Le BSIF mettra la dernière main à la ligne directrice sur la gestion du risque portant sur l’utilisation de l’IA et de l’AA dans les modèles

2 Mai 2024 8 MIN DE LECTURE
Auteurs(trice)
Michael Fekete

Associé, Technologie, Toronto

Victoria Graham

Associée, Droit des sociétés, Toronto

Wendy Gross

Associée, Technologie, Toronto

Elizabeth Sale

Associée, Services financiers, Toronto

Mike Jankowski

Sociétaire, Technologie, Toronto

Les institutions financières et les fournisseurs de technologie anticipent aussi la publication par le Bureau du surintendant des institutions financières (BSIF) de la mise à jour de la ligne directrice sur la gestion du risque de modélisation. La version à l’étude de la ligne directrice publiée au quatrième trimestre de 2023 élargit considérablement la ligne directrice actuelle du BSIF (ligne directrice E-23) et a des répercussions importantes sur l’utilisation de l’intelligence artificielle (IA) et de l’apprentissage automatique par les institutions financières.

La version actuelle de la Ligne directrice E-23

La version actuelle de la Ligne directrice E-23 décrit les attentes du BSIF à l’égard de l’établissement d’un cadre de gestion du risque de modélisation à l’échelle de l’entreprise par les institutions financières sous réglementation fédérale exerçant leurs activités au Canada. Il est intéressant de remarquer l’approche axée sur le risque de la ligne directrice actuelle, qui met clairement l’accent sur la gestion de l’utilisation de modèles qui créent des risques importants pour les institutions financières. La ligne directrice actuelle ne s’applique qu’aux institutions de dépôt (c’est-à-dire les banques, les sociétés de portefeuille bancaires, les sociétés de fiducie et de prêt sous réglementation fédérale et les associations coopératives de détail).

Dans la ligne directrice actuelle, les termes « modèle » et « risque de modélisation » sont définis de façon ciblée. Le modèle est défini comme l’application de certaines techniques de traitement des données d’entrée pour produire des estimations quantitatives utiles et significatives pour les secteurs d’activité et les fonctions de contrôle.[1] Le risque de modélisation est défini comme le risque de conséquences financières néfastes et d’atteinte à la réputation découlant de la conception, de l’élaboration, de la mise en œuvre ou de l’utilisation d’un modèle; et selon la ligne directrice actuelle, on s’attend à ce que les institutions financières axent leurs politiques et processus de gestion des risques sur les modèles qui pourraient avoir une incidence importante sur leur profil de risque.

Modifications proposées par le BSIF à la Ligne directrice E-23

Si elle est adoptée dans sa forme actuelle, la version mise à jour de la Ligne directrice E-23 du BSIF (l’ébauche de ligne directrice) introduira un certain nombre de changements significatifs. Plus précisément :

  • la version à l’étude de la ligne directrice s’applique à toutes les institutions financières sous réglementation fédérale (IFF) (y compris les succursales de banques étrangères autorisées, les assureurs sous réglementation fédérale et les régimes de retraite privés sous réglementation fédérale);
  • la version à l’étude de la ligne directrice s’applique à tous les modèles analytiques utilisés par les IFF, qu’ils nécessitent ou non une approbation réglementaire officielle, y compris les modèles de risques financiers (comme l’établissement des prix des produits et des services, ou les stratégies d’optimisation des activités), ainsi que les risques non financiers comme les risques liés au climat, à la cybersécurité, à la technologie et à l’innovation numérique;
  • la version à l’étude de la ligne directrice définit le « modèle » de façon large pour couvrir l’application de certaines techniques de traitement des données d’entrée pour produire des résultats,[2] sans exiger que le résultat généré fournisse une estimation quantitative. En outre, la version à l’étude mentionne explicitement que les méthodes axées sur l’intelligence artificielle (IA) et l’apprentissage automatique (AA) relèvent du champ d’application;
  • la version à l’étude de la ligne directrice définit le « risque de modélisation » de manière à inclure le risque susceptible d’avoir une incidence financière ou opérationnelle néfaste, ou de porter atteinte à la réputation de l’institution, en élargissant considérablement la définition de la ligne directrice actuelle, qui limite la définition à un risque de conséquences financières néfastes et de porter atteinte à la réputation;
  • plus important encore, la version à l’étude de la ligne directrice comprend une attente que les institutions financières déploient un cadre détaillé de gestion du risque de modélisation qui[A1]  couvre chaque étape du cycle de vie d’un modèle, peu importe si l’utilisation du modèle crée un risque important pour l’institution financière.

Évaluation d’Osler

Les modifications apportées à la Ligne directrice E-23 reflètent l’accent accru que met le BSIF sur le risque opérationnel et sont orientées, à juste titre, vers la réalité récente et en évolution rapide que les institutions financières comptent de plus en plus sur des modèles pour appuyer la prise de décisions. Toutefois, dans la version à l’étude actuelle, les tentatives du BSIF pour s’attaquer à cette réalité vont peut-être trop loin. Voici les points qui nous préoccupent particulièrement :

  • les attentes du BSIF qu’une institution financière applique un cadre détaillé de gestion du risque de modélisation à l’ensemble de son utilisation des modèles en général, peu importe si une utilisation particulière crée un risque important;
