Gouvernance du risque de modélisation pour les institutions financières
Collectif D'auteurs
2025-11-14 11:15:53
Le 11 septembre 2025, le Bureau du surintendant des institutions financières (« BSIF ») a publié sa Ligne directrice E-23 –Gestion du risque de modélisation (2027) (« ligne directrice E-23 »), qui entrera en vigueur le 1ᵉʳ mai 2027. La ligne directrice E-23 est inspirée de la ligne directrice Gestion du risque de modélisation à l’échelle de l’entreprise dans les institutions de dépôts, publiée en 2017, qui s’applique aux modèles utilisés par les institutions de dépôts (autres que les succursales de banques étrangères).
En revanche, celle publiée en 2025 s’appliquera à tous les modèles qui comportent un risque pour les institutions, tant pour celles de dépôts que pour les sociétés d’assurance fédérales (« SAF »), y compris les succursales (collectivement, les « IFF »). La ligne directrice E-23 ne s’appliquera pas aux régimes de retraite fédéraux.
La publication de la version révisée de la ligne directrice E-23 et l’élargissement de sa portée témoignent du fait que le BSIF reconnaît que la numérisation et l’utilisation de modèles sont en croissance rapide dans le secteur des services financiers, ce qui est amplifié par l’essor des modèles d’intelligence artificielle et d’apprentissage automatique (« IA/AA »). Les IFF se fient de plus en plus à des modèles pour appuyer leur prise de décisions dans des secteurs d’activité qui, traditionnellement, n’avaient pas recours à la modélisation.
La ligne directrice E-23 du BSIF vise à ce que les IFF puissent gérer de manière responsable les risques inhérents à l’utilisation de modèles (pertes financières, conséquences juridiques et atteinte à la réputation, par exemple) en adoptant des pratiques efficaces de gestion du risque de modélisation (« GRM ») à l’échelle de l’entreprise.
Cette ligne directrice énonce trois résultats attendus en la matière, examinés ci-dessous.
Résultat attendu nº 1 : Le risque de modélisation est bien compris et bien géré dans l’ensemble de l’entreprise
Pour assurer l’efficacité de la GRM dans l’ensemble de l’institution, la haute direction est responsable de définir des rôles, des responsabilités et des attentes de façon claire. Elle doit aussi veiller à affecter un personnel qualifié possédant les compétences nécessaires et faire en sorte que le risque de modélisation soit bien communiqué au conseil d’administration et fasse l’objet de rapports clairs.
La ligne directrice E-23 souligne l’importance d’adopter une approche pluridisciplinaire de la GRM, notamment par la collaboration entre différents secteurs d’expertise de l’organisation et, le cas échéant, la participation de professionnels du droit et de l’éthique.
Le cadre de GRM doit correspondre à la propension à prendre des risques de l’IFF et s’inscrire dans le cadre de gestion du risque et de gouvernance plus large, comme il est indiqué dans la ligne directrice Gouvernance d’entreprise du BSIF. Lorsque les modèles proviennent de sources externes, comme des bureaux étrangers ou des tiers fournisseurs, les IFF doivent appliquer la ligne directrice B-10 du BSIF sur la gestion du risque lié aux tiers afin d’assurer une surveillance et une responsabilisation adéquates.
Résultat attendu nº 2 : Le risque de modélisation est géré selon une approche fondée sur le risque
La ligne directrice E-23 adopte une approche fondée sur le risque, de sorte que les attentes du BSIF sont modulées en fonction de la taille de l’IFF, de sa stratégie, de son profil de risque, de la nature et de la complexité de ses activités ainsi que de son degré d’interdépendance.
Le BSIF décrit les trois principales composantes d’une approche de GRM fondée sur le risque :
Recensement des modèles– Les IFF doivent dresser l’inventaire de tous les modèles dont le risque inhérent est jugé non négligeable. Les institutions doivent disposer de processus bien définis pour recenser tous les modèles en usage ou récemment mis hors service et en effectuer le suivi.
Cote de risque de modélisation– Chaque modèle doit se voir attribuer une cote en fonction de son risque inhérent, déterminé selon des facteurs qualitatifs et quantitatifs. Les modèles qui présentent un risque inhérent négligeable peuvent être exemptés des exigences de gouvernance durant l’ensemble de leur cycle de vie. Les modèles développés à l’externe doivent faire l’objet d’une évaluation distincte avant de se voir attribuer une cote de risque de modélisation.
Rigueur des activités de gestion du risque– La portée, l’échelle et la rigueur des activités de GRM doivent être à la mesure de la cote du risque inhérent du modèle. La cote de risque doit dicter la fréquence et la rigueur de validation et de suivi du modèle, les exigences documentaires, le niveau de responsabilité requis pour approuver le modèle, les limites quant à l’utilisation de celui-ci et les contrôles requis pour réduire le risque de modélisation résiduel.
