Nouvelle ligne directrice B-10 du BSIF sur la gestion du risque lié aux tiers

Le 24 avril 2023, le Bureau du surintendant des institutions financières (le « BSIF »), soit l’organisme de réglementation des institutions financières fédérales au Canada, a publié la nouvelle Ligne directrice sur la gestion du risque lié aux tiers (B-10) (la « nouvelle ligne directrice B-10 »). La publication tant attendue de cette dernière fait suite à la publication d’un projet de ligne directrice le 27 avril 2022 et à une période de consultation subséquente. Vous trouverez ci-après un résumé des principales modifications apportées au projet de ligne directrice.

La nouvelle ligne directrice B-10 remplacera la version actuelle de la ligne directrice B-10 du BSIF, intitulée Impartition d’activités, de fonctions et de méthodes commerciales, laquelle a été publiée pour la première fois en 2001 et modifiée la dernière fois en 2009. Elle énonce les attentes du BSIF envers les institutions financières fédérales au Canada (les « IFF ») quant à la gestion du risque lié aux tiers et vise à renforcer l’adoption des pratiques exemplaires au sein du secteur des services financiers en matière de conclusion de contrats avec des tiers. Par rapport à la version actuelle de la ligne directrice B-10, cette nouvelle version tient compte d’un ensemble plus complet de risques afin de mieux représenter l’écosystème de tiers auxquels les IFF ont actuellement recours, lequel est en pleine expansion.

Aux termes de la nouvelle ligne directrice B-10, les institutions financières devront réévaluer leur approche en ce qui concerne la gestion de leurs relations avec un large éventail de tiers, notamment sur le plan de la conclusion de contrats. 

La nouvelle ligne directrice B-10 introduit un certain nombre de changements à la version actuelle. Elle s’attarde notamment davantage aux programmes de gouvernance et de gestion des risques. Elle fixe également des attentes axées sur des résultats et fondées sur des principes en ce qui a trait à la gestion du risque lié aux tiers, quoique plusieurs exigences demeurent plutôt normatives. La nouvelle ligne directrice B-10 élargit le champ d’application de la version actuelle afin d’englober une plus grande variété d’ententes avec des tiers (au-delà de la simple impartition). De plus, elle tient compte d’un plus grand nombre de risques (tels que l’importance relative et le risque de concentration) et fournit des consignes au sujet des contrats d’adhésion.

À noter, la nouvelle directive B-10 remplace le seuil d’importance relative actuel relatif à l’applicabilité par une démarche axée sur le risque. Elle précise également que le risque et la criticité doivent être pris en compte pour déterminer le degré de rigueur à appliquer quant aux attentes énoncées dans la nouvelle ligne directrice B-10. Cette dernière prescrit aussi des attentes plus rigoureuses à l’égard des ententes critiques et à risque élevé conclues avec des tiers. Finalement, elle comporte une liste mise à jour de dispositions contractuelles minimales et de considérations en matière de diligence raisonnable pour de telles ententes.

La nouvelle ligne directrice B-10 s’aligne en partie sur les conclusions formulées dans le rapport intitulé Comment renforcer la gestion du risque lié aux tiers (publié par le BSIF en 2019), les considérations soulevées dans le document de travail sur le risque lié aux technologies publié par le BSIF en 2020, les commentaires fournis par les intervenants du secteur concernant le projet de ligne directrice, Gestion du risque lié aux technologies et du cyberrisque (la « ligne directrice B-13 ») présenté par le BSIF, ainsi qu’une version antérieure du projet de ligne directrice B-10.

Date d’entrée en vigueur

La nouvelle ligne directrice B-10 entrera en vigueur le 1^er mai 2024. Le BSIF indique que cette période de transition a pour but de donner aux IFF suffisamment de temps pour évaluer leur situation et mettre en place des programmes de gestion du risque lié aux tiers conformes aux nouvelles exigences de la ligne directrice.

