Nouvelle ébauche de la Ligne directrice B-10 du BSIF sur la gestion du risque lié aux tiers

Le 27 avril 2022, le Bureau du surintendant des institutions financières (le « BSIF »), l’organisme de réglementation des institutions financières fédérales au Canada, a publié la nouvelle ébauche très attendue de la Ligne directrice sur la gestion du risque lié aux tiers (B-10) (le « projet de ligne directrice »). Le projet de ligne directrice devrait remplacer la Ligne directrice B-10 actuelle intitulée Impartition d’activités, de fonctions et de méthodes commerciales, publiée pour la première fois en 2001 et modifiée la dernière fois en 2009. Le projet de ligne directrice énonce les attentes du BSIF envers les institutions financières fédérales au Canada (les « IFF ») quant à la gestion du risque lié aux tiers et vise à renforcer l’adoption des pratiques exemplaires au sein du secteur en matière de conclusion de contrats avec des tiers. Il tient par ailleurs compte d’un ensemble plus complet de risques afin de mieux représenter l’écosystème actuel de tiers auxquels les IFF ont recours, lequel est en pleine expansion.

Les succursales de banques étrangères et les succursales de sociétés d’assurance étrangères exerçant des activités au Canada ne sont pas visées par le projet de ligne directrice, mais elles demeurent assujetties aux exigences relatives aux ententes d’impartition énoncées dans la Ligne directrice E-4 du BSIF, comme il est expliqué plus en détail ci-après.

La portée du projet de ligne directrice est beaucoup plus vaste que celle de la version actuelle de la Ligne directrice B-10, notamment parce qu’il redéfinit les attentes du BSIF en ce qui a trait à la gestion du risque que comportent la plupart des ententes avec des tiers, plutôt que de cibler les ententes d’impartition importantes. En effet, dans le projet de ligne directrice, les définitions d’« entente avec un tiers » et de « risque lié aux tiers » sont larges, et seules de rares exceptions y échappent. C’est le cas des ententes conclues par les IFF avec leurs clients, qui sont exclues. En revanche, les ententes de service conclues par des IFF avec des sociétés affiliées sont incluses dans la nouvelle définition d’« entente avec un tiers ». Celles-ci seraient donc assujetties aux exigences du projet de ligne directrice, en plus d’être soumises aux règles sur les opérations avec apparentés prévues dans la législation.

Le BSIF précise que le projet de ligne directrice ne vise pas à nuire de quelconque façon à la mise en place par le gouvernement fédéral d’un système bancaire ouvert, lequel, selon lui, régira « la mobilité des données des consommateurs au sein du secteur financier », reprenant la terminologie récemment proposée par le Comité consultatif fédéral sur le système bancaire ouvert. Une fois que le cadre aura été établi, le BSIF signale qu’il pourrait fournir des consignes pertinentes au besoin.

Le projet de ligne directrice, dans sa version modifiée et mise à jour, s’aligne en partie sur les conclusions formulées dans le rapport intitulé Comment renforcer la gestion du risque lié aux tiers publié par le BSIF en 2019, sur les considérations soulevées dans le document de travail sur le risque lié aux technologies publié par le BSIF en 2020, ainsi que sur les commentaires fournis par les intervenants du secteur concernant le projet de ligne directrice, Gestion du risque lié aux technologies et du cyberrisque (la « Ligne directrice B-13 ») présenté par le BSIF.

Si le projet de ligne directrice est adopté dans sa forme actuelle, les institutions financières devront réévaluer leur approche en ce qui concerne la gestion de leurs relations avec un large éventail de tiers, notamment sur le plan de la conclusion de contrats.

Le projet de ligne directrice introduit un certain nombre de changements à la version actuelle de la Ligne directrice B-10 du BSIF. Il s’attarde notamment davantage aux programmes de gouvernance et de gestion des risques. Il fixe également des attentes axées sur des résultats et fondées sur des principes en ce qui a trait à la gestion du risque lié aux tiers, quoique plusieurs exigences demeurent plutôt prescriptives. Le projet de ligne directrice élargit le champ d’application de la Ligne directrice B-10 afin d’englober une plus grande variété d’ententes avec des tiers (au-delà de la simple impartition) et tient compte d’un plus grand nombre de risques (tels que l’importance relative et le risque de concentration). Le BSIF actualise par ailleurs la liste des modalités à inclure dans les ententes avec des tiers et donne des indications sur les contrats types. Enfin, plus important encore, le projet de ligne directrice modifie le critère de l’importance relative établi dans la version actuelle de la Ligne directrice B-10 de façon à l’inscrire dans une démarche axée sur le risque.

