IA : la gouvernance relève du conseil, pas de la technologie

Le scénario qu’aucun conseil d’administration ne veut vivre

 

Un examinateur du BSIF passe en revue le modèle de détection de la fraude fondé sur l’IA de votre banque. Depuis deux ans, ce modèle influence les retenues de paiement, les refus de transactions par carte et certaines décisions d’examen de comptes. Il a permis de réduire les pertes liées à la fraude, mais ses faux positifs commencent à toucher certains segments de clientèle et certains canaux d’une manière qui soulève des questions de risque de modélisation, de résilience opérationnelle, de conduite des affaires et de reddition de comptes. L’examinateur demande alors à la présidence du conseil quelle gouvernance était en place au moment où le modèle a été approuvé.

La présidence du conseil renvoie la question au chef de l’information. Le chef de l’information la renvoie aux opérations de lutte contre la fraude et à la gestion du risque. Des tableaux de bord de performance existent pour le modèle, et la gestion du risque de modélisation dispose de documentation. Mais le conseil n’a jamais reçu de vue consolidée sur l’importance relative du modèle, son incidence sur les clients, l’appétit pour le risque applicable, les seuils d’escalade ou la structure d’imputabilité.

Cette conversation devient de plus en plus probable. La question est de savoir si l’institution l’aura de façon proactive, dans le cadre d’une gouvernance de l’IA au niveau du conseil, ou de façon réactive, lors d’un examen prudentiel. La détection de la fraude figure parmi les principaux cas d’utilisation de l’IA recensés par le BSIF et l’ACFC dans les institutions financières. Le Regard annuel sur le risque 2026-2027 du BSIF indique également que l’organisme continuera d’évaluer les répercussions de l’IA sur la fraude, le risque de modélisation, le cyberrisque, le blanchiment d’argent et les risques liés aux tiers.

Trois signaux convergents font de 2026 un point d’inflexion

 

Les institutions financières canadiennes adoptent l’IA depuis plusieurs années. Selon une évaluation conjointe publiée par le BSIF et l’ACFC en septembre 20241, l’utilisation de l’IA dans les institutions financières fédérales est passée d’environ 30 % en 2019 à 50 % en 2023, et devrait atteindre 70 % en 2026. Ce qui n’a pas progressé au même rythme, c’est la gouvernance.

Ce qui change aujourd’hui, c’est que les autorités de surveillance ne se limitent plus à publier des principes en attendant que le marché s’ajuste. La ligne directrice B-13 du BSIF2 est déjà en vigueur. Elle ne constitue pas une ligne directrice propre à l’IA, mais elle établit des attentes en matière de gouvernance du risque lié aux technologies et du cyberrisque, de responsabilisation, d’appétit pour le risque, de résilience, d’architecture, de gestion des incidents et de gestion des menaces et technologies émergentes. Ces attentes deviennent directement pertinentes dès que l’IA est intégrée aux processus d’affaires, aux décisions touchant les clients, à la détection de la fraude ou à la résilience opérationnelle.

La ligne directrice E-23 du BSIF3, soit la mise à jour de la ligne directrice sur la gestion du risque de modélisation qui entrera en vigueur le 1er mai 2027, va plus loin. Elle fait explicitement entrer l’IA et l’apprentissage automatique dans le périmètre du risque de modélisation. Elle attribue aussi à la haute direction la responsabilité de définir les responsabilités de gestion du risque de modélisation à l’échelle de l’entreprise, de s’assurer que des personnes qualifiées encadrent les technologies novatrices comme l’IA, et de veiller à ce que les risques de modélisation soient communiqués de façon appropriée au conseil. Cela rend la visibilité et la capacité de remise en question du conseil incontournables, même si l’exécution relève de la direction.

Le BSIF a également placé la responsabilisation plus haut dans l’agenda de surveillance avec sa consultation de janvier 2026 sur un régime proposé de responsabilisation des cadres dirigeants. La proposition vise les membres du conseil d’administration et de la haute direction. Elle met l’accent sur la cartographie des responsabilités, l’efficacité de la surveillance et la reddition de comptes à l’égard des décisions, de la conduite et des résultats. En parallèle, le Regard annuel sur le risque 2026-2027 du BSIF confirme que l’IA demeure un sujet d’attention prudentielle, notamment en ce qui concerne le risque de modélisation, le cyberrisque, la fraude, le blanchiment d’argent et les risques liés aux tiers4.

