Le BSIF publie la ligne directrice E-23 définitive sur la gestion du risque de modélisation et le recours à l'IA par les IFF

Le 11 septembre 2025, dans le cadre de sa publication trimestrielle de modifications réglementaires, le Bureau du surintendant des institutions financières (le « BSIF ») a publié sa version définitive de la Ligne directrice E-23 - Gestion du risque de modélisation (2027) (la « ligne directrice définitive »). La ligne directrice définitive, qui prendra effet le 1^er mai 2027, porte sur les risques émergents liés à la technologie et impose des exigences en matière de gestion des risques aux institutions financières fédérales (les « IFF ») quant à l'utilisation de modèles d'intelligence artificielle (l'« IA »).

La ligne directrice définitive fait suite à une série de consultations publiques et de discussions avec des intervenants clés qui ont eu lieu après la publication du projet de ligne directrice en 2024 (le « projet de ligne directrice »). Pour en savoir davantage, consultez notre Bulletin Blakes sur ce sujet, lequel présente un aperçu du projet de ligne directrice. Les IFF assujetties à la ligne directrice définitive comprennent les banques, les succursales de banque étrangère, les sociétés d'assurance vie et de secours mutuel, les sociétés d'assurances multirisques ainsi que les sociétés de fiducie et de prêt.

Contrairement au projet de ligne directrice, qui visait initialement les régimes de retraite de compétence fédérale, la ligne directrice définitive les exclut. Toutefois, le BSIF s'attend à ce que les administrateurs de régime suivent la ligne directrice n^o 10, Ligne directrice sur la gestion des risques à l'intention des administrateurs de régimes de l'Association canadienne des organismes de contrôle des régimes de retraite afin de gérer les risques associés aux régimes de retraite, notamment à l'aide de modèles d'IA.

La ligne directrice définitive décrit les attentes du BSIF relativement au cadre de gestion du risque de modélisation (le « cadre de GRM ») à l'échelle de l'entreprise. Afin d'évaluer adéquatement les risques de modélisation, les organisations devraient mettre sur pied une équipe multidisciplinaire représentant un éventail de domaines d'expertise et de fonctions au sein de l'organisation, dont des professionnels en droit et en éthique.

Le cadre de GRM obligera les IFF à élaborer des politiques et procédures axées sur les risques de modélisation proportionnelles à leur taille, à leur profil de risque, à la complexité de leurs activités et à leur interdépendance dans le système financier. Ces politiques et procédures devraient faire partie du cadre de gouvernance global de l'organisation. Il est à noter qu'aux termes du cadre de GRM, les IFF seront tenues de faire ce qui suit (entre autres) :

• définir les processus et exigences pour cerner, évaluer, gérer et surveiller le risque de modélisation;
• établir des méthodes de suivi du recours à la modélisation et mettre hors service les modèles qui ne sont plus utilisés;

• élaborer des politiques et procédures claires sur les principaux volets du cadre de GRM, notamment le recensement des modèles, l'inventaire des modèles, les cotes de risque de modélisation et les exigences relatives à la gouvernance du cycle de vie des modèles;
• rédiger des normes de déclaration et d'examen du risque de modélisation;

• inclure des modèles ou des données provenant de sources externes, comme des bureaux étrangers ou des tiers fournisseurs, conformément à la ligne directrice B-10, Gestion du risque lié aux tiers du BSIF;

• créer un inventaire de tous les modèles, faisant entre autres état de leur cote de risque de modélisation.

De plus, les organisations seront tenues d'élaborer une échelle de cote de risque de modélisation fondée sur des exigences quantitatives et qualitatives. La cote de risque de modélisation devra dicter :

• la fréquence, la rigueur et la portée des activités de validation du modèle;
• les exigences documentaires;
• le niveau de responsabilité requis pour approuver le modèle et les exemptions, au besoin;
• la fréquence, la rigueur et la portée des activités de suivi du modèle;
• l'intervalle auquel la cote de risque est réévaluée;
• les limites ou contraintes quant à l'utilisation du modèle et les mesures de protection;
• les mesures de contrôle et d'atténuation utilisées pour gérer le risque de modélisation.

Comme le BSIF privilégie une réglementation axée sur le risque, la ligne directrice définitive reconnaît que les IFF se fient de plus en plus à des modèles utilisant des sources de données variées et complexes pour orienter la prise de décisions, les exposant ainsi à des pertes financières attribuables à des décisions erronées, à des pertes opérationnelles ou encore à une atteinte à leur réputation, ce qui pourrait entraîner des répercussions sur l'ensemble du système financier. En instaurant un cadre fondé sur des principes visant à renforcer la gouvernance et la supervision des modèles qui ne pointe vers aucune technologie en particulier, la ligne directrice définitive vise à permettre aux IFF d'innover, tout en ayant recours à des pratiques de gestion du risque saines afin de se protéger contre les dangers associés aux défaillances des modèles ou à leur mauvaise utilisation.

La ligne directrice définitive démontre clairement qu'un programme de conformité rigide ne répondra pas aux attentes du BSIF en matière d'atténuation des risques de modélisation aux termes du cadre de GRM. Les organisations devront plutôt faire preuve d'un engagement continu en procédant à des tests, à des activités de surveillance et à des examens pendant toute la durée de vie du modèle. Concrètement, cela exigera que les IFF adaptent leurs cadres de gouvernance, adoptent des politiques et procédures en matière d'IA et élargissent la portée de leurs programmes de conformité. En outre, les IFF devront évaluer leur approche relative à la gestion des relations avec des tiers afin d'améliorer leurs pratiques en matière de divulgation d'information et de gestion des données pour éviter de s'exposer à des risques liés à l'IA.

La ligne directrice définitive du BSIF est probablement accueillie d'un bon Sil par les IFF qui n'ont pas déjà des directives officielles sur l'adoption de l'IA, particulièrement après que le projet de loi C-27 (qui comprenait la Loi sur l'intelligence artificielle et les données proposée) est mort au feuilleton avant les élections fédérales de 2025. Actuellement, seule la législation québécoise sur la protection des renseignements personnels dans le secteur privé traite expressément du processus décisionnel automatisé puisqu'elle oblige les organisations à faire preuve de transparence au sujet des décisions prises en utilisant des renseignements personnels sans intervention humaine. Aucune autre administration gouvernementale canadienne n'a adopté de règles sur la gouvernance de l'IA dans le secteur privé.

Or, il est probable que d'autres exigences réglementaires seront imposées aux IFF au sujet de l'IA au cours des prochaines années. En mai 2025, le BSIF, le ministère des Finances Canada et le Global Risk Institute ont tenu le premier de quatre ateliers dans le cadre du deuxième Forum sur l'intelligence artificielle dans le secteur des services financiers (le « FIASSF II »). En juillet 2025, le BSIF a publié un rapport sur les pratiques exemplaires en matière d'IA à l'intention des IFF afin d'atténuer les risques associés à la cybersécurité et à la sécurité. Les prochains ateliers du FIASSF II porteront sur le lien entre l'IA et les crimes financiers, la protection du consommateur et la stabilité financière.

For permission to reprint articles, please contact the bulletin@blakes.com Marketing Department.

© 2025 Blake, Cassels & Graydon LLP.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.