Résultat attendu nº 3 : La gouvernance des modèles englobe l’ensemble du cycle de vie de ceux-ci
Les IFF devraient gérer le risque de modélisation tout au long du cycle de vie d’un modèle, de sa conception et son développement à son déploiement, son suivi et, éventuellement, sa mise hors service.
Conception et raison d’être des modèles: Chaque modèle doit avoir une raison d’être claire et un objectif commercial précis. Pour les modèles utilisant l’IA ou l’AA, des facteurs supplémentaires doivent être pris en compte. Parmi ceux-ci, les exigences en matière de transparence et d’explicabilité, la nécessité de mettre en place d’autres mécanismes de contrôle et la possibilité que le modèle génère des résultats biaisés, ait des répercussions sociales et éthiques néfastes ou engendre un risque d’atteinte à la vie privée.
Données afférentes aux modèles : Puisque les conséquences de données erronées sont importantes, surtout dans le cas des modèles d’IA et d’AA, les IFF doivent établir des normes concernant la collecte et le stockage des données utilisées dans les modèles, et l’accès à celles-ci, afin de s’assurer qu’elles sont exactes, utiles, représentatives, conformes et traçables.
Développement, validation, approbation et déploiement des modèles: Les IFF doivent établir des normes de pratique pour la consignation des caractéristiques des modèles, le recours au jugement des experts, les tests effectués par les développeurs, l’explicabilité et la performance des modèles ainsi que la manière dont les données de sortie sont utilisées et déclarées. Les modèles doivent également passer par un processus de validation indépendant visant à vérifier qu’ils fonctionnent comme prévu et qu’ils sont adaptés à leur objectif.
Les approbations doivent être obtenues au moins 1) avant la mise en œuvre d’un changement dans les modèles et 2) à la suite de validations périodiques. Les modèles doivent être mis en service dans un environnement encadré par des processus de contrôle de la qualité et des changements, en particulier les modèles d’IA et d’AA qui peuvent dépendre de multiples composantes, de sources de données diverses et dynamiques, et d’éléments de tiers.
Suivi et mise hors service des modèles: Les modèles doivent faire l’objet d’un suivi continu pour qu’ils demeurent adaptés à leur objectif et que soient détectés les problèmes de performance ou les manquements. Ceux qui ne sont plus adaptés à l’usage prévu doivent être mis hors service au moyen d’un processus structuré qui comprend les faits d’informer les intervenants concernés, de conserver le modèle mis hors service à titre de référence ou de solution de rechange, de déterminer les mesures supplémentaires à prendre pour la mise hors service de tout modèle de tiers et de surveiller les effets en aval afin de réduire au minimum les répercussions résiduelles.
Ligne directrice sur la gestion du risque de modèle de l’AMF
Au Québec, l’Autorité des marchés financiers (« AMF ») a publié avec effet immédiat, en juin 2025, la Ligne directrice sur la gestion du risque de modèle, qui s’applique aux assureurs autorisés, aux coopératives de services financiers, aux sociétés de fiducie autorisées et aux institutions de dépôts autorisées.
La ligne directrice de l’AMF est largement harmonisée avec la ligne directrice E-23, en particulier en ce qui concerne la gouvernance, la gestion du cycle de vie des modèles et l’application proportionnelle des mécanismes de contrôle en fonction de la complexité des modèles. Cependant, le BSIF va plus loin en traitant explicitement des modèles d’IA et d’AA ainsi qu’en détaillant ses attentes quant aux équipes pluridisciplinaires et aux preuves de conformité. Les assureurs assujettis à ces deux lignes directrices devront comparer les exigences et se plier à la norme la plus stricte pour veiller à l’entière conformité des modèles.
Points principaux à retenir
La ligne directrice E-23 reconnaît que les modèles, surtout ceux alimentés par l’IA et l’AA, peuvent offrir des avantages importants tout en précisant que sans une gestion adéquate, ils présentent des risques considérables.
Les IFF doivent commencer à se préparer à la mise en œuvre de la ligne directrice E-23 en examinant leurs inventaires de modèles, leurs structures de gouvernance et leurs pratiques de validation actuels. Dorénavant, le BSIF s’attend à ce que les institutions démontrent qu’elles comprennent les risques de leurs modèles, que des mécanismes de contrôle proportionnels à ces risques ont été mis en œuvre et que leurs cadres de gouvernance favorisent la transparence, l’explicabilité et l’utilisation éthique des modèles.
Ces attentes seront particulièrement importantes pour les SAF qui n’étaient pas assujetties à des lignes directrices précises sur le risque de modélisation, même si l’utilisation de modèles pour évaluer les conséquences d’événements incertains, par exemple, est depuis longtemps essentielle à leur réussite.
À propos des auteurs
Darcy Ammerman est associée chez McMillan.
Simon Paransky est associé en litige chez McMillan.
Delina Wen est avocate chez McMillan.
Maya Hyun Jee Élie est stagiaire en droit chez McMillan.
