Le 25 avril 2023, le Bureau du surintendant des institutions financières (BSIF) a publié une version révisée de sa ligne directrice B-10 sur la gestion du risque lié aux tiers (la ligne directrice).
Le BSIF a affirmé qu’à compter du 1er mai 2024, les ententes avec des tiers conclues par les institutions financières fédérales (IFF) (à savoir les banques, les sociétés d’assurances fédérales, les sociétés de fiducie et les associations coopératives de crédit) doivent respecter la ligne directrice. Dans le cas des ententes conclues avant cette date, elles devraient être révisées et modifiées dans les meilleurs délais afin de satisfaire aux exigences de la ligne directrice dès la date d’entrée en vigueur du 1er mai 2024 ou le plus tôt possible par la suite.
Portée élargie par rapport à la version précédente de la ligne directrice B-10, axée principalement sur l’impartition
Alors que la version précédente de la ligne directrice B-10 visait principalement les ententes d’impartition, la nouvelle ligne directrice a une portée beaucoup plus large et couvre de façon générale les ententes commerciales et stratégiques avec des tiers. Ainsi, la ligne directrice s’applique désormais aux ententes conclues avec les courtiers et les entreprises de services publics et couvre aussi les services de paiement, de compensation et de règlement ainsi que les services fournis par les sociétés de portefeuille mères, les sociétés affiliées et les filiales1.
De plus, la ligne directrice précise qu’elle s’applique aux relations des IFF avec des tiers, que l’IFF soit ou non partie à une entente et qu’il y ait ou non un contrat écrit.
Par conséquent, la ligne directrice ne cible plus exclusivement le risque lié à l’impartition et s’applique de manière générale à toutes les ententes externes qui comportent un risque lié aux tiers. Le risque lié aux tiers est défini de manière générale comme le risque susceptible de mettre en jeu la résilience opérationnelle et financière ou la réputation de l’IFF par suite du fait qu’un tiers ne fournit pas convenablement les biens, les activités commerciales, les fonctions et les services, ne protège pas adéquatement les données ou les systèmes ou expose autrement l’IFF à des conséquences défavorables dans le cadre de ses activités.
Plutôt que d’exiger l’utilisation de dispositions contractuelles pour gérer les risques, la nouvelle ligne directrice met l’accent sur la gouvernance et sur les programmes de gestion du risque dans le cadre de la gestion des ententes avec des tiers et du risque connexe.
Elle précise que l’IFF demeure responsable de l’ensemble des activités, des fonctions et des services commerciaux impartis à un tiers et de la gestion du risque découlant de tous les types d’ententes avec des tiers. À ces fins, elle exige que l’IFF établisse un cadre de gestion du risque qui s’applique à l’échelle de l’entreprise et qui définit clairement les responsabilités, les fonctions, les politiques et les processus permettant de recenser, de gérer, d’atténuer, de surveiller et de communiquer les risques liés au recours à des tiers.
La ligne directrice énonce en toutes lettres que le BSIF s’attend à ce que l’IFF fasse preuve de diligence raisonnable avant de conclure un contrat avec un tiers, et en continu par la suite, notamment dans le cas des ententes critiques et de celles qui présentent un risque élevé. Dans le cadre de ce contrôle, l’IFF devrait tenir compte de facteurs clés comme l’expérience du tiers, sa solidité financière et sa conformité aux lois et règlements, le risque d’atteinte à la réputation qui est associé à la relation avec ce tiers, ses programmes de gestion du risque, sa gestion du risque lié aux technologies et du cyberrisque, ses plans de continuité des activités, le risque de concentration qu’il présente, son emplacement géographique et sa couverture d’assurance.
Le cadre de gestion du risque qui s’applique à l’échelle de l’entreprise devra définir clairement les responsabilités, les politiques et les processus qui permettront de recenser, de surveiller et de gérer le risque lié aux tiers.
