années à venir. L'Union européenne a adopté le AI Act en 2024, qui influencera inévitablement les approches canadiennes.

Pour un cabinet de services financiers, la meilleure stratégie n'est pas d'attendre que la réglementation se stabilise. C'est de mettre en place dès maintenant un cadre minimal de gouvernance de l'IA (politique, EFVP, formation) qui vous positionnera favorablement quels que soient les développements futurs. Un cabinet qui peut démontrer qu'il a pris l'IA au sérieux, qu'il a documenté ses pratiques et qu'il a formé son personnel sera dans une position radicalement différente d'un cabinet qui n'a rien fait.

---

*Cet article fait partie d'une série sur la Loi 25 et la conformité pour les cabinets de services financiers. Consultez aussi :*

• *[Loi 25 du Québec : ce que chaque conseiller financier doit savoir en 2026](/fr/blog/loi-25-guide-conseiller-financier)*
• *[Loi 25 et AMF : la double couche de conformité pour les conseillers financiers](/fr/blog/loi-25-amf-conformite-double-couche)*
• *[EFVP : comment réaliser une évaluation des facteurs relatifs à la vie privée](/fr/blog/efvp-evaluation-facteurs-vie-privee-loi-25)*
• *[Comment évaluer si vos fournisseurs technologiques sont conformes à la Loi 25](/fr/blog/loi-25-evaluation-fournisseurs-technologiques)*