Questionnaire BSIF-ACFC de 2023 sur l’intelligence artificielle / l’apprentissage automatique (IA e

Date de soumission Nom de la personne contact Titre de la personne contact

e automatique (IA et AA) & l'informatique quantique
Courriel Numéro de téléphone Nom de l'IFF
Objectifs du questionnaire
Le questionnaire permet de comprendre l'utilisation de l’intelligence artificielle / l'apprentissage automatique (IA &
l’utilisation de l’IA par l’entremise d’autres outils ou applications plus largement répartis au sein de l’institution (c.-à
Au vu de la mise en œuvre expansive de l'IA dans différentes plateformes et divers outils d'usage général, il est impo
Nous reconnaissons que ce domaine est multidisciplinaire et que, pour certaines institutions, les réponses proviend
questions de manière à faciliter la collecte des diverses réponses et nous demandons aux institutions de se coordon
Les réponses au questionnaire devraient refléter à la fois les pratiques actuelles et les plans futurs pour l’adoption d
Conception
Le gabarit comprend deux catégories de réponses : (1) des réponses prédéfinies et (2) des réponses ouvertes.
(1) Les réponses prédéfinies
Certaines questions du questionnaire nécessitent que la réponse soit sélectionnée dans la liste fournie. Veuillez cho
(2) Les réponses ouvertes
Pour les réponses ouvertes, veuillez :
1. utiliser un langage clair et décrire les actions entreprises jusqu'à maintenant;
2. éviter de dévoiler l'énoncé de vision de l'institution et d'utiliser des acronymes ou des liens qui y sont propres;
3. limiter vos réponses à un maximum de 250 mots.
Commentaires -- Instructions
Chaque onglet comprend une colonne pour ajouter des informations supplémentaires visant à clarifier les réponses
Il n’y a pas de limite de mots pour les cellules de ces colonnes.
Informations supplémentaires
1. Les instructions pour téléverser le questionnaire dans le Système de déclaration réglementaire (SDR) sont fournie
2. Certains termes importants sont définis dans l'onglet « Définitions ».
3. L'IA générative inclut toute utilisation d'une IA générative telle que de ChatGPT, Bard, DALL-E, etc.
4. La date limite de soumission du questionnaire est le 19 février 2024. Si vous avez besoin de plus de temps pour re
Général
Numéro de la
Questions
question

1 Indiquez le nombre de modèles d’IA déjà en cours d'utilisation au sein de l’institution.

Indiquez le nombre de modèles d’IA prévus au sein de l’institution au cours des 3

2
prochaines années.

Indiquez les 3 principales activités sur lesquelles l'utilisation de l'IA a une incidence
importante au sein de votre institution. Veuillez sélectionner une réponse dans le menu
3
déroulant ci-contre et fournissez plus de détails pour chacune des activités dans la colonne
Commentaires.

Indiquez les 3 principales activités pour lesquelles il est prévu d'utiliser l'IA dans les 3
prochaines années (autres que celles indiquées à la question numéro 3). Veuillez
4
sélectionner une réponse dans le menu déroulant ci-contre et fournissez plus de détails
pour chacune des activités dans la colonne Commentaires.

Votre institution a-t-elle actuellement une stratégie d'adoption de l’IA ou une

5 cyberstratégie qui tient compte des risques liés à l'IA? Veuillez fournir les détails dans la
colonne "Commentaires".

Indiquez le pourcentage d’équivalents temps plein (ETP), par rapport au nombre total
6
d'ETP, travaillant sur des sujets liés à l'AI.

7 Quelles sont les prévisions d'investissement dans l'IA au cours des 3 prochaines années ?

À quel niveau au sein de l'institution la formation sur la gestion des risques liés à l’IA est-elle
8 dispensée ? S'il y a plus d'une réponse, veuillez fournir les réponses additionnelles dans les
options 2 et 3. Veuillez sélectionner une réponse dans le menu déroulant ci-contre.
 Quels sont les obstacles réglementaires liés à l’adoption de l’IA dans l'institution ? Veuillez
9
sélectionner une réponse dans le menu déroulant ci-contre.

Les modèles d'AI sont-ils hébergés sur site, dans le nuage ou dans un environnement
10
hybride?

Indiquez vos 3 fournisseurs les plus critiques en matière de modèles, systèmes ou données
11
liées à l'IA (1 étant le plus important).

L’IA générative est-elle exploitée dans l'institution ? S'il y a plus d'une réponse, veuillez
12 fournir les réponses additionnelles dans les options 2 et 3. Veuillez sélectionner une
réponse dans le menu déroulant ci-contre.

