Utiliser l’intelligence artificielle n’est pas sans risque pour les conseillers

L’intelligence artificielle (IA) fait aujourd’hui partie du quotidien de plusieurs professionnels, y compris dans l’industrie de l’assurance. Des outils comme Microsoft Copilot ou ChatGPT d’OpenAI sont maintenant intégrés directement dans notre environnement de travail, souvent sans même qu’on s’en rende compte. 

Mais même si on en entend beaucoup parler, peu de gens savent comment ces outils fonctionnent réellement… et surtout, quels sont les risques qu’ils peuvent poser dans une pratique comme la vôtre. 

• Cette chronique vise à vous expliquer simplement : 
• comment fonctionnent ces outils ; 
• où vont les données fournies à l’IA ; 
• quels sont les risques réels ; 
• et comment les utiliser de façon responsable et conforme. 

Comment fonctionne vraiment une IA générative ? 

Contrairement à Google, qui vous donne une liste de liens, ces outils vous répondent directement, en langage naturel. Vous pouvez leur poser une question complexe, leur soumettre un texte pour le faire traduire ou un sujet pour qu'ils rédigent un document, voire leur demander d'extraire les données d’un tableau existant. 

Ces outils analysent ce que vous leur donnez, comprennent le contexte et construisent une réponse. C’est ce qu’on appelle une IA conversationnelle. 

Selon la version utilisée (gratuite ou professionnelle), certaines de vos informations peuvent être temporairement retenues. Par exemple, si vous avez activé cette fonction, ChatGPT Plus peut garder en mémoire certains éléments d’une session à l’autre. Dans Copilot, l’outil s’appuie sur ce qui est présent dans votre environnement Microsoft 365, sans toutefois conserver vos données de façon autonome. 

Cette puissance est utile… mais elle vient avec des responsabilités. 

Où vont vos données et pourquoi cela peut poser problème ? 

Lorsque vous utilisez l’IA, les données que vous soumettez sont traitées à l’extérieur de votre ordinateur, souvent sur des serveurs situés aux États-Unis ou ailleurs.

Or, dès qu’une donnée sort de votre environnement local, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25), au Québec, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), au Canada, s’appliquent. 

Ces lois vous obligent à : 

• protéger les renseignements personnels ; 
• savoir où les données sont hébergées ; 
• évaluer si l’environnement externe est sécuritaire ; 
• obtenir un consentement éclairé du client ; 
• et, dans certains cas, réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) avant de traiter des données sensibles avec une technologie comme l’IA. 

Le simple fait de copier-coller un numéro d’assurance sociale (NAS), un numéro de contrat ou un rapport client dans un outil comme ChatGPT, sans anonymisation, peut vous mettre en infraction, et ce, même si votre intention est bonne. 

Le risque n’est pas que « dans le cloud » : il est aussi chez vous 

La plupart des conseillers pensent que le danger vient de l’extérieur. En réalité, la première source de fuite est souvent votre propre environnement Microsoft 365. 

Copilot, par exemple, peut accéder à tout ce à quoi vous avez accès : vos fichiers Word, vos courriels, vos feuilles Excel, vos notes OneNote, vos rendez-vous Outlook, etc. 

Il ne lit pas dans vos pensées... mais il lit dans vos fichiers. 

Donc si un document confidentiel est mal classé, ou si un dossier est partagé sans restriction, Copilot pourrait le faire ressortir sans que vous le demandiez explicitement. Une adjointe qui tape « montre-moi les dossiers clients » pourrait faire apparaître des informations sensibles. Pas parce que l’outil a mal agi, mais parce que vous avez mal configuré les accès. 

Ce que dit la loi : responsabilité pleine et entière 

En tant que professionnel financier indépendant, vous avez les mêmes droits que les grandes institutions : vous pouvez gérer vos propres clients, générer un revenu important et bâtir une pratique à votre image. Mais cela vient avec une responsabilité équivalente. Si les institutions investissent des centaines de millions par année en cybersécurité, il est raisonnable de vous attendre à investir un minimum — en temps, en outils et en rigueur — pour protéger vos données. 

La LPRPDE vient renforcer cette exigence au niveau fédéral, en imposant des principes comme la transparence, la conservation limitée, le consentement éclairé et le droit d’accès. 

