Le BSIF met à jour la ligne directrice E-23 sur la gouvernance de l’IA et en élargit la portée

Le mois dernier, le Bureau du surintendant des institutions financières (BSIF) a publié une version révisée de la ligne directrice E-23 (la ligne directrice), qui énonce les attentes à respecter à l’égard de la gestion du risque de modélisation (GRM) à l’échelle de l’entreprise. Cette mise à jour, qui entrera en vigueur le 1^er mai 2027, vise à répondre à l’utilisation croissante de l’IA en ajoutant de nouvelles exigences et en élargissant la portée de la ligne directrice, avec des conséquences importantes pour les entités sous réglementation fédérale et leurs fournisseurs de services.

Ce que vous devez savoir

• Portée élargie : la ligne directrice s’applique à l’ensemble des IFF ainsi qu’à tous les modèles, quels que soient leur origine (modèles internes ou fournis par un tiers) et leur but.
• Cadre requis : les IFF doivent mettre en place un cadre de gouvernance de GRM fondé sur le risque à l’échelle de l’entreprise, assorti de politiques et procédures qui régissent chaque étape du cycle de vie des modèles.
• Éléments clés : la ligne directrice souligne l’importance de la gouvernance des données, d’une dotation en ressources et en compétences techniques suffisante, d’une consignation exhaustive et de la proportionnalité.
• Tiers : les fournisseurs de services et les autres entreprises qui travaillent en partenariat avec les IFF doivent être prêts à respecter des attentes et des exigences accrues en matière de GRM.
• Prochaines étapes : les IFF doivent revoir dès maintenant leurs cadres actuels de GRM et de gouvernance de l’IA afin de repérer les lacunes et les occasions d’amélioration pour assurer leur conformité d’ici mai 2027.

Contexte et notions clés

Le 20 novembre 2023, le BSIF a publié une version révisée à l’étude de la ligne directrice E-23 pour consultation publique, consultation qui a pris fin le 22 mars 2024. Cette version présentait plusieurs modifications par rapport à la version de la ligne directrice de 2017 intitulée Gestion du risque de modélisation à l’échelle de l’entreprise dans les institutions de dépôts. Bien que bon nombre des révisions aient été conservées dans la version finale, d’autres modifications ont également été intégrées en réponse aux commentaires formulés par les parties prenantes. Par exemple, la version de 2023 s’appliquait aux régimes de retraite privés fédéraux, mais la version finale de 2025 les exclut.

La ligne directrice définit les termes « modèle » et « modélisation » au sens large afin d’englober toutes les méthodes qui traitent des données en entrée pour générer des résultats. En outre, cette définition inclut expressément les méthodes d’IA et d’AA.

Portée élargie

Le principal changement apporté à la ligne directrice concerne l’élargissement de sa portée, tant en ce qui a trait aux entités et aux modèles visés qu’aux risques de modélisation qu’elle veut encadrer.

• Entités. La nouvelle ligne directrice s’applique à toutes les IFF, y compris les banques, les succursales de banques étrangères, les sociétés d’assurance vie et de secours mutuels, les sociétés des assurances multirisques ainsi que les sociétés de fiducie et de prêts.
• Modèles. La ligne directrice vise tous les modèles, peu importe leur but ou l’importance relative de leur risque (dans la mesure où ce risque est non négligeable).
• Tiers. La ligne directrice s’applique de la même manière à tous les modèles utilisés par l’IFF, qu’ils soient développés en interne ou à l’externe, et que les données concernées proviennent d’une source interne ou externe.

Cadres de gouvernance des modèles

En plus d’élargir la portée de la ligne directrice, la version révisée met l’accent sur les éléments du cadre de GRM, résumés ci-dessous.

Attentes relatives au cadre de GRM

Le BSIF s’attend à ce que les IFF établissent un cadre de GRM comprenant les éléments suivants :

• Recensement des modèles. Une IFF doit disposer de processus pour recenser les modèles utilisés à l’échelle de l’entreprise et créer un inventaire complet.
• Évaluation du risque. Une IFF doit évaluer le risque associé à chaque modèle, en portant une attention particulière aux vulnérabilités du modèle et à l’importance relative de leurs répercussions. Les modèles présentant un risque inhérent plus élevé doivent faire l’objet d’une validation plus attentive.
• Gestion du risque. Le risque inhérent à un modèle doit dicter la portée, l’échelle et la rigueur des exigences de gouvernance du modèle et des mesures d’atténuation du risque.