Le présent bulletin souligne quelques-unes des principales exigences du projet de ligne directrice.

GOUVERNANCE

Le projet de ligne directrice accorde une importance accrue à la gouvernance efficace des ententes avec des tiers. Le BSIF s’attend à ce que les IFF établissement des structures de gouvernance et de responsabilité claires, et à ce qu’elles élaborent des stratégies et des cadres exhaustifs de gestion du risque pour contribuer, en continu, à la résilience opérationnelle et financière.

L’IFF est l’ultime responsable de l’ensemble des activités, fonctions et services qui sont impartis à des tiers et de la gestion des risques liés aux ententes et aux interactions avec ceux‑ci. Ainsi, le BSIF s’attend à ce que les IFF établissent un cadre de gestion du risque lié aux tiers à l’échelle de l’entreprise qui définit clairement les rôles, les responsabilités, les politiques et les processus permettant de recenser, de gérer, d’atténuer, de surveiller et de communiquer les risques liés au recours à des tiers. Le projet de ligne directrice présente par ailleurs les éléments clés d’un cadre de gestion du risque lié aux tiers. Les IFF devraient envisager d’évaluer leurs programmes de gestion des fournisseurs en fonction des nouvelles exigences en matière de gouvernance énoncées dans le projet de ligne directrice afin de déceler toute lacune importante et d’y remédier.

GESTION ET ATTÉNUATION DU RISQUE LIÉ AUX TIERS

Le BSIF s’attend à ce qu’aux termes du cadre de gestion du risque lié aux tiers d’une IFF :

• l’IFF détermine et évalue les risques posés par les tiers;

• l’IFF gère et atténue les risques posés par les tiers conformément à son cadre de gestion de la propension à prendre des risques;

• le rendement des tiers fasse l’objet d’une évaluation et d’un suivi en continu; les risques et incidents étant traités de façon anticipée.

En adoptant une démarche axée sur le risque, le BSIF souhaite que les IFF gèrent le risque lié aux tiers d’une manière qui soit proportionnelle au niveau de risque et de complexité que comportent leurs relations avec des tiers, d’où le nouveau critère d’« importance relative » introduit par le projet de ligne directrice, lequel renvoie à l’incidence potentielle d’une entente conclue avec un tiers sur le profil de risque, les opérations, la stratégie ou la situation financière de l’IFF.

Le BSIF s’attend en effet à ce que les IFF évaluent le risque et l’importance relative de toute entente avec un tiers tout au long de son cycle de vie. Les IFF devraient donc effectuer de telles évaluations avant de conclure l’entente avec le tiers, régulièrement tout au long du cycle de vie de l’entente et chaque fois qu’il y a un changement important dans l’entente. Les IFF devraient par ailleurs effectuer un examen de diligence raisonnable avant de conclure des ententes avec des tiers, et continuer d’en mener par la suite selon le niveau de risque et l’importance relative de l’entente.

Le BSIF relève plusieurs facteurs clés que les IFF devraient prendre en considération au moment d’évaluer le risque et l’importance relative d’une entente avec un tiers, notamment le recours à des sous-traitants par le tiers, la capacité de l’IFF à évaluer les mesures de contrôle chez le tiers, la possibilité de remplacer le tiers, la santé financière du tiers et tout autre risque pertinent lié au recours au tiers. Le projet de ligne directrice donne en outre des indications détaillées quant aux ententes de sous-traitance.

Comme c’est le cas dans la Ligne directrice B-10 actuelle, aux termes du projet de ligne directrice, les IFF devraient encadrer leurs ententes avec des tiers par un contrat écrit. L’Annexe 2 du projet de ligne directrice contient une liste non exhaustive de dispositions que les IFF devraient inclure dans des ententes avec des tiers. Cette liste reprend en très grande partie les éléments prescrits dans la Ligne directrice B-10 actuelle, mais certains changements y sont apportés.

Le BSIF s’attend à ce que les IFF assurent le suivi de leurs ententes avec des tiers afin de vérifier la capacité de ces derniers à continuer de respecter leurs obligations et à gérer les risques de façon efficace. Plus important encore, le projet de ligne directrice soutient que l’IFF et le tiers devraient chacun mettre en place des processus documentés pour déceler les incidents, enquêter à leur sujet et prendre des mesures correctives efficaces, si ces incidents peuvent se répercuter sur la capacité du tiers à fournir les biens ou les services prévus au contrat.