Les ententes avec des tiers qui prendront effet le 1^er mai 2024 ou après cette date devront être conformes à toutes les sections applicables de la nouvelle ligne directrice B-10. À noter, il est attendu que les IFF passent en revue et mettent à jour les ententes existantes conclues avant cette date à la prochaine date de renouvellement ou de révision afin de respecter les attentes de la nouvelle ligne directrice B-10 d’ici son entrée en vigueur ou dès que possible par la suite.

Portée

La portée de la nouvelle ligne directrice B-10 est beaucoup plus vaste que celle de la version actuelle, notamment parce qu’elle redéfinit les attentes du BSIF en ce qui a trait à la gestion du risque que comportent la plupart des ententes avec des tiers, plutôt que de cibler les ententes d’impartition importantes. En effet, dans la nouvelle ligne directrice B-10, la définition d’« entente avec un tiers » est large, et seules de rares exceptions y échappent. C’est le cas des ententes conclues par les IFF avec leurs clients ou employés, qui sont exclues. En revanche, les ententes de service conclues par des IFF avec des « sociétés affiliées » (soit des membres de leur groupe) sont incluses dans la nouvelle définition d’« entente avec un tiers ». Celles-ci seraient donc assujetties aux exigences de la nouvelle ligne directrice B-10, en plus d’être soumises aux règles sur les opérations avec apparentés prévues dans la législation.

Les succursales de banques étrangères et les succursales de sociétés d’assurance étrangères exerçant des activités au Canada ne sont pas visées par la nouvelle ligne directrice B-10, mais elles demeurent assujetties aux exigences relatives aux ententes d’impartition énoncées dans la ligne directrice E-4 du BSIF, comme il est expliqué plus en détail ci-après.

Le BSIF précise également que la nouvelle ligne directrice B-10 ne vise pas à nuire de quelconque façon à la mise en place par le gouvernement fédéral d’un système bancaire ouvert, lequel, selon lui, régira « la mobilité des données des consommateurs au sein du secteur financier », reprenant la terminologie récemment proposée par le Comité consultatif fédéral sur le système bancaire ouvert. Une fois que ce cadre aura été établi, le BSIF signale qu’il pourrait fournir des consignes pertinentes au besoin.

Gouvernance

La nouvelle ligne directrice B-10 accorde une importance accrue à la gouvernance efficace des ententes avec des tiers. Le BSIF s’attend à ce que les IFF établissent des structures de gouvernance et de responsabilité claires, et à ce qu’elles élaborent des stratégies et des cadres exhaustifs de gestion du risque pour contribuer, en continu, à la résilience opérationnelle et financière.

L’IFF est l’ultime responsable de l’ensemble des activités, fonctions et services qui sont impartis à des tiers et de la gestion des risques liés aux ententes et aux interactions avec ceux‑ci. Ainsi, le BSIF s’attend à ce que les IFF établissent un cadre de gestion du risque lié aux tiers à l’échelle de l’entreprise qui définit clairement les rôles, les responsabilités, les politiques et les processus permettant de recenser, de gérer, d’atténuer, de surveiller et de communiquer les risques liés au recours à des tiers. La nouvelle ligne directrice B-10 présente par ailleurs les éléments clés d’un cadre de gestion du risque lié aux tiers. Les IFF devraient envisager d’évaluer leurs programmes de gestion des fournisseurs en fonction des nouvelles exigences en matière de gouvernance énoncées dans la nouvelle ligne directrice B-10 afin de déceler toute lacune importante et d’y remédier.

Gestion et atténuation du risque lié aux tiers

Le BSIF s’attend à ce qu’aux termes du cadre de gestion du risque lié aux tiers d’une IFF :

• l’IFF détermine et évalue les risques posés par les tiers;

• l’IFF gère et atténue les risques posés par les tiers conformément à son cadre de gestion de la propension à prendre des risques;

• le rendement des tiers fasse l’objet d’une évaluation et d’un suivi; les risques et incidents étant traités de façon anticipée. 

En adoptant une démarche axée sur le risque, le BSIF s’attend à ce que l’IFF gère le risque lié aux tiers d’une manière proportionnelle au niveau de risque et à la complexité de l’écosystème des tiers auxquels elle a recours, d’où le concept de « criticité », tel qu’il est introduit et défini dans la nouvelle ligne directrice B-10. La criticité dénote l’importance pour les activités, la stratégie, la situation financière ou la réputation de l’IFF et souligne les répercussions d’un événement générateur de risque sans égard à la probabilité d’occurrence.