Le déficit de gouvernance que portent encore trop d’institutions

 

Le problème structurel dans la plupart des institutions financières canadiennes n’est pas l’absence d’efforts de gouvernance. C’est le décalage entre l’endroit où ces efforts sont situés et le niveau où la responsabilité devrait être exercée.

Aujourd’hui, la gouvernance de l’IA se situe souvent un à trois niveaux sous le conseil d’administration : dans les équipes de risque technologique, de gestion du risque de modélisation ou de conformité de deuxième ligne. Ces fonctions jouent un rôle essentiel. Mais lorsque l’IA influence à grande échelle les décisions de crédit, la souscription d’assurance, la détection de la fraude ou les interactions avec les clients, la surveillance ne peut pas s’arrêter au niveau vice-présidence.

Le sondage de KPMG Canada publié en février 20265 illustre clairement la situation : plus de 90 % des dirigeants canadiens des services financiers considèrent l’IA générative comme essentielle à leur avantage concurrentiel, et 89 % indiquent que leur leadership a une vision claire de la feuille de route en IA générative. Pourtant, peu d’organisations disposent de cadres de gouvernance matures. Trente pour cent citent la qualité des données comme un obstacle majeur, ce qui relève d’abord d’un enjeu de gouvernance fondamental, et non d’un simple enjeu technologique.

Le déficit est structurel. Des conseils ont approuvé des stratégies d’IA sans approuver d’appétit pour le risque lié à l’IA. Des comités des risques ont reçu des rapports de validation de modèles sans avoir établi de seuils d’importance relative. Des comités d’audit ont examiné le cyberrisque sans demander quels modèles d’IA entraient réellement dans le périmètre de surveillance. Il en résulte un déficit de responsabilisation que les autorités de surveillance sont de plus en plus susceptibles de tester à travers les attentes liées au risque de modélisation, au risque technologique et au cyberrisque, à la résilience opérationnelle et à la responsabilité des hauts dirigeants.

À quoi ressemble réellement une gouvernance de l’IA au niveau du conseil

 

La gouvernance de l’IA au niveau du conseil est une architecture de responsabilisation, pas un comité ni un simple document de politique. Trois éléments définissent la structure minimale :

  1. Un énoncé d’appétit pour le risque lié à l’IA : une déclaration du conseil qui précise où le risque lié à l’IA est acceptable et où il ne l’est pas, formulée dans le même langage que l’appétit pour le risque de crédit ou les seuils de suffisance du capital;

  2. Une vue conseil des modèles d’IA significatifs, dérivée de l’inventaire d’entreprise des modèles d’IA et de modélisation. Il ne s’agit pas de tous les modèles, mais de ceux qui touchent les résultats pour les clients, l’exposition financière, les obligations réglementaires, la tarification, la souscription, la détection de la fraude ou les opérations critiques;

  3. Des mécanismes d’escalade définis afin que le conseil soit informé lorsqu’un modèle significatif se comporte de manière inattendue, avant que le régulateur ne le soit.

Ce que le conseil doit assumer — et ce qu’il peut déléguer

 

Les administrateurs n’ont pas besoin de maîtriser l’architecture technologique ni les méthodes statistiques de validation. Ils doivent toutefois établir les conditions de gouvernance dans lesquelles l’IA est utilisée au sein de l’institution. La distinction est essentielle.

La responsabilité du conseil consiste à établir l’appétit pour le risque lié à l’IA, à examiner l’exposition aux modèles significatifs, à comprendre les obligations de l’institution — notamment au regard des lignes directrices B-13 et E-23 — et à tenir la direction responsable de la structure de gouvernance qui permet d’exécuter ces obligations.

Le rapport FIASSF II de mars 2026, parrainé par le BSIF, le GRI et d’autres parties prenantes du secteur public, n’est pas une consigne réglementaire, mais constitue un point de référence sectoriel utile. Son cadre AGILE6 présente la « sensibilisation » comme une capacité fondamentale : littératie en IA du conseil et de la haute direction, veille prospective et préparation de la gestion des risques. Pour les conseils, cela renforce un point pratique : la littératie en IA n’est pas une formation ponctuelle, mais une capacité structurelle qui détermine si les administrateurs posent les bonnes questions, exigent les bons rapports et reconnaissent les signaux faibles.