Si vous avez répondu « en cours d’utilisation », « en développement » ou « à l'état de

13 preuve de concept » à la question 12, indiquez les 3 principaux objectifs. Veuillez
sélectionner une réponse dans le menu déroulant ci-contre.

14 Quels types de solutions d’IA générative sont en place ou en cours d’examen?

Risque et gouvernance
Numéro de la
Questions
question

Indiquez les 3 risques les plus importants liés à la mise en œuvre de modèles d’IA (1 étant le
15
plus important). Veuillez sélectionner une réponse dans le menu déroulant ci-contre.
 Les risques liés à l’IA sont-ils abordés dans le cadre de gestion des risques de l'institution ?
16 Veuillez fournir les détails dans la colonne Commentaires, y compris la manière dont ces
risques s'intégrent à votre appétit pour le risque.

Quelle est l’incidence de l’IA sur les types de risques suivants au sein de votre institution
17 (spécifiez de a à e). Veuillez fournir les détails dans la colonne Commentaires, y compris
toute mesure d'atténuation ou de contrôle mise en place.

a Risque d'affaires

b Résilience financière

c Résilience opérationnelle

d Risque de gouvernance

e Risque transverse

Comment les biais sont-ils abordés dans les modèles d’IA de votre institution ? Veuillez
18
sélectionner une réponse dans le menu déroulant ci-contre.

Existe-t-il des politiques et des procédures qui ciblent spécifiquement la gouvernance et la

19 qualité des données utilisées pour l’IA ? Veuillez fournir les détails dans la colonne
"Commentaires".

Y a-t-il des éléments de données qui sont délibérément exclus des modèles en raison de
20 préoccupations en matière de protection de la vie privée ou de droits de la personne ?
Veuillez fournir les détails dans la colonne "Commentaires".

Les données synthétiques sont-elles exploitées pour entraîner des modèles d’IA au sein de
21
l'institution?

Si des données synthétiques sont utilisées, veuillez préciser à quelles fins ? Veuillez
22
sélectionner une réponse dans le menu déroulant ci-contre.
 Le consentement actuel sur l'utilisation des données et la confidentialité signé par le
23 consommateur comprend-il une disposition d’utilisation des données à des fins d'utilisation
de l’IA ? Veuillez fournir les détails dans la colonne "Commentaires".

L'institution effectue-t-elle une évaluation des risques liés à l’incidence de chaque cas
24 d’utilisation de l’IA sur les personnes, les processus et la technologie ? Veuillez fournir les
détails dans la colonne "Commentaires".

Quelles sont les mesures de protection ou de contingence mises en place pour faire face
25 aux défaillances des modèles d’IA ? Veuillez sélectionner une réponse dans le menu
déroulant ci-contre.

Dans quelle mesure les fonctions de contrôle (juridique, conformité, protection de la vie
26 privée, etc.) font-elles partie du cycle de vie des modèles d’IA ? Veuillez fournir les détails
dans la colonne "Commentaires".

27 Comments les limites des modèles d’IA sont-elles comprises et documentées?

Quelles sont les mesures prises pour évaluer régulièrement le comportement des modèles
28
d'IA et les écarts potentiels par rapport aux résultats attendus?

Les risques potentiels découlant de l’utilisation de bibliothèques et de modèles à code

29 source libre (« open source » en anglais) sont-ils abordés dans le cadre de gouvernance de
l’institution ? Veuillez fournir les détails dans la colonne Commentaires.

Les tierces parties se conforment-elles aux normes, aux politiques et aux procédures de
30
l'institution ?

Disposez-vous de contrôles spécifiques pour tester et vérifier les modèles d’IA générative.
31
Veuillez fournir les détails dans la colonne Commentaires.

Quel type d'évaluation effectuez-vous afin de détecter les risques éventuels en matière de
32 cybersécurité et de protection de la vie privée pour les cas d’utilisation mis en œuvre ou à
mettre en œuvre ? Veuillez fournir les détails dans la colonne Commentaires.

Les employés sont-ils autorisés à utiliser des outils d’IA générative provenant de tierces
33 parties tels que GPT d’Open AI? Veuillez dresser la liste de tous les outils d'IA générative
utilisés dans la colonne Commentaires.
 Le cas échéant, en fonction de la réponse à la question 33, quels sont les contrôles ou les
34 politiques en vigueur ou en cours d'élaboration concernant l'utilisation par les employés
d'outils d'IA générative de tiers tels que le GPT d'Open AI?

