Écrit par Ruth Promislow, Simon Grant, Matt Flynn and Vanessa Kiraly

Les fintechs et les autres entités qui concluent des contrats avec des institutions financières fédérales (IFF) devraient être conscientes de la possibilité d’exigences plus strictes en matière de gestion des risques dans leurs arrangements commerciaux à la suite d’une consultation publique par le Bureau du surintendant des institutions financières (BSIF).

Le BSIF a récemment tenu une consultation publique sur la révision de la Guideline B-10: Third-Party Risk Management (la ligne directrice proposée). La ligne directrice proposée serait plus complète que sa formulation actuelle, Guideline B-10: Outsourcing of Business Activities, Functions and Processes (la ligne directrice existante), pour répondre à ce que le BSIF considère comme de nouveaux risques de tiers découlant d’un écosystème de tiers plus moderne, complexe et élargi sur lequel les IFF s’appuient.

Bien que la ligne directrice proposée lierait les IFF plutôt que les partenaires tiers, il y a plusieurs points clés à retenir que les partenaires tiers (et les IFF eux-mêmes) devraient prendre en compte pour évaluer l’incidence que la ligne directrice proposée aurait sur leurs arrangements actuels et futurs. 

La ligne directrice proposée ne s’appliquerait pas aux succursales de banques étrangères ou aux succursales de compagnies d’assurance étrangères, qui sont assujetties à Guideline E-4: Foreign Entities Operating in Canada on a Branch Basis.

Pourquoi le BSIF révise-t-il la ligne directrice B-10?

Les IFF comptent beaucoup sur les ententes avec des tiers tout au long de leurs activités. L’avancement rapide des technologies a mené à une expansion correspondante de l’écosystème tiers que les IFF utilisent. Cependant, les écosystèmes tiers comportent des risques pour les IFF (liés à la gestion des données et à la cybersécurité). La préoccupation soulevée par le BSIF est que certains de ces risques pourraient ne pas être traités adéquatement par la ligne directrice actuelle.

La ligne directrice proposée s’appuie sur Étude sur les risques de tiers de 2019 du BSIF, les commentaires de le document de travail sur les risques technologiques de 2020 du BSIF, la réponse du secteur à l’ébauche du BSIF Technology and Cyber Risk Management (ligne directrice B-13) et les travaux continus du BSIF en matière de surveillance et de politiques.

Risques associés aux ententes avec des tiers

La ligne directrice proposée traiterait de deux grandes catégories de « risques » liés aux ententes avec des tiers.

• Risque lié à un tiers : Le BSIF indique qu’il s’agit du risque pour la santé opérationnelle et financière d’une IFF découlant du non-respect de ses engagements par un tiers (par exemple en omettant de fournir des biens ou des services, en ne protégeant pas les systèmes de données ou en ne réalisant pas d’activités conformément à l’entente). Les risques liés à des tiers pourraient également découler de l’insolvabilité d’un tiers, de risques politiques ou juridiques, de risques découlant de l’interconnexion de plusieurs tiers et de plusieurs IFF ou de la perte de données ou de violations de données.
• Risque de concentration : Le BSIF indique qu’il s’agit de la perte ou du préjudice subi par une IFF ou l’ensemble du système financier qui peut découler d’une dépendance excessive à l’égard de seulement quelques tiers fournisseurs ou d’un tiers fournisseur géographiquement concentré. Le risque de concentration expose l’IFF à des risques de substituabilité (p. ex., lorsque le tiers n’est pas facilement remplaçable) et à un risque plus élevé de perturbation à la suite d’événements externes localisés comme de mauvaises conditions économiques ou des catastrophes naturelles.
• Criticité : Le BSIF a déterminé qu’il s’agit du degré d’incidence qu’une entente avec un tiers aurait sur les activités, la situation financière ou la réputation d’une IFF. Un arrangement « essentiel » avec un tiers est un arrangement dans le cadre de laquelle le tiers remplit une fonction ou un service essentiel dans le cadre de l’exploitation de l’IFF. La criticité peut être considérée comme un continuum dans lequel plus un tiers est critique envers l’IFF, plus l’impact de l’IFF peut être grave. Par conséquent, le BSIF exige que les stratégies d’évaluation et d’atténuation des risques soient mises en œuvre proportionnellement à la criticité d’une entente particulière avec un tiers.

Principaux points à retenir

Élargissement de ce qui constitue un « arrangement avec un tiers »

La ligne directrice proposée s’appliquerait à une portée plus large d’ententes avec des tiers que la ligne directrice existante, qui ne s’applique qu’aux ententes d’impartition traditionnelles (p. ex., la gestion des services administratifs, les ressources humaines et les services professionnels comme la comptabilité). La ligne directrice proposée élargirait le concept d'« entente avec un tiers » pour inclure toute entente commerciale ou stratégique conclue par une IFF avec un tiers en vertu d’un contrat écrit ou autrement (qui comprend maintenant les fournisseurs de services infonuagiques, les entreprises de technologie et les technologies financières). À la suite de ce changement, un plus grand nombre d’entités tierces et de relations avec des tiers seraient assujetties à la compétence du BSIF en vertu de la ligne directrice proposée.