Chose intéressante, la ligne directrice prévoit explicitement désormais que lorsqu’un tiers est soumis à la réglementation ou à la surveillance du gouvernement, l’IFF peut en tenir compte dans son évaluation du risque. Cette possibilité pourrait être pertinente, par exemple, dans le cas d’une IFF traitant avec des institutions financières provinciales.
Exigences et résultats
La ligne directrice énonce des résultats fondamentaux que les IFF doivent chercher à atteindre ainsi que différents principes directeurs généraux applicables à cet égard. En résumé, les résultats visés couvrent la gouvernance, la gestion du risque lié aux tiers, les ententes spéciales ainsi que le risque lié aux technologies et le cyberrisque que présentent les ententes avec les tiers. Ces obligations, les résultats attendus et les principes qui les sous-tendent imposent un certain nombre d’exigences aux IFF, dont les suivantes :
- établir un cadre exhaustif et efficace de gestion du risque lié aux tiers, dans lequel les structures de gouvernance et de responsabilité sont claires, afin de gérer les risques liés à l’impartition;
- établir des processus assurant un contrôle de diligence raisonnable approprié et proportionnel au niveau de risque avant la conclusion de toute entente avec un tiers et le recours à des tiers fournisseurs de services, et de façon continue par la suite;
- surveiller le risque et le rendement des tiers fournisseurs de services et gérer les risques pendant toute la durée de l’entente avec le tiers, y compris les risques liés à la sous-traitance;
- si possible, conclure avec les tiers des ententes claires et exhaustives qui énoncent les droits, les responsabilités et les obligations de chacune des parties, les cadres de gestion du risque, les processus de gestion des incidents ainsi que de sortie ou de résiliation et qui auront été révisées par le conseiller juridique de l’IFF. Dans le cas des ententes avec des tiers qui ne peuvent être encadrées par un contrat sur mesure ou pour lesquelles aucun contrat ou accord officiel n’existe, l’IFF devra tout de même prendre des mesures pour gérer le risque s’y rapportant;
- établir des processus de gestion et de déclaration des incidents ainsi que des stratégies d’urgence et de sortie, notamment en ce qui a trait à la transférabilité nuagique (ou à l’absence de transférabilité nuagique) en cas de sortie des services nuagiques;
- créer des ententes spéciales à l’égard des opérations critiques assujetties à des ententes avec des tiers et mettre en œuvre un cadre précis de gestion des risques couvrant les contrats d’adhésion imposés par des tiers et les risques qu’ils comportent;
- établir des mécanismes de contrôle du risque lié aux technologies et du cyberrisque dans le cadre de la surveillance des cyberactivités menées par des tiers pour veiller à ce qu’elles soient transparentes, fiables et sécurisées;
- élaborer des exigences propres à l’infonuagique pour veiller à une adoption planifiée et stratégique de cette technologie.
Ententes avec des tiers assujetties à la ligne directrice
La ligne directrice définit une entente avec un tiers comme toute entente commerciale ou stratégique entre l’IFF ou les IFF et une ou plusieurs entités ou personnes, par contrat ou autrement (à l’exclusion des ententes avec les clients des IFF et des contrats d’emploi)2.
La définition couvre les ententes d’impartition, les services infonuagiques et d’autres types d’accords commerciaux dans le cadre desquels un tiers fournit des services à l’IFF ou assure le maintien de fonctions pour elle. L’application de la ligne directrice repose d’abord et avant tout sur la détermination du type et du niveau de risque découlant de chaque entente avec un tiers, y compris les ententes de sous-traitance, de façon que l’IFF puisse gérer chaque entente en question de manière proportionnelle conformément aux exigences de la ligne directrice.