Le BSIF s’attend à ce que les IFF évaluent le risque et la criticité de toute entente avec un tiers tout au long de son cycle de vie. Les IFF devront donc effectuer de telles évaluations avant de conclure l’entente avec le tiers, régulièrement tout au long du cycle de vie de l’entente (à une fréquence appropriée et selon une portée qui témoigne de la criticité de l’entente) et chaque fois qu’il y a un changement important dans l’entente. Le contrôle de diligence raisonnable devant être effectué par l’IFF à l’égard d’une entente avec un tiers doit être proportionnel au niveau évalué de risque et de criticité de cette entente. Le BSIF note aussi que, s’il y a lieu, l’IFF doit tenir un répertoire des tiers selon le niveau de risque et de criticité.

Le BSIF relève plusieurs facteurs clés que les IFF devraient prendre en considération au moment déterminer le niveau de risque et la criticité. Ces facteurs comprennent notamment la probabilité que le tiers ou ses sous-traitants ne puissent répondre aux attentes en raison de leur insolvabilité ou de l’interruption de leurs activités, le recours à des sous-traitants par le tiers, la capacité de l’IFF à évaluer les mesures de contrôle chez le tiers, la possibilité de remplacer le tiers, la santé financière du tiers et tout autre risque pertinent lié au recours au tiers. La nouvelle ligne directrice B-10 donne en outre des indications détaillées quant aux ententes de sous-traitance.

Comme c’est le cas dans la version actuelle de la ligne directrice B-10, aux termes de la nouvelle ligne directrice B-10, il est attendu généralement que les IFF encadrent leurs ententes avec des tiers par un contrat écrit. L’Annexe 2 de la nouvelle ligne directrice B‑10 contient une liste non exhaustive de dispositions que les IFF devraient inclure dans des ententes critiques et à risque élevé conclues avec des tiers. Cette liste reprend en très grande partie les dispositions contractuelles prescrites dans la version actuelle de la ligne directrice B-10, mais certains changements lui ont été apportés. Le corps de la nouvelle ligne directrice B-10 comporte des consignes à l’égard des dispositions contractuelles attendues et doit être pris en compte conjointement avec l’Annexe 2 pour déterminer si une entente est conforme à cette ligne directrice (et pour préparer toute liste de vérification connexe liée à des contrats). Dans le cadre de telles vérifications, l’IFF devrait également prendre connaissance de la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque et du préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité, lesquels comportent des dispositions pouvant être pertinentes pour les ententes avec des tiers.

Le BSIF s’attend également à ce que les IFF assurent le suivi de leurs ententes avec des tiers afin de vérifier la capacité de ces derniers à continuer de respecter leurs obligations et à gérer les risques de façon efficace. Aux termes de la nouvelle ligne directrice B-10, l’IFF et le tiers devront chacun mettre en place des processus documentés pour déceler les incidents, enquêter à leur sujet et prendre des mesures correctives efficaces, si ces incidents peuvent se répercuter sur la capacité du tiers à fournir les biens ou les services prévus au contrat. À noter, les IFF devront s’assurer que leurs ententes avec des tiers renferment les dispositions voulues pour permettre à l’IFF de s’acquitter de ses vastes obligations de déclaration en vertu du préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité, lequel exige le signalement de tout incident lié à la technologie et à la cybersécurité.

La nouvelle ligne directrice B-10 maintient l’exigence selon laquelle une entente avec un tiers doit donner à l’IFF et au BSIF le droit d’évaluer les pratiques du tiers, notamment en nommant des auditeurs, et renferme des dispositions plus détaillées relativement aux audits à prévoir dans les ententes avec des tiers.

Dans la nouvelle ligne directrice B-10, le BSIF reconnaît que certaines ententes avec des tiers ne peuvent être encadrées par un contrat sur mesure. Dans ces situations, le BSIF s’attend toujours à ce que le programme de gestion du risque lié aux tiers de l’IFF porte sur ces relations et, le cas échéant, à ce que l’IFF accepte les risques que comportent de tels contrats d’adhésion.