Une saine gouvernance

La ligne directrice proposée mettrait l’accent sur l’établissement de solides programmes de gouvernance interne et de gestion des risques, car les IFF sont responsables de toutes les activités opérationnelles qu’elles sous-traitent à des tiers et, par conséquent, une IFF devrait établir un cadre de gestion des risques par des tiers (CGGRT) avec des obligations redditionnelles, des responsabilités, des politiques et des processus clairs pour gérer les risques liés aux tiers. La ligne directrice proposée fournit une liste non exhaustive d’éléments pour aider les IFF à préparer leur propre FMRTC.

Programme de gestion des risques par des tiers

La ligne directrice proposée remplacerait l’approche binaire existante en matière d’évaluation des risques (impartition « importante » par rapport à l’impartition « non importante ») par une approche fondée sur les risques dans laquelle le BSIF s’attend à ce que les IFF gèrent les risques de tiers d’une manière proportionnelle au niveau de risque et à la complexité de l’écosystème de tiers d’une IFF. Le concept de « criticité » décrit ci-dessus est un facteur clé qui influe sur la nature et la fréquence des activités de gestion des risques (comme l’évaluation des risques, l’atténuation, la surveillance, la mesure et la production de rapports).

La ligne directrice proposée prescrirait qu’une IFF évalue les risques et la criticité associés à chaque entente avec un tiers (i) avant de conclure, (ii) régulièrement tout au long du cycle de vie de l’entente (proportionnée au niveau de risque et de criticité) et (iii) chaque fois qu’il y a un changement important. Lorsqu’elle envisage d’ententes avec des tiers situés à l’extérieur du Canada (ou des tiers canadiens ayant des sous-traitants importants situés à l’extérieur du Canada), on s’attendrait à ce que l’IFF accorde une attention particulière aux éléments suivants : les exigences juridiques des administrations pertinentes; et les risques politiques, juridiques, sécuritaires, économiques, environnementaux, sociaux et autres potentiels qui peuvent entraver la capacité du tiers à fournir des services.

Selon la ligne directrice proposée, les facteurs suivants devraient être pris en compte par une IFF lors de l’évaluation des risques et de la criticité :

• le recours à des sous-traitants par le tiers;
• la possibilité de perte ou de préjudice pour l’IFF dans l’éventualité où le tiers ou le sous-traitant important ne répondrait pas aux attentes, en raison d’une interruption de service, d’une panne, d’une atteinte à la cybersécurité ou pour toute autre raison;
• la capacité de l’IFF d’évaluer les contrôles au tiers et de continuer à satisfaire aux exigences réglementaires et légales à l’égard des activités exécutées par le tiers, particulièrement en cas de perturbation;
• la substituabilité du tiers, y compris la transférabilité et la rapidité d’un transfert de services;
• l’incidence potentielle sur les activités commerciales si l’IFF devait se retirer de l’entente avec un tiers et faire la transition vers un autre fournisseur de services ou amener l’activité commerciale à l’interne;
• la santé financière du tiers et le risque potentiel de « mise en place », en vertu duquel l’IFF est tenue de fournir un soutien financier au tiers ou de prendre en charge les activités du tiers;
• le degré de dépendance ou de concentration de l’IFF ou de l’industrie à l’égard du tiers; et
• tout autre risque financier et non financier pertinent associé à l’utilisation du tiers.

Gestion de la chaîne d’approvisionnement

La ligne directrice proposée exigerait que les IFF tiennent compte de la gestion de la chaîne d’approvisionnement dans l’évaluation et l’atténuation des risques. En particulier, les IFF devraient évaluer, gérer et surveiller les risques liés aux ententes de sous-traitance conclues par des tiers, y compris l’incidence de ces ententes sur le risque de concentration. L’évaluation des risques d’une IFF devrait comprendre les facteurs de risque liés aux pratiques de sous-traitance des tiers avec qui elle s’associe, y compris la dépendance du tiers à l’égard des sous-traitants et la capacité des sous-traitants de respecter les normes de rendement et les exigences légales et réglementaires. Les stratégies d’atténuation comprennent l’utilisation de dispositions contractuelles pour interdire le recours à des sous-traitants pour certaines fonctions, l’exigence que l’IFF soit informée de l’utilisation ou du changement de sous-traitants et, enfin, la réserve de droits à l’IFF pour refuser et vérifier les sous-traitants.