Et attention : même si vous utilisez un outil réputé, la responsabilité vous revient. Le client ne poursuivra pas OpenAI ou Microsoft. Il se tournera vers vous. 

Comment utiliser l’IA de façon responsable ? 

Je vous propose quelques règles simples à suivre dans votre pratique. 

1. Ne collez jamais de renseignements personnels (NAS, numéros de compte, objectifs financiers, etc.) dans vos requêtes. 
2. Anonymisez toujours vos cas : utilisez plutôt « client A », « contrat B », etc. 
3. Vérifiez régulièrement les accès dans votre environnement Microsoft 365 (p. ex. : SharePoint, OneDrive, groupes partagés) pour vous assurer qu’ils sont appropriés. 
4. Formez votre équipe, y compris votre adjointe ou votre adjoint, sur les bons réflexes à adopter. 
5. Établissez une politique claire d’utilisation de l’IA, incluant ce que l’outil peut ou ne peut pas faire, et qui peut l’utiliser. 
6. Vérifiez l’emplacement d’hébergement de vos données. Le Canada est idéal; sinon, informez clairement le client si c’est à l’extérieur. 

Une attention particulière doit aussi être portée aux outils d’enregistrement ou de transcription automatisée des rencontres. Plusieurs solutions peu coûteuses semblent attrayantes, mais leur conformité à la Loi 25 est souvent insuffisante. L’absence d’hébergement au Canada, le manque de consentement explicite, ou la duplication automatique des données peuvent poser des risques importants. 

Rappelez-vous : dans ce domaine, ce qui justifie le coût, c’est la sécurité. Un outil fiable inclura des mécanismes de chiffrement, des accès contrôlés et une traçabilité complète. Autant d’éléments qui protègent vos clients… et votre responsabilité. 

Vous utilisez déjà une IA dans vos rencontres? Savez-vous où vos données sont hébergées? Avez-vous documenté le consentement de vos clients? Avez-vous fait une évaluation des facteurs relatifs à la vie privée? Ces questions méritent réflexion. 

Votre environnement est-il à risque ? 

Pour le savoir, quelques tests sont faciles à faire. En voici trois exemples. 

• Posez à Copilot une question comme : « quels sont mes fichiers sensibles? » ou « que sais-tu sur mes clients? ». Si une réponse explicite apparaît, vos accès sont trop larges. 
• Demandez à votre adjointe ou à un collègue d’ouvrir un fichier confidentiel, sans lien partagé. Si cette personne peut y accéder, revoyez la structure. 
• Imaginez que vous êtes pressé : seriez-vous tenté de copier-coller un vrai formulaire client dans ChatGPT pour le faire résumer? Si oui, vos réflexes doivent être révisés. 

Que faire si c’est trop tard ? 

Si vous réalisez que des données confidentielles ont été envoyées dans une IA ou qu’un accès trop large existe dans votre environnement, vous devrez poser quelques gestes.

1. Révoquez ou limitez immédiatement l’accès aux fichiers sensibles (sur OneDrive, SharePoint ou vos dossiers internes). 
2. Consultez votre responsable de la protection des renseignements personnels ou un conseiller juridique, surtout si des données client ont été exposées. 
3. Documentez ce qui s’est passé : qui a fait quoi, quand, et avec quel outil. 
4. Surveillez les comptes concernés pour détecter tout usage abusif. 
5. Évaluez si une déclaration doit être faite à la Commission d’accès à l’information (CAI), l’organisme québécois chargé de faire respecter la Loi 25. Cette déclaration est requise si la fuite porte sur des renseignements personnels et présente un risque de préjudice sérieux pour le client. 

En conclusion, l’IA peut être votre alliée, mais seulement si vous la comprenez 

Elle peut réellement améliorer votre efficacité, clarifier vos communications et accélérer vos tâches répétitives. En revanche, elle ne fait pas le tri à votre place, ne devine pas vos intentions et ne vous protège pas d’une mauvaise configuration. 

Utilisée intelligemment, l’IA est un levier. Utilisée sans rigueur, elle devient un risque. 

Prenez le temps de comprendre l’outil, formez vos employés ou votre entourage au travail, encadrez vos accès et assurez-vous de toujours garder le contrôle.