Le BSFI publie la version définitive de la ligne directrice B‑10 sur les ententes entre IFF et tiers

Le BSFI publie la version définitive de la ligne directrice B‑10 sur les ententes entre IFF et tiers

Le 24 avril 2023, le Bureau du surintendant des institutions financières (le « BSIF ») a publié la version définitive de sa Ligne directrice sur la gestion du risque lié aux tiers (la « ligne directrice »), qui entrera en vigueur le 1^er mai 2024. La ligne directrice vise à gérer les risques qui découlent des ententes avec des tiers et s’applique à toutes les institutions financières fédérales (« IFF »), à l’exclusion des succursales de banques et de sociétés d’assurance étrangères (qui sont assujetties à des exigences d’impartition prévues dans la ligne directrice E-4). Parmi les résultats et principes qu’il énonce dans la ligne directrice, le BSIF demande aux IFF d’évaluer le risque et la criticité des ententes qu’elles concluent avec des tiers pour déterminer dans quelle mesure chacun des principes s’applique. En avril 2022, le BSIF a publié une version provisoire de la « nouvelle » ligne directrice B-10, qui a fait l’objet d’une période de consultation. Il a depuis précisé le champ d’application et la portée de l’évaluation du risque que les IFF doivent réaliser. Par ailleurs, il insiste maintenant encore plus sur l’utilisation d’une démarche axée sur le risque et apporte des précisions sur des attentes qui étaient un peu floues dans la version provisoire.

Gouvernance

Les IFF sont responsables de la gestion du risque découlant des ententes avec des tiers, même en cas de sous-traitance. Il incombe à la haute direction d’une IFF de s’assurer que les activités, les fonctions et les services des tiers respectent les lois, les politiques et les procédures applicables. La ligne directrice appelle aussi les IFF à établir un cadre de gestion du risque lié aux tiers (un « cadre ») permettant de recenser, de gérer, d’atténuer, de surveiller et de communiquer les risques associés au recours aux tiers. Le cadre doit pouvoir s’adapter à chaque entente et refléter la propension au risque de l’IFF.

Gestion du risque lié aux tiers

Le BSIF souligne qu’il faut déterminer les risques et la criticité de chaque entente avec un tiers et évaluer les risques avant sa conclusion et pendant sa durée. Les IFF doivent évaluer leurs ententes avec des tiers régulièrement, en portant une attention plus fréquente et plus rigoureuse à celles qui présentent un risque et une criticité plus élevés. L’obligation de recenser, de surveiller et de gérer les risques s’applique même lorsque les tiers concluent des accords de sous-traitance. La ligne directrice énonce aussi les critères pour les évaluations de la criticité, ainsi que des facteurs à prendre en compte dans l’évaluation du risque lié au tiers. Pour les ententes conclues avec des étrangers, les IFF doivent notamment analyser les risques d’ordre juridique, politique, économique et social.

Les IFF doivent aussi effectuer un contrôle de diligence raisonnable proportionnel au niveau de risque et de criticité de l’entente avant de la conclure, puis de façon continue par la suite. Le BSIF demande aux IFF d’encadrer leurs ententes avec des tiers par des accords écrits qui définissent les droits et les responsabilités de chaque partie. Il a prévu certaines dispositions qui doivent obligatoirement être insérées dans les accords critiques et à risque élevé.

Les IFF doivent établir et maintenir des mesures appropriées pour gérer l’accès aux documents et aux données et protéger leur confidentialité et leur intégrité. Les ententes avec des tiers ne doivent pas nuire aux obligations de signalement des IFF découlant du préavis du BSIF intitulé Signalement des incidents liés à la technologie et à la cybersécurité.

Les IFF ne doivent pas non plus oublier les exigences en matière de tenue de documents prévues par la Loi sur les banques, la Loi sur les sociétés d’assurances et la Loi sur les sociétés de fiducie et de prêt (collectivement, les « lois régissant les IFF »).

Les documents visés doivent être mis à jour et exacts à la fin de chaque jour ouvrable. Le BSIF maintient l’exigence que les documents électroniques puissent être reproduits sous une forme écrite dans un délai raisonnable. Toutefois, pour certaines catégories de renseignements, comme les accords de réassurance ou les dossiers sur des activités complexes, il se peut que les « originaux signés » doivent être mis à la disposition du BSIF à sa demande. Les IFF doivent conserver des exemplaires des documents à leur siège social ou à tout autre endroit au Canada que leurs administrateurs jugent approprié. Si les documents sont sous forme électronique, des exemplaires complets doivent être conservés sur un serveur situé aux endroits prévus par les lois régissant les IFF.

Les IFF doivent, aux termes de leurs ententes avec des tiers, être en mesure d’obtenir de l’information exacte et complète. Elles en ont besoin pour évaluer le risque, et pour réaliser un audit du tiers qui confirme que son rendement et sa gestion des risques sont satisfaisants. Les IFF doivent aussi s’assurer qu’un mécanisme de signalement adéquat est en place, c’est-à-dire que le tiers a des procédures pour repérer les incidents, mener enquête sur ceux-ci et les signaler aux IFF.

Les ententes avec les tiers doivent obliger ces derniers à signaler en temps utile toute situation ayant une incidence importante sur les risques et donner le droit à l’IFF et au BSIF d’évaluer les pratiques de gestion du risque en vigueur ou de demander à un auditeur de le faire. Elles doivent aussi prévoir un soutien en cas de perturbation pour assurer la continuité des services. Les IFF doivent prévoir des stratégies d’urgence et de sortie leur permettant de poursuivre leurs activités sans interruption si elles doivent mettre fin à une entente avec un tiers.

Ententes spéciales

La ligne directrice prévoit aussi des procédures pour la conclusion de contrats d’adhésion avec des tiers. Que l’entente soit couchée par écrit ou non, l’IFF doit recourir à son programme de gestion du risque lié aux tiers pour étudier la relation et les risques. L’IFF qui retient les services d’un auditeur externe doit s’assurer qu’il est indépendant et s’abstenir d’obtenir des services actuariels ou d’audit interne auprès de lui.

Risque lié aux technologies et cyberrisque découlant des ententes avec des tiers

Les IFF doivent prévoir des mesures de contrôle pour gérer les risques technologiques et les cyberrisques découlant de leurs ententes avec des tiers. Les tiers qui présentent des niveaux élevés de risque à cet égard doivent respecter les normes de l’IFF en matière d’atténuation. Des exigences propres à l’infonuagique doivent être établies pour optimiser les activités tout en atténuant les risques. Elles doivent être accompagnées d’une gouvernance efficace qui permet de surveiller l’utilisation de cette technologie et d’assurer sa conformité.

par Darcy Ammerman et Shaniel Lewis (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2023