  • Ce que le conseil peut déléguer : la validation des modèles, les contrôles techniques, l’exécution de l’audit interne et la surveillance quotidienne;
  • Ce qu’il ne peut pas déléguer : les questions qu’il pose, l’appétit pour le risque qu’il fixe et la responsabilisation qu’il exige de la direction.

Cinq actions à lancer dès maintenant

 

  1. Établir un énoncé d’appétit pour le risque lié à l’IA. L’intégrer au cadre de gestion des risques de l’entreprise, aux côtés du risque de crédit, du risque de liquidité et du risque opérationnel. Il s’agit d’un instrument du conseil, pas d’un simple document de politique;

  2. Mandater une évaluation des écarts réglementaires. Comparer la posture actuelle de gouvernance aux attentes de la ligne directrice E-23 et aux exigences en vigueur de B-13. Le mandat devrait être piloté par les risques ou la conformité, et non par les TI, avec un rapport direct au comité d’audit ou au comité des risques;

  3. Construire un inventaire d’entreprise des modèles d’IA et de modélisation, sous responsabilité de la direction, avec une vue pour le conseil des modèles significatifs. Définir des critères de matérialité pour les modèles qui touchent les résultats pour les clients, l’exposition financière, les obligations réglementaires, la détection de la fraude, la souscription, la tarification ou les opérations critiques. Exiger des rapports périodiques au conseil sur l’état des modèles significatifs, leur cote de risque, leur validation, les dérives de performance, les incidents, les exceptions et les mesures correctives;

  4. Ajouter la gouvernance de l’IA à la matrice de compétences du conseil. Combler les écarts par le développement des administrateurs, la formation des comités ou la planification de la relève;

  5. Formaliser une structure de responsabilisation désignée pour l’IA. Attribuer cette responsabilité à un dirigeant senior clairement identifié — qu’il s’agisse d’un chef de l’IA, d’un chef de la gestion des risques, d’un chef des données et de l’analytique, ou d’une fonction équivalente — avec des droits décisionnels, des obligations d’escalade et des exigences de reddition de comptes clairement définis auprès de la haute direction et du conseil. Le titre importe moins que la responsabilité, l’autorité et la visibilité de la fonction.

La fenêtre d’action se referme

 

Les institutions qui mettront en place une gouvernance de l’IA au niveau du conseil en 2026, avant l’entrée en vigueur d’E-23 et avant la maturation des attentes relatives à la responsabilisation des hauts dirigeants, seront dans une position de surveillance fondamentalement différente de celles qui attendent. Les relations avec les autorités de surveillance, comme les cotes de crédit, se construisent plus facilement de manière proactive qu’elles ne se réparent après un incident.

FSTE recommande aux clients de commencer par une évaluation de gouvernance : cartographier l’état actuel par rapport aux attentes réglementaires, identifier les écarts significatifs et bâtir une structure de responsabilisation capable de résister à l’examen déjà en cours.

La question de l’examinateur viendra. Assurez-vous que votre conseil ait la réponse avant qu’elle ne soit posée.

Références :

  1. Rapport du BSIF et de l’ACFC — L’IA dans les institutions financières fédérales : utilisations et risques, septembre 2024 ↩︎
  2. Ligne directrice B-13 du BSIF : Gestion du risque lié aux technologies et du cyberrisque ↩︎
  3. Ligne directrice E-23 du BSIF : Gestion du risque de modélisation, en vigueur le 1er mai 2027 ↩︎
  4. Document consultatif du BSIF : Responsabilisation des cadres dirigeants, janvier 2026;
    Regard annuel sur le risque du BSIF pour l’exercice 2026-2027 ↩︎
  5. KPMG Canada : Adoption de l’IA générative au sein des services financiers canadiens, février 2026 ↩︎
  6. Deuxième édition du FIASSF : Risques et possibilités liés à l’IA — Adoption d’un cadre AGILE dans les services financiers canadiens, mars 2026 ↩︎
Contenu similaire

Ceci pourrait vous intéresser

Contact

Vous avez des questions, vous souhaitez démarrer un projet? Contactez-nous !

Québec, Canada
Courriel
Linked In
Retour en haut