Une IFF doit avoir des politiques, procédures et mécanismes de contrôle qui s’appliquent à l’ensemble du cycle de vie des modèles. Ces instruments doivent être rigoureux, consignés par écrit de manière exhaustive et détaillée, et suffisamment souples pour s’adapter à l’évolution des technologies et aux différents types de modèles et de risques. Ils doivent également suivre les meilleures pratiques de gouvernance, notamment inclure une définition claire de l’obligation de rendre des comptes.

Une IFF doit affecter des ressources adéquates à la GRM. Elle doit être en mesure de démontrer que ses ressources sont suffisantes pour que le cadre de gouvernance soit solide.

Principaux thèmes des attentes du BSIF

Un certain nombre d’attentes transversales de la ligne directrice doivent orienter la mise en place, le fonctionnement et l’amélioration des cadres de GRM des IFF :

• Appliquer la présente ligne directrice en fonction du risque et proportionnellement à différents facteurs propres à l’institution : sa taille; sa stratégie; son profil de risque; la nature, la portée et la complexité de ses activités; son interdépendance (autrement dit la probabilité que des perturbations la touchant puissent nuire à d’autres institutions financières, au système financier ou à l’économie en général).
• Mobiliser les intervenants concernés à chaque étape du cycle de vie du modèle, et définir leurs responsabilités et leur obligation de rendre compte.
• Faire intervenir une équipe pluridisciplinaire représentant un large éventail de compétences techniques et de fonctions issues des différents secteurs de l’institution, y compris des professionnels du droit ou de l’éthique, s’il y a lieu.
• Mettre en place une consignation exhaustive et détaillée, et la maintenir à jour, tout au long du cycle de vie d’un modèle, ainsi que des processus bien définis pour recenser tous les modèles en usage ou récemment mis hors service et en effectuer le suivi.
• Adopter des pratiques rigoureuses de gouvernance des données et des mesures de contrôle, avec une attention particulière à la pertinence, aux biais potentiels, à l’équité et à la protection de la vie privée.

Attentes tout au long du cycle de vie du modèle

Le BSIF précise les attentes applicables aux IFF à chaque étape du cycle de vie du modèle. Les points saillants sont les suivants :

1. Conception. La conception du modèle doit intégrer trois éléments principaux :
   1. Raison d’être. La raison de la modélisation doit exposer l’objectif du modèle, déterminer le cas d’utilisation opérationnelle spécifique du modèle et évaluer le risque lié à son usage prévu.
   2. Données. Une IFF doit préserver la qualité des données en veillant à ce qu’elles soient exactes et adaptées à l’usage prévu, utiles et représentatives, conformes, traçables et actuelles.
   3. Développement. Une IFF doit avoir défini des processus de développement de modèles qui établissent des normes claires en matière de performance et de consignation. Dans le cas des modèles d’IA et d’AA, le développement nécessite également une bonne formation et une optimisation des paramètres.
2. Validation et approbation. Une IFF doit disposer d’un processus qui permet d’évaluer de manière indépendante la rigueur conceptuelle et la performance des modèles. Cette vérification doit permettre de confirmer que les modèles sont bien définis, qu’ils fonctionnent comme prévu et qu’ils sont adaptés à leur objectif. La décision d’approuver un modèle doit permettre d’évaluer si le modèle est apte à être mis en œuvre dans un environnement de production (ou à continuer d’être utilisé) selon son usage prévu, et ce processus d’approbation doit intervenir tout au long du cycle de vie du modèle.
3. Déploiement. Les modèles doivent être mis en service dans un environnement qui est encadré par des processus de contrôle de la qualité et des changements. Le modèle doit être bien configuré, testé et mis en production, ce qui est particulièrement important pour les modèles d’IA et d’AA qui dépendent de plusieurs composantes, de sources de données diverses et dynamiques, et d’éléments de tiers.
4. Suivi. Une IFF doit avoir défini et consigné des normes concernant le suivi des modèles. Ces normes doivent porter sur les critères d’évaluation, les méthodes de contrôle, les changements opérationnels, les seuils pour les manquements, les plans de contingence et d’urgence, et les procédures de signalement pour communiquer les problèmes aux intervenants.
5. Mise hors service. La mise hors service doit s’effectuer selon un processus rigoureux et comprendre, entre autres, les éléments suivants : informer tous les intervenants concernés de la mise hors service prévue et surveiller les effets en aval afin de s’assurer qu’il n’y a pas de répercussions résiduelles.