L’explicabilité est-elle une exigence pour tous les modèles d’IA? Veuillez fournir les détails
35
dans la colonne Commentaires.

Existe-t-il une cyberstratégie de l'IA qui tient compte de la fiabilité, de l’éthique et de toute
36
question connexe? Veuillez fournir les détails dans la colonne Commentaires.

L’approche « sécurité dès la conception » est-elle suivie lorsque des applications d’IA sont
37 développées ou déployées par votre institution? Veuillez fournir les détails dans la colonne
Commentaires.

Quelles sont les normes et les pratiques exemplaires suivies par l'institution pour assurer la
38
sécurité et la confidentialité des données des clients utilisées dans des applications d’IA?

Les clients sont-ils informés de manière proactive de l’application de l’IA/AA au sein de

l'institution et de l'incidence que cela pourrait avoir sur eux? Veuillez fournir des détails sur
39
l'approche que vous adoptez pour prendre contact avec les clients, y compris la fréquence
des contacts, dans la colonne Commentaires.
 Protégé B une fois rempli

Options de réponse Réponses

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.
Réponse ouverte en moins
de 250 mots

Options de réponse Réponses

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

S'il y a lieu, indiquez des

éléments additionnels en
moins de 250 mots.

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3
S'il y a lieu, indiquez des
éléments additionnels en
moins de 250 mots.

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre
Réponse ouverte en moins
de 250 mots
Réponse ouverte en moins
de 250 mots

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Réponse ouverte en moins

de 250 mots

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre
Réponse ouverte en moins
de 250 mots

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Réponse ouverte en moins

de 250 mots

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre
Commentaires
Commentaires
 Protégé B une fo
Informatique quantique
Numéro de la
Questions
question

40 Votre institution participe-t-elle à des activités d'informatique quantique ?

Si vous avez répondu oui à la question 40, veuillez fournir de plus amples
41
renseignements ou décrire les trois activités les plus importantes.

Quel est le nombre d’équivalents temps plein (ETP) qui travaillent sur l'informatique
42
quantique?

Votre institution a-t-elle une cyberstratégie qui tient compte des risques liés à
43
l’informatique quantique?

Votre institution a-t-elle effectué ou prévu d'effectuer une évaluation pour faire
44 l'inventaire des applications, des services et des bases de données qui pourraient être
affectés par une utilisation malveillante de l’informatique quantique?

Si vous avez répondu oui à la question 44, veuillez fournir un échéancier approximatif
45
pour l’évaluation (date de début et de fin).

Votre institution a-t-elle discuté ou prévoit-elle de discuter avec les fournisseurs d’une
46 feuille de route relative à la capacité d'adoption ou de mise en œuvre de
l'informatique quantique?

Si vous avez répondu oui à la question 46, veuillez fournir un échéancier approximatif
47
pour la feuille de route (date de début et de fin la plus rapprochée).

Votre institution a-t-elle développé ou planifié de mettre en œuvre des méthodes

d’atténuation des risques (p. ex., la mise en œuvre d’algorithmes quantiques
48
sécuritaires, etc.) pour les applications, les systèmes et les bases de données
vulnérables ?

Si vous avez répondu oui à la question 48, veuillez fournir un échéancier approximatif
49 pour la mise en œuvre des méthodes d’atténuation des risques au sein des systèmes
de l’entreprise (date de début et de fin).

Votre institution envisage-t-elle de mettre en place, est-elle en train de mettre en

place, ou a-t-elle déjà mis en place des mesures et des politiques de gestion des
50
risques contre des cyberattaques rétroactives de type « sauvegarder maintenant,
décrypter plus tard » par exemple?
 Protégé B une fois rempli

Options de réponse Réponses

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

2
3
Veuillez sélectionner une
réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Date de début

Date de fin
Veuillez sélectionner une
réponse dans le menu
déroulant ci-contre

Date de début

Date de fin

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre

Date de début

Date de fin

Veuillez sélectionner une

réponse dans le menu
déroulant ci-contre
Commentaires
Termes

Intelligence artificielle (IA)

Modèles d’IA générative

Incidence importante

Cadre de gestion des risques

Données synthétiques
Cryptographie post-quantique
Préparation à l'informatique quantique

Sauvegarder maintenant, décrypter plus tard

sécurité dès la conception

Surveillance humaine

Arrêt d'urgence

Systèmes de sauvegarde

Systèmes d'alerte
Suivi de performance
Cycle de vie du modèle
Risque d'affaires

Résilience financière

Résilience opérationnelle

Gouvernance des risques

Risque transversal
Définitions
Définition de l'OCDE : Un système basé sur une machine qui, pour des objectifs explicites ou implicites, déduit, à partir des don
des décisions qui peuvent influencer des environnements physiques ou virtuels.
Elle englobe un large éventail de technologies et de techniques visant à permettre aux machines d'effectuer des tâches qui req
la prise de décision.

