IA et conformité : encadrer plutôt qu’interdire

L’adoption rapide de l’intelligence artificielle (IA) dans le secteur financier (robots conversationnels, assistants virtuels et outils de rédaction automatisée) soulève des craintes chez les responsables de la conformité : derrière les gains d’efficacité émergent de nouveaux risques.

Dans le cadre du Pointage des régulateurs 2025 de Finance et Investissement, un sondage auprès des responsables de la conformité du secteur de l’épargne collective, du plein exercice, de la distribution d’assurance et des assureurs, deux menaces technologiques principales ont émergé : les brèches de protection des renseignements personnels et, surtout, l’utilisation de l’intelligence artificielle susceptible de nuire aux conseillers et à leur firme.

Les responsables de la conformité identifient deux risques principaux : le premier concerne l’utilisation prédatrice de l’IA par des tiers malveillants qui se font passer pour des clients légitimes, exploitant les capacités de l’IA pour imiter des voix, reproduire des visages ou générer des communications.

Le danger réside dans la difficulté pour les systèmes de détection actuels et les employés humains à distinguer ces imposteurs des véritables clients. De plus, avec la multiplication des échanges numériques et des signatures électroniques, les données sensibles des clients circulent plus que jamais. « L’intelligence artificielle (comme ChatGPT) qui est utilisée sans relecture… c’est une brèche potentielle », résume un responsable de la conformité. « Le fait que tout est maintenant électronique me fait penser qu’on est à la merci de toutes ces intelligences artificielles qui gèrent nos vies », ajoute un autre, signalant qu’il a décidé d’imprimer ses relevés de placement comme preuve de ses actifs.

Le deuxième risque découle d’une utilisation non conforme des outils d’IA par les conseillers eux-mêmes. Un exemple typique serait un conseiller qui utilise ChatGPT pour rédiger un courriel destiné à un client, tout en y intégrant par inadvertance des données sensibles et confidentielles. Autre scénario problématique : l’utilisation d’outils d’IA non autorisés par la firme, parfois à l’insu de celle-ci, partant d’une bonne intention, mais menant à un comportement potentiellement à risque.

Les impacts de ces actions peuvent être dévastateurs. Un client victime de fraude pourrait porter plainte contre sa firme de courtage à la suite d’un bris de confidentialité. Une brèche de confidentialité entraîne par ailleurs des coûts élevés liés à la gestion de l’incident et expose la firme à des fraudeurs qui risquent d’exploiter les informations dérobées.

La fausse information, qui trompe les clients, alimente également les craintes des conseillers : « La fausse information est partout : web, réseaux sociaux, radio. L’intelligence artificielle copie nos visages, nos voix… », s’alarme un responsable de la conformité. D’autres évoquent « la protection des informations personnelles reliées à l’utilisation des large language models » (LLM) et « l’utilisation de l’IA pour procéder à des fraudes ciblées ».

Un défi important consiste à « s’assurer que nous échangeons toujours avec la bonne personne lorsque celle-ci communique avec nous ». Certains commentaires reflètent une anxiété palpable : « Un jour, on va se réveiller, et tous nos comptes bancaires seront vides, les fonds disparus dans la nature ! Le fait que tout est maintenant électronique me fait penser qu’on est à la merci de toutes ces intelligences artificielles », confie un répondant.

D’autres avancent que « les clients utilisent toutes sortes de moyens de communication, les firmes ne sont pas en mesure de tous les suivre comme le régulateur le voudrait ». Certains s’inquiètent aussi que leurs outils ne soient « pas à la hauteur pour aider les représentants à répondre aux exigences réglementaires ». L’IA est perçue à la fois comme un outil d’aide et comme une arme redoutable aux mains de cybercriminels.

Pour Alexandre Cormier, chef de la direction de CyberShell, une entreprise spécialisée dans la protection contre les cyberattaques, ces risques sont bien réels, mais ils sont gérables. Plutôt que d’interdire l’usage de l’IA, il faut l’encadrer, dit-il : « Les firmes ne peuvent pas dire à leurs employés : vous n’avez pas d’outils informatiques. C’est impossible. Les gains de productivité sont trop grands. La seule façon de régler le problème, c’est d’adopter le changement et de l’encadrer rapidement. »

Autrement dit, il faut équiper les conseillers d’outils IA sécurisés et validés plutôt que les laisser bricoler avec des versions gratuites. Pour les conseillers indépendants, l’adoption de versions professionnelles payantes des outils d’IA est un must, car elles garantissent en principe que les données saisies ne seront pas utilisées pour entraîner les modèles d’IA. Une distinction cruciale pour respecter la loi 25 sur la protection des renseignements personnels, précise l’expert.

