Ligne directrice E-23 : la modélisation des risques financiers à l’ère de l’émergence des risques technologiques

En 2017, le Bureau du surintendant des institutions financières (BSIF) a émis la Ligne directrice E-23 régissant la gestion du risque de modélisation. Dernièrement, le BSIF a publié une version à l’étude de la ligne directrice (Ligne directrice) qui élargit le champ d’application de la ligne directrice E‑23 afin d’y inclure les institutions financières fédérales (IFF). La Ligne directrice étend également la portée de la définition de « modèle » afin que ce concept englobe toutes les étapes du « cycle de vie du modèle », allant de la conception au développement et à l’utilisation de celui-ci.

La Ligne directrice reconnaît que les IFF emploient des modèles reposant sur l’intelligence artificielle (IA) et l’apprentissage automatique pour éclairer leur prise de décisions, ce qui pourrait éventuellement les exposer à un risque accru de pertes financières et opérationnelles et de préjudice à leur réputation.

La Ligne directrice vise à assurer que l’utilisation de modèles est gérée adéquatement et que les risques connexes sont minimisés, surveillés et atténués. Toutefois, la Ligne directrice indique clairement que la prise de décisions quant aux meilleures façons de gérer le risque de modélisation d’entreprise relève de la responsabilité de l’organisation.

Le BSIF énumère sept principes directeurs pour les politiques et les procédures devant être mises en œuvre au sein du cadre d’une organisation en tant que pratiques exemplaires. Voici les principaux points à retenir de ces principes :

1. Élaborer, approuver et mettre en œuvre des processus et des contrôles qui définissent les attentes pour chaque composante du cycle de vie du modèle.
2. Tenir compte de la taille et de la complexité de l’organisation ainsi que de l’utilisation du modèle au sein de celle-ci.
3. Établir un cadre de gestion du risque de modélisation qui tient compte de la propension de l’organisation à prendre des risques et qui définit le processus et les exigences permettant de cerner, d’évaluer, de gérer et de surveiller le risque tout au long du cycle de vie des modèles employés. 
4. Tenir un répertoire centralisé regroupant tous les modèles récemment mis hors service et en cours d’utilisation.
5. Disposer de politiques et de procédures établies pour chacune des étapes du cycle de vie du modèle.
6. Régir les données des modèles.
7. Mettre en œuvre un système d’évaluation du risque qui tient compte de critères quantitatifs et qualitatifs.

Ces principes sont d’ordre général et imposent des normes élevées aux IFF et aux autres organisations relativement à la surveillance des modèles et à l’interaction avec ceux-ci. Ils exigent que chaque étape du cycle de vie d’un modèle soit évaluée individuellement, proportionnellement et continuellement. Le BSIF recommande que le répertoire soit fréquemment mis et tenu à jour et que les parties prenantes soient mobilisées tout au long du processus. 

Un principe important que devraient connaître les organisations est la suggestion faite dans la Ligne directrice d’établir et de mettre en œuvre un cadre de gestion du risque de modélisation. Ce cadre devrait comprendre divers éléments clés tels que : la gouvernance et la responsabilisation; l’évaluation du risque de modélisation et la production de rapports; et une cote de risque de modélisation. Même si une IFF ou une autre organisation acquiert un modèle d’une source externe, elle est tenue d’établir et de tenir un cadre de gestion du risque de modélisation.

La version finale de la ligne directrice devrait entrer en vigueur en juillet 2025. En outre, le projet de Loi sur l’intelligence artificielle et les données (LIAD) devrait être adopté cette année, et possiblement entrer en vigueur en 2025. La LIAD vise à tenir les entreprises responsables de l’utilisation de l’IA en les obligeant à mettre en œuvre des mécanismes et des politiques de gouvernance et à divulguer publiquement l’utilisation de l’IA afin que les utilisateurs puissent prendre des décisions éclairées. La conformité à la Ligne directrice pourrait aider les organisations visées par les obligations de divulgation prévues par la LIAD. Par exemple, la Ligne directrice recommande aux organisations de tenir un répertoire centralisé de tous les modèles en cours d’utilisation et mis hors service; elle recommande donc de consigner les éléments dont la LIAD exige la divulgation.

Les auteurs tiennent à remercier Samantha Hawthorne, étudiante, pour son aide dans la préparation de la présente actualité juridique.