Le projet de ligne directrice maintient l’exigence selon laquelle une entente avec un tiers doit donner à l’IFF et au BSIF le droit d’évaluer les pratiques du tiers, notamment en nommant des auditeurs, et renferme des dispositions plus détaillées relativement aux audits à prévoir dans les ententes avec des tiers. Les IFF devraient particulièrement s’assurer que leurs ententes écrites avec des tiers renferment les dispositions voulues pour permettre à l’IFF de s’acquitter de ses vastes obligations de déclaration en vertu du préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité, qui exige le signalement de tout incident lié à la technologie et à la cybersécurité.

Dans le projet de ligne directrice, le BSIF reconnaît que certaines ententes avec des tiers ne peuvent être encadrées par un contrat sur mesure. Le cas échéant, le BSIF s’attend tout de même à ce que les IFF aient un programme de gestion du risque lié aux tiers qui est proportionnel au niveau de risque et à l’importance relative de la relation avec le tiers. Le projet de ligne directrice établit également des attentes concernant les ententes qui peuvent intervenir entre des IFF et des auditeurs externes, ces attentes sont similaires à celles formulées dans la version actuelle de la Ligne directrice B-10.

Il est précisé dans le projet de ligne directrice que les attentes mentionnées précédemment constituent des attentes minimales pour ce qui est des ententes avec des tiers importantes et celles qui comportent un risque élevé pour les IFF.

RISQUE LIÉ AUX TECHNOLOGIES ET CYBERRISQUE DÉCOULANT DES ENTENTES AVEC DES TIERS

Compte tenu des facteurs de vulnérabilité accrus que présentent le risque lié aux technologies et le cyberrisque, la dernière section du projet de ligne directrice établit les attentes supplémentaires du BSIF en ce qui a trait à la manière dont ces types de risque devraient être pris en compte dans les ententes qui interviennent entre des IFF et des tiers. Reconnaissant la place de plus en plus importante occupée par les services infonuagiques et la nécessité de créer des exigences propres à ceux-ci, le BSIF s’attend à ce que les IFF prennent en considération la transférabilité du nuage au moment d’élaborer des ententes avec des tiers, dans le but de veiller à une adoption planifiée et stratégique de cette technologie, et de permettre d’optimiser l’interopérabilité, tout en respectant la propension déclarée de l’IFF à prendre des risques.

SUCCURSALES ÉTRANGÈRES

Les succursales de banques étrangères et les succursales de sociétés d’assurance étrangères exerçant des activités au Canada (les « succursales ») ne sont pas visées par le projet de ligne directrice, contrairement à la version actuelle de la Ligne directrice B-10, qui contient des dispositions visant spécialement les ententes d’impartition pouvant intervenir entre une succursale et son établissement principal ou les membres du même groupe qu’elle. Il convient toutefois de signaler que la nouvelle Ligne directrice E-4, Entités étrangères exploitant une succursale au Canada du BSIF, qui est entrée en vigueur au début de 2022, stipule que dans les cas où l’établissement principal de l’entité étrangère exécute des fonctions importantes pour le compte de la succursale, directement ou par le biais de ses propres ententes d’impartition, le BSIF s’attend à ce que la direction de la succursale documente ces ententes. Dans une note de bas de page, le BSIF déclare que cette documentation devrait intégrer les éléments d’un contrat de services décrits dans la Ligne directrice B-10. Sous réserve d’autres indications par le BSIF, un contrat de service signé par une succursale et son établissement principal pourrait donc malgré tout devoir inclure les nouveaux éléments liés aux ententes avec des tiers établis à l’Annexe 2 du projet de ligne directrice.

PROCHAINES ÉTAPES

La période de consultation sur le projet de ligne directrice se termine le 27 juillet 2022. Le BSIF entend publier la version mise à jour définitive de la ligne directrice au cours de l’automne 2022.

Pour en savoir davantage, communiquez avec :

Annick Demers           514-982-4017
David Feldman           416-863-4021
Robert Percival           416-863-5297
Robert Tremblay        416-863-3304
Paul Belanger             416-863-4284
Vladimir Shatiryan     416-863-4154

ou un autre membre de nos groupes Technologie ou Services financiers.