Pour les firmes, la responsabilité est plus lourde. « Les entreprises doivent identifier les solutions qu’elles offriront à leurs employés. » Cela peut passer par l’acquisition de licences d’entreprise pour des outils qui offrent des cadres contractuels et des mesures de sécurité conformes à la loi 25 ou au Règlement général sur la protection des données européen. Le fait d’offrir ces solutions aux conseillers réduit la tentation d’utiliser des plateformes publiques non sécurisées, précise le dirigeant de CyberShell.

CONTRER L’USURPATION D’IDENTITÉ

Face aux risques d’usurpation d’identité grâce à l’IA – voix clonées, vidéos truquées –, Alexandre Cormier recommande de mettre en place des procédures « simples, mais rigoureuses ». « Il n’existe pas de solution miracle », déclare-t-il. Bien que des outils de détection audio puissent identifier certaines anomalies, ces technologies restent imparfaites.

La stratégie la plus efficace consiste selon lui à établir des protocoles stricts d’authentification. « Le conseiller devrait toujours être la personne qui contacte le client en premier au numéro qui lui a été donné. » Concrètement, si un conseiller reçoit un appel prétendument d’un client demandant une transaction, comme un important transfert de fonds, le conseiller devrait poliment mettre fin à la conversation et rappeler lui-même le client au numéro inscrit au dossier. Cette procédure élimine le risque que le fraudeur contrôle le canal de communication.

Une autre option consiste à valider l’identité du client avec des informations que seul lui devrait connaître – par exemple, une question de sécurité convenue au préalable ou un élément figurant dans son dossier connu de lui seul. Toutefois, cette méthode demande davantage de formation et peut être plus difficile à auditer pour les firmes, prévient Alexandre Cormier. « Quand on a une discussion avec le fraudeur pour tenter de l’identifier, on est toujours susceptible de se faire tromper. »

Un criminel expérimenté pourrait par exemple simuler un problème technique lors d’un appel pour éviter de répondre à une question. « On ne prend pas d’appel directement. On raccroche, on rappelle. » Cette discipline réduit considérablement les risques de fraude, souligne l’expert.

À ceux qui espèrent une technologie capable de détecter instantanément les deepfakes, Alexandre Cormier répond : « La solution miracle que tout le monde attend et qui vient régler tous les problèmes, je la vois présentée chaque année depuis 20 ans, mais en réalité elle n’existe pas. » Des outils permettent d’analyser la voix ou repérer des anomalies, mais ils restent imparfaits. La meilleure protection reste la combinaison d’outils technologiques certifiés et de procédures humaines strictes, souligne l’expert.

La numérisation des documents et la signature électronique suscitent également des inquiétudes. Pour Alexandre Cormier, la lame est à double tranchant : on supprime le vol physique (plus de courrier intercepté dans la boîte aux lettres), mais on augmente l’impact potentiel d’un vol électronique de grande ampleur.

Pour les firmes, la protection repose sur leur division de technologies de l’information, qui doit implanter des mesures robustes : chiffrement des données, contrôles d’accès et gestion appropriée des fournisseurs tiers.

La situation des conseillers indépendants est plus délicate. « Toute cette responsabilité tombe sur les épaules d’un individu », indique Alexandre Cormier. Ces professionnels doivent maintenir une hygiène de cybersécurité rigoureuse : garder leurs systèmes à jour, appliquer les correctifs de sécurité, protéger physiquement leurs dispositifs de stockage en évitant de transférer des données sensibles sur des clés USB non sécurisées et chiffrer les documents sensibles.

Quant au rôle de l’IA dans ces menaces, Alexandre Cormier note l’émergence de codes malveillants intégrant l’intelligence artificielle, capables d’identifier et d’extraire rapidement des documents sensibles. « L’IA aide tout le monde : les pirates, les conseillers et ceux qui tentent de les protéger. » L’IA n’est ni bonne ni mauvaise, résume-t-il. Elle donne aux fraudeurs une productivité inédite, mais elle peut aussi permettre aux firmes et aux conseillers de renforcer leur conformité et leur efficacité.

Pour prévenir les principaux risques touchant la conformité, les firmes doivent fournir des outils d’IA approuvés aux conseillers (avec contrats et mesures de protection clairs), les former et les sensibiliser en leur expliquant les risques concrets, les bonnes pratiques et les nouvelles règles, et renforcer les processus d’authentification.

Alexandre Cormier soulève des risques moins visibles, mais tout aussi importants, comme la menace que représente l’IA pour les « murs de Chine » – ces barrières informationnelles entre différentes divisions d’une entreprise. L’arrivée d’outils d’IA qui fouillent l’ensemble des systèmes pourrait compromettre ces séparations si un document a été mal placé.