La nouvelle ligne directrice B-10 établit également des attentes concernant les ententes qui peuvent intervenir entre des IFF et des auditeurs externes, ces attentes étant similaires à celles formulées dans la version actuelle de la ligne directrice B-10.

Il est précisé dans la nouvelle ligne directrice B-10 que les attentes mentionnées précédemment constituent des attentes minimales pour ce qui est des ententes critiques et de celles présentant un risque élevé pour l’IFF.

Risque lié aux technologies et cyberrisque découlant des ententes avec des tiers

Compte tenu des facteurs de vulnérabilité accrus que présentent le risque lié aux technologies et le cyberrisque, la dernière section de la nouvelle ligne directrice B-10 établit les attentes supplémentaires du BSIF en ce qui a trait à la manière dont l’IFF prend en compte ces types de risque dans les ententes qu’elle conclue avec des tiers. Elle précise par ailleurs que les activités liées aux technologies et au cyberrisque menées par des tiers doivent être transparentes, fiables et sécurisées.

Reconnaissant la place de plus en plus importante occupée par les services infonuagiques et la nécessité de créer des exigences propres à ceux-ci, le BSIF s’attend à ce que les IFF prennent en considération la transférabilité du nuage au moment de conclure des ententes avec des tiers (ainsi que des facteurs d’atténuation en l’absence d’une telle transférabilité) et à ce qu’elles veillent à une adoption planifiée et stratégique de cette technologie pour permettre d’optimiser l’interopérabilité, tout en respectant la propension déclarée de l’IFF à prendre des risques.

Succursales étrangères

Les succursales de banques étrangères et les succursales de sociétés d’assurance étrangères exerçant des activités au Canada (les « succursales ») ne sont pas visées par la nouvelle ligne directrice B-10, contrairement à la version actuelle de la ligne directrice B-10, qui comporte des dispositions visant spécialement les ententes d’impartition pouvant intervenir entre une succursale et son établissement principal ou les membres du même groupe qu’elle. Il convient toutefois de signaler que la ligne directrice E-4, Entités étrangères exploitant une succursale au Canada (la « ligne directrice E-4 ») du BSIF, qui est entrée en vigueur en 2022, stipule que dans les cas où l’établissement principal de l’entité étrangère exécute des fonctions importantes pour le compte de la succursale, directement ou par le biais de ses propres ententes d’impartition, le BSIF s’attend à ce que la direction de la succursale documente ces ententes.

Dans une note de bas de page de la ligne directrice E-4, le BSIF précise que cette documentation doit intégrer les éléments d’un contrat de services décrits dans la ligne directrice B-10. Sous réserve d’autres indications par le BSIF, un contrat de service signé par une succursale et son établissement principal pourrait donc malgré tout devoir inclure les nouveaux éléments liés aux ententes avec des tiers établis à l’Annexe 2 de la nouvelle ligne directrice B-10.

Le BSIF a indiqué qu’il révise actuellement la ligne directrice E-4 et qu’il prévoit publier des précisions plus tard cette année afin de s’assurer que les risques liés aux activités au Canada soient gérés conformément aux cadres juridique et réglementaire nationaux. Ces précisions pourraient clarifier l’interaction entre la ligne directrice E-4 et la nouvelle ligne directrice B-10.

Modifications apportées au projet de ligne directrice

Le BSIF indique que la nouvelle ligne directrice B-10 se fonde sur les commentaires qui ont été fournis durant la période de consultation relative au projet de ligne directrice B-10. Les parties consultées ont exhorté le BSIF à préciser la portée de la ligne directrice B-10, à fonder davantage cette dernière sur des principes qui font ressortir l’importance du recours à une démarche axée sur le risque, à répondre aux préoccupations entourant le risque lié à la sous-traitance et le risque de concentration, à établir une période de transition et à aborder le recoupement entre les attentes prévues à la ligne directrice B-10 et celles prévues à d’autres lignes directrices du BSIF.