Réponse du BSIF aux commentaires reçus dans le cadre de la consultation
En réponse aux commentaires reçus pendant la consultation qu’il a tenue au sujet de la ligne directrice, le BSIF a apporté plusieurs changements au texte final de celle-ci. Voici quelques points saillants des commentaires :
- Portée : les parties consultées ont exprimé des préoccupations au sujet de la grande portée de la ligne directrice, qui était susceptible de s’appliquer à certaines ententes qui n’étaient pas nécessairement visées. La version finale conserve une définition large de l’entente avec un tiers, mais précise clairement désormais que les contrats d’emploi sont exclus, ainsi que les ententes avec les clients des IFF (p. ex., les déposants et les titulaires de polices).
- Sous-traitants3:
- Risque de concentration4: Les parties consultées ont souligné qu’il est difficile d’imposer les exigences de la ligne directrice aux sous-traitants. Cependant, le BSIF a répondu que les IFF sont tenues de gérer les risques liés à la sous-traitance et s’attend à ce qu’elles mènent des activités de surveillance même lorsqu’elles ont recours à des sous-traitants.
- Période de transition: Les parties consultées ont demandé une période de transition pour mettre en œuvre les nouvelles exigences et le BSIF a répondu en prévoyant une période de transition de deux ans (1er mai 2024). À cet égard, le BSIF a indiqué qu’il s’attend à ce que les ententes avec des tiers qui prennent effet à compter de la date d’entrée en vigueur de la ligne directrice respectent celle-ci, tandis que celles qui ont été établies avant devraient être révisées et modifiées dans les meilleurs délais afin de cadrer avec les exigences de la ligne directrice le 1er mai 2024 ou le plus tôt possible par la suite.
Dans la version finale de la ligne directrice, le BSIF a également donné des indications supplémentaires sur ses attentes concernant les dispositions que les IFF devraient inclure dans des ententes critiques et à risque élevé conclues avec des tiers, notamment des dispositions couvrant les aspects essentiels de la relation entre les parties, comme les rôles, l’établissement des frais, les mesures de rendement, la propriété d’actifs, la sécurité, les avis à l’IFF au sujet de certains événements, les mécanismes de règlement des différends, l’obligation de respecter toutes les exigences réglementaires applicables, la continuité des activités de l’entreprise, la résiliation, les assurances et la gestion des risques
Si vous désirez en savoir plus au sujet de la ligne directrice ou que vous avez des questions sur les conséquences de son application pour les activités de votre entreprise, veuillez communiquer avec l’un ou l’autre des auteurs ou des principales personnes-ressources dont le nom figure ci-dessous.
1 Les ententes avec les clients des IFF et les contrats d’emploi sont exclus.
2 Les succursales de banques étrangères et de sociétés d’assurances étrangères sont exclues de la portée de la ligne directrice. Les attentes du BSIF à l’égard de ces succursales sont énoncées dans la ligne directrice E-4 : Entités étrangères exploitant une succursale au Canada.
3 La ligne directrice définit le « sous-traitant » comme une « entité faisant partie de la chaîne contractuelle, des accords externes ou de la chaîne d’approvisionnement du tiers ».
4 Selon la ligne directrice, « le risque de concentration revêt deux formes. Le risque de concentration propre à l’institution s’entend du risque de perte ou de préjudice pour l’IFF résultant du recours excessif à un seul tiers, sous-traitant ou territoire pour de multiples activités. Le risque de concentration systémique découle du fait de concentrer la prestation de services à plusieurs IFF sur un tiers ou un territoire ».
5 Voir l’annexe 2 de la ligne directrice, qui présente une liste non exhaustive des sujets sur lesquels devraient porter les dispositions à inclure dans les ententes avec des tiers : Nature et portée de l’entente, Rôles et responsabilités, Recours à des sous-traitants, Établissement des frais, Mesures de rendement, Propriété et accès, Sécurité des documents et des données, Avis à l’IFF, Règlement des différends, Conformité à la réglementation, Continuité des activités et reprise après sinistre, Défaut et résiliation, Assurance et Gestion prudente des risques.