IA qui a été formée sur un large éventail de contenus existants (tels que du texte, des images, de la musique) et qui peut géné
(sous-jacent à l'agent conversationnel, ou « chatbot », ChatGPT).
Un effet significatif ou substantiel ayant des conséquences notables sur l'entreprise, le bilan ou le client.
Approche structurée et systématique qui définit clairement les responsabilités, les politiques et les processus permettant de d
opérations, les actifs ou les objectifs de l'institution.
Informations que les simulations informatiques ou les algorithmes génèrent comme solution de remplacement aux données d
Cela fait référence aux algorithmes cryptographiques qui sont censés être sécurisés contre un attaquant ayant accès à un ordi
Se préparer aux risques (de cybersécurité) posés par le développement futur d’un ordinateur quantique suffisamment puissan
Également connue sous le nom de « Sauvegarder maintenant, décrypter plus tard » ou « Voler maintenant, décrypter plus tar
normes de chiffrement actuelles et décrypter ultérieurement lorsqu'un ordinateur quantique suffisamment puissant devient d
Veuilllez consulter la ligne directrise du BSIF B-13 – Gestion du risque lié aux technologies et du cyberrisque

Concept qui décrit un système ou un processus où les humains interviennent directement dans les prises de décisions ou dans

Mécanisme utilisé pour arrêter ou désactiver un appareil ou un programme.

Ensemble de processus, de matériels et de logiciels conçus pour créer des copies des données numériques et des applications
perte de données, de corruption ou de défaillance du système.
Système de notification, ou une combinaison de logiciels et de matériel, qui fournit un moyen de transmettre un message à un
Un processus qui définit des métriques pour mesurer la performance des modèles d’IA dans le temps et surveiller les perform
Différents processus et étapes considérés dans le développement, le déploiement et la maintenance des modèles, de la défini
Fait référence au risque associé au modèle d'entreprise d'une institution et qui incorpore ses attributs tels que : la stratégie, l'
Fait référence aux domaines qui peuvent avoir une incidence sur la résilience financière d'une institution, tels que l'adéquatio
compris le risque de crédit, le risque de marché, le risque d'investissement, la gestion de l'actif et du passif, le risque d'assuran
Fait référence aux domaines qui peuvent avoir une incidence sur la résilience opérationnelle d'une institution, tels que la tech
Fait référence aux domaines qui soutiennent l'identification, l'évaluation et la gestion des risques de l'institution, tels que la go
conformité, l'audit interne.
Risques susceptibles d'avoir une incidence sur les quatre catégories de risques susmentionnées (lignes 17 à 20), tels que le risq
Remplir et soumettre le classeur « AIQuestionnaire-QuestionnaireIA.xlsx » dans le SDR (991)
Comment soumettre le classeur AIQuestionnaire-QuestionnaireIA.xlsx dans le SDR (991)
1. Connectez-vous au site sécurisé de la Banque du Canada à l’aide de vos nom d’utilisateur et mot de passe.

2. Connectez-vous au portail du SDR en inscrivant votre courriel et votre mot de passe

3. Cliquez sur Relevés provisoires.
4. Cliquez sur le nom du relevé à remplir.
5. Cliquez sur le lien Modifier.

6. Cliquez sur le bouton Parcourir.

7. Joignez et enregistrez votre fichier AIQuestionnaire-QuestionnaireIA.xlsx

8. Placez le curseur sur Soumettre, puis cliquez sur Soumettre un relevé.
9. Cliquez sur le nom du relevé pertinent.
OU
Cliquez sur le lien Soumettre dans la colonne Action pour le relevé pertinent.

10. Cliquez sur le bouton Soumettre.

Résultat
La page de connexion au SDR s’affiche.

La page d’accueil s’affiche.

La page « Relevés provisoires » s’affiche.
La page « Relevé provisoire » s’affiche.
L’écran de téléversement des fichiers s’affiche.
La fenêtre « Choisir le fichier à téléverser » s’affiche.
Sélectionnez le fichier de sondage sur votre bureau et ouvrez-le.

La page « Soumettre un relevé » s’affiche.

La page « Soumettre un relevé » s’affiche, indiquant le relevé validé et à soumettre.

La page « Soumettre un relevé » s’affiche, confirmant que le relevé a bien été soumis.