Surveillance et établissement de rapports

La ligne directrice proposée exigerait que l’IFF surveille ses ententes avec des tiers afin de vérifier la capacité du tiers de continuer à respecter ses obligations et à gérer les risques.

En ce qui concerne la gestion et le signalement des incidents, la ligne directrice proposée élargirait cette exigence comme suit :

• le tiers devrait avoir des processus de gestion des incidents clairement définis;
• les exigences en matière de déclaration et de notification des incidents du tiers devraient appuyer la conformité des IFF aux exigences du BSIF en matière de déclaration des incidents;
• le tiers devrait établir des processus internes de gestion des incidents; et
• l’IFF devrait demander au tiers d’effectuer une analyse des causes profondes et de communiquer les résultats de tout incident correspondant à la gravité ou à l’incidence potentielle de l’incident sur l’IFF. Les mesures correctives devraient être surveillées par l’IFF.

Documents électroniques, données et considérations technologiques

Tenue de dossiers électroniques

Le BSIF s’attend à ce que les tierces contreparties et les IFF établissent et maintiennent des mesures appropriées tout au long de la durée de l’entente avec des tiers afin de protéger la confidentialité, l’intégrité et la disponibilité des documents et des données en attribuant adéquatement les responsabilités par contrat. Plus précisément, les ententes avec des tiers devraient établir :

• la portée des dossiers et des données à protéger;
• la disponibilité des documents et l’accès en temps opportun aux données par l’IFF et le BSIF, sur demande;
• les contrôles et la surveillance de l’utilisation par le tiers des systèmes et de l’information de l’IFF;
• des responsabilités claires de chaque partie dans la gestion de la sécurité des données;
• quelle partie est responsable de toute perte qui pourrait résulter d’une atteinte à la sécurité; et
• les exigences en matière de notification en cas d’atteinte à la sécurité.

Les ententes devraient également exiger que les données et les dossiers pertinents de l’IFF soient isolés de ceux des autres clients en tout temps, y compris pendant le processus de transfert et dans des conditions défavorables (p. ex. interruption des services). Les tiers sont tenus de conserver les données et les dossiers assujettis à la même norme de protection que celles détenues par les IFF.

Le BSIF s’attend à ce que les dossiers électroniques des documents devant être conservés en vertu de la loi soient accessibles et intelligibles sans encourir de coûts supplémentaires et en utilisant des applications commerciales facilement accessibles. Si ces documents sont sous forme électronique (sous réserve de certaines exceptions pour les IFF étrangères ou les succursales étrangères des IFF canadiennes), des copies complètes doivent être conservées sur un serveur informatique situé physiquement au siège social de l’IFF concerné ou à un autre endroit au Canada (si le BSIF a été avisé de cet endroit). Par conséquent, il peut être difficile pour les IFF d’impartir les obligations en matière de tenue de documents à des tiers.

Technologie et cyberrisques dans les ententes avec des tiers

La ligne directrice proposée exigerait que les IFF établissent des rôles et des responsabilités clairs qui s’appliquent à chaque partie (y compris les tiers), et établiraient également des processus pour s’assurer que les tiers ayant des niveaux élevés de technologie et de cyberrisques se conforment aux normes de l’IFF ou aux normes reconnues de l’industrie pour atténuer les risques.

En adoptant les services d’informatique en nuage, le BSIF recommande que les IFF établissent des exigences en matière de sécurité et de contrôle des données propres à l’infonuagique qui optimisent l’interopérabilité tout en fonctionnant dans le cadre de la propension à prendre des risques déclarée par l’IFF. Par exemple, les systèmes d’infonuagique devraient être mis en œuvre de manière planifiée et stratégique, par exemple au moyen de conceptions multi-infonuagiques pour renforcer la résilience et atténuer le risque de concentration des fournisseurs de services infonuagiques.

Prochaines étapes

Le BSIF prévoit publier la version finale de la ligne directrice proposée à l’automne 2022, en même temps qu’un résumé des commentaires reçus. Le BSIF a déclaré que la ligne directrice proposée ne vise pas à entraver l’établissement d’un cadre approuvé par le gouvernement fédéral pour régir la mobilité des données dirigée par les consommateurs et il indique qu’un tel cadre sera probablement proposé à l’avenir.

Comment Bennett Jones peut vous aider

Le Bennett Jones Financial Services and Cybersecurity teams are available to answer any questions you may have and advice on compliance programs and contractual arrangements.

Le Bennett Jones technology transactions team possède une vaste expérience de l’aide aux clients dans la structuration, la rédaction et la négociation d’accords commerciaux conformes à la ligne directrice B-10 du BSIF. L’équipe est disponible pour vous aider à évaluer les répercussions de la ligne directrice proposée sur votre offre de services et à vous aider à réoutiller vos ententes commerciales existantes ou à conclure de nouvelles ententes afin de respecter la forme finale de la ligne directrice proposée.

Télécharger le PDF