Le 11 septembre 2025, le Bureau du surintendant des institutions financières du Canada (BSIF) a publié la version définitive de sa ligne directrice E-23 – Gestion du risque de modélisation. Celle-ci entrera en vigueur le 1er mai 2027, soit près de 10 ans après la publication de sa première ébauche. Depuis cette première version, les institutions financières sous réglementation fédérale (IFRF) ont connu une transformation rapide de leurs pratiques, notamment sous l’effet du développement et de l’adoption généralisée de modèles d’intelligence artificielle (IA) et d’apprentissage automatique (AA). La ligne directrice E-23 précise les attentes du BSIF à l’égard de la gestion du risque de modélisation (GRM). Elle reconnaît que les IFRF, y compris les assureurs, s’appuient de plus en plus sur des modèles complexes pour soutenir ou orienter la prise de décision. Dans ce contexte, le BSIF met l’accent sur la nécessité d’une approche intégrée et transversale de la gestion du risque, mobilisant les représentants de toutes les fonctions et de tous les services internes d’une institution.
Au sens de la ligne directrice E-23, un modèle se définit comme l’application de techniques statistiques ou d’hypothèses théoriques, empiriques ou fondées sur un jugement, notamment des méthodes d’intelligence artificielle (IA) et d’apprentissage automatique (AA), qui traite des données d’entrée pour générer des résultats. Un modèle comporte habituellement trois volets distincts : i) les données d’entrée, qui peuvent aussi comprendre les hypothèses pertinentes; ii) le traitement, qui permet d’établir des liens entre les données d’entrée; et iii) les résultats, qui permettent de présenter les données de sortie dans un format utile et pertinent pour les secteurs d’activité et les fonctions de contrôle. Les IFRF doivent donc évaluer soigneusement l’ensemble des outils et systèmes qu’elles utilisent pour déterminer si chacun d’eux constitue effectivement un « modèle ».
L’évaluation du risque de modélisation vise à cerner et atténuer le risque de perte financière ou opérationnelle découlant de la conception, du développement, du déploiement ou de l’utilisation d’un modèle. Même après la mise en place de contrôles et de processus robustes, un risque résiduel peut subsister — ce que la ligne directrice E-23 reconnaît expressément.
Le BSIF identifie trois résultats essentiels à une gestion efficace du risque de modélisation :
Le BSIF s’attend à ce que la haute direction et les intervenants de modèle comprennent l’utilisation prévue du modèle, ses limites et les conséquences potentielles de son utilisation pour l’entreprise. Les intervenants de modèle comprennent nécessairement les responsables, les développeurs, les chargés de validation, les approbateurs, ainsi que l’équipe juridique et la fonction de conformité de l’IFRF.
Pour répondre à ces attentes, les IFRF doivent se doter d’une gouvernance claire. Celle-ci doit définir précisément les rôles et responsabilités liés à la gestion du risque de modélisation et s’appuyer sur des ressources adéquates. Compte tenu de la complexité croissante des technologies avancées que les IFRF peuvent adopter pour accomplir des tâches, analyser des risques ou appuyer la prise de décision, la gestion du risque de modélisation requiert une collaboration interdisciplinaire à l’échelle de l’entreprise, notamment des expertises techniques, juridiques, éthiques et opérationnelles.
Chaque IFRF est appelée à mettre en place un cadre de gestion du risque de modélisation qui comprend des processus structurés pour cerner, évaluer, gérer et surveiller le risque de modélisation, et en rendre compte. Ce cadre doit être aligné sur les objectifs stratégiques et la tolérance au risque de l’institution. De plus, l’évaluation des objectifs commerciaux associés à chaque modèle doit être continue : un modèle qui répondait initialement aux besoins de l’organisation peut, avec le temps, ne plus être adapté à son objectif.