Répercussions sur la relation entre une IFF et ses fournisseurs

La mise en œuvre d’un cadre de GRM se traduit par des attentes accrues pour les IFF en ce qui concerne les modèles et les données provenant de sources externes, y compris de bureaux étrangers et de tiers fournisseurs, conformément à la ligne directrice B-10, Gestion du risque lié aux tiers du BSIF. De nombreux fournisseurs d’IA et d’AA n’ont pas encore nécessairement mis en place des capacités de gouvernance, de validation et de production de rapports conformes à ces exigences, en particulier en ce qui concerne les défis liés à la complexité, à l’autonomie et à l’explicabilité des modèles d’IA ou d’AA mentionnés dans la ligne directrice. Une IFF devra évaluer et gérer les risques résiduels liés aux tiers fournisseurs de modèles qui ne respectent pas pleinement les normes de GRM, et s’assurer que ces risques restent dans les limites de sa propension à prendre des risques. Ces risques peuvent être atténués par des processus de gouvernance documentés, une supervision rigoureuse et une responsabilité clairement établie au niveau du conseil d’administration et de la haute direction.

Prochaines étapes et points à considérer pour les IFF

Au-delà des relations avec leurs fournisseurs, les IFF peuvent prendre un certain nombre de mesures pour se conformer à la ligne directrice d’ici son entrée en vigueur le 1^er mai 2027.

Repérer et combler les lacunes

Compte tenu de la portée élargie de la nouvelle ligne directrice et de l’adoption accélérée de l’IA, une IFF doit évaluer son cadre et ses pratiques de gouvernance en matière de GRM par rapport aux attentes du BSIF. Il lui est conseillé de consigner les politiques, procédures et pratiques pertinentes, ainsi que les lacunes repérées et les occasions d’amélioration. Elle doit ensuite hiérarchiser ces lacunes et améliorations potentielles en fonction de leur risque et des considérations commerciales qui y sont liées.

Pour se faire une idée de la portée des modèles qu’elle utilise, une IFF peut commencer par recenser ses modèles et en établir un inventaire. Cette démarche permet de mieux déterminer la portée et l’échelle du cadre de GRM requis.

Communiquer les attentes de la ligne directrice

Certaines attentes de la ligne directrice peuvent nécessiter un effort considérable sur les plans de la gouvernance et de l’organisation. Il s’agit notamment de répondre aux attentes du BSIF en matière de ressources et de dresser un inventaire de tous les modèles comportant un risque non négligeable. Informer et mobiliser le personnel approprié de l’IFF peut s’avérer utile pour structurer les processus et permettre de répondre aux exigences substantielles de la ligne directrice.

Alignement sur les autres exigences et lignes directrices légales en matière d’IA

Une IFF qui met en place ou améliore un cadre de GRM ou de gouvernance de l’IA doit prendre en compte la mesure dans laquelle elle doit intégrer d’autres exigences et lignes directrices légales (proposées ou déjà en vigueur). Parmi les obligations et lignes directrices existantes, on peut citer les exigences de notification concernant la prise de décision automatisée au Québec et les lignes directrices des autorités de protection de la vie privée sur l’IA générative. Une IFF présente en Europe doit également se conformer à la Loi européenne sur l’intelligence artificielle.

Développement et mise en œuvre de modèles externalisés

Dans l’analyse des lacunes de son cadre de GRM, une IFF doit inclure les politiques d’approvisionnement, les procédures de contrôle diligent et les modalités contractuelles standards. De manière générale, une IFF doit s’assurer que des protections contractuelles adéquates sont en place, notamment des mécanismes de surveillance, une documentation appropriée ainsi que des plans de contingence et d’urgence lorsqu’elle utilise des données ou des modèles externes, car elle demeure responsable de leur utilisation. Dans certains cas, elle pourrait devoir mettre à jour des contrats à long terme présentant un risque élevé pour qu’ils respectent les attentes du BSIF.

Les deux parties bénéficieraient également d’une répartition claire des responsabilités. Dans certains cas, l’utilisation d’une matrice des responsabilités peut faciliter cette répartition.