Une comparaison entre le projet de ligne directrice B-10 et la version définitive de cette dernière indique que des modifications relativement modestes ont été apportées au libellé, mais qu’à certains égards, elles en améliorent le caractère pratique. La nouvelle ligne directrice B-10 vient notamment :

• préciser que le risque et la criticité d’une entente avec des tiers doivent être pris en compte pour déterminer le degré de rigueur à appliquer quant aux attentes énoncées dans la nouvelle ligne directrice B-10;

• accorder une importance accrue à la criticité et préciser que cette dernière peut être utilisée pour adapter les évaluations du risque (comme il est indiqué précédemment, la criticité est définie dans la nouvelle ligne directrice B-10 et se rapporte aux répercussions d’un événement générateur de risque que peut subir une IFF, sans égard à la probabilité d’occurrence);

• clarifier que les facteurs à prendre en compte dans le cadre du contrôle de diligence raisonnable (lesquels sont indiqués à l’annexe 1) et les dispositions des ententes avec des tiers fournies à l’annexe 2 ne s’appliquent qu’aux ententes critiques et à risque élevé, et non à toutes les ententes avec des tiers (ce qui cadre mieux avec la norme d’importance relative prévue à la version de 2009 de la ligne directrice B-10);

• mettre à jour certaines attentes du BSIF relativement aux ententes contractuelles avec des tiers, de sorte qu’elles sont maintenant moins normatives, notamment en ce qui concerne la séparation des données et des dossiers des IFF sous la garde d’un tiers, la planification de stratégies de sortie, ainsi que le droit par l’IFF d’exiger ou de réaliser un audit d’un sous-traitant d’un tiers et d’en obtenir le rapport;

• ajouter certaines autres attentes à l’égard des ententes contractuelles avec des tiers, notamment que l’IFF soit avisée des changements de propriété du tiers, des cas de non-conformité substantielle avec les exigences réglementaires, ou de litiges liés au tiers (annexe 2h);

• définir le concept de l’« acceptation du risque » comme s’entendant d’une décision d’accepter un risque identifié et de ne prendre aucune mesure d’atténuation, additionnelle ou non; le BSIF reconnaît d’ailleurs que l’acceptation du risque peut s’appliquer aux contrats d’adhésion conclus sans négociation, pourvu que le programme de gestion du risque lié aux tiers de l’IFF traite de telles relations;

• préciser qu’il pourrait ne pas être nécessaire de soumettre une entente à faible risque et de courte durée avec un tiers à un examen juridique.

Prochaines étapes pour les IFF

Pour s’assurer de leur conformité à la nouvelle ligne directrice B-10, les IFF devront examiner de nouveau leur approche en ce qui concerne la gestion de leurs relations avec un large éventail de tiers, notamment sur le plan de la conclusion de contrats. Elles devront d’ailleurs passer en revue les ententes existantes qu’elles ont avec des tiers pour s’assurer de leur conformité et, au besoin, les mettre à jour. Dans le cadre de ces démarches, les IFF devraient tenir compte non seulement des attentes prévues à la nouvelle ligne directrice B-10, mais aussi de celles prévues aux lignes directrices et aux préavis qui ont été émis ou mis à jour récemment, et ce, pour déterminer leur conformité envers toute exigence pertinente du BSIF.

Contactez-nous pour en savoir plus

Nos équipes s’emploient à aider nos clients dans le cadre de leurs démarches visant à mettre à jour leurs pratiques contractuelles et leurs ententes avec leurs fournisseurs pour qu’elles soient conformes aux exigences prévues à la nouvelle ligne directrice B-10. Pour obtenir de plus amples renseignements à cet égard, communiquez avec :

Annick Demers            +1-514-982-4017
Sunny Handa               +1-514-982-4008
David Feldman             +1-416-863-4021
Robert Percival            +1-416-863-5297
Robert Tremblay          +1-416-863-3304
Paul Belanger              +1-416-863-4284
Vladimir Shatiryan        +1-416-863-4154

ou un autre membre de nos groupes Technologie ou Réglementation des services financiers.