Le BSIF s’attend à ce que chaque IFRF tienne un inventaire complet, à jour et exact de tous les modèles présentant un risque significatif pour l’organisation. Les renseignements que l’IFRF doit à tout le moins tenir pour chaque modèle sont énoncés à l’annexe 1 de la ligne directrice E-23. Une cote de risque de modélisation doit être attribuée à chaque modèle selon l’approche de classification du risque adoptée par l’IFRF. Les processus pour attribuer une cote de risque doivent être bien définis et rigoureux, et la cote doit être régulièrement réexaminée et actualisée au besoin, notamment lorsqu’un événement déclencheur survient. Si le risque dépasse les limites de la propension à prendre des risques de l’institution, celle-ci doit mettre en œuvre des mesures correctives appropriées. La démarche de cotation du risque doit s’appuyer sur des facteurs quantitatifs et qualitatifs. L’IFRF peut imposer des limites à l’utilisation et à la portée de certains modèles, selon son évaluation du risque et sa propension au risque. Ces limites doivent être communiquées par écrit à tous les intervenants concernés, et l’IFRF doit s’assurer que son personnel est sensibilisé et comprend les risques et les limites.
Conformément à l’approche fondée sur des principes du BSIF, la rigueur des activités de gestion du risque associée à un modèle donné doit être proportionnelle au risque qu’il présente. L’institution ne doit mettre en service un modèle que si celui-ci contribue de manière significative à la prise de décisions, à l’évaluation du risque ou à la réalisation des objectifs opérationnels, et s’il génère des résultats fiables qui sont conformes à l’usage prévu.
Les politiques, procédures et contrôles d’une IFRF doivent couvrir l’ensemble du cycle de vie des modèles et être proportionnels au niveau de risque associé à chaque modèle. Les principaux intervenants de modèle devraient être identifiés et mobilisés dès les premières étapes du cycle de vie du modèle. Les responsables de modèles ont l’obligation de définir clairement les objectifs et le cas d’utilisation opérationnelle spécifique du modèle. Pour les modèles reposant sur l’IA/AA ou d’autres techniques avancées, les IFRF doivent tenir compte de risques additionnels, notamment la possibilité que le modèle génère des résultats biaisés, ait des répercussions sociales et éthiques néfastes ou engendre un risque d’atteinte à la vie privée.
Les institutions devraient mettre en place une gouvernance des données robuste, fondée sur des normes claires encadrant la collecte, le stockage et l’accès aux données utilisées dans leurs modèles. Compte tenu de l’importance de l’exactitude et de l’intégrité des données, le BSIF s’attend à ce que les IFRF évaluent régulièrement la qualité des données, mettent en œuvre des mécanismes de contrôle efficaces pour en assurer la fiabilité et procèdent à des activités de nettoyage des données adéquates lorsque des écarts sont détectés. Une attention particulière doit être portée au risque de biais indésirables dans les ensembles de données, qui peuvent se traduire par des données de sortie indues et donc un risque d’atteinte à la réputation. À cette fin, les institutions sont encouragées à adopter une politique de gouvernance de l’IA et à offrir une formation ciblée sur les risques éthiques, juridiques et opérationnels associés à l’utilisation de modèles d’IA et d’AA. Enfin, l’IFRF doit veiller à ce que l’évaluation de la rigueur conceptuelle et de la performance des modèles (c’est-à-dire la vérification que le modèle fonctionne comme prévu et demeure adapté à son objectif) soit réalisée de manière indépendante du processus de développement initial.
Les avantages potentiels associés à l’utilisation et à l’adoption de modèles, y compris la résolution de problèmes, l’amélioration de l’efficience opérationnelle et le soutien aux objectifs commerciaux, doivent être évalués par rapport aux risques sur les plans opérationnel, sécuritaire et financier. Les IFRF demeurent ultimement responsables de l’utilisation de leurs modèles et doivent évaluer l’incidence de ces outils sur leur profil de risque et, par extension, sur leur cote de risque globale. Il est essentiel que cette information soit partagée entre les fonctions clés de l’institution et que des mesures de surveillance et de contrôle efficaces soient mises en place pour atténuer les risques. À notre avis, la gestion du risque de modélisation devrait être un point permanent à l’ordre du jour des réunions du conseil d’administration et de la haute direction. Nous recommandons également une surveillance continue de l’utilisation des modèles afin d’ajuster de manière proactive les cotes de risque, le cas échéant.
Pour en savoir plus, veuillez communiquer avec l’auteure de cet article, Marisa Coggin (Marisa parle essentiellement anglais) ou avec un membre de nos équipes Droit des sociétés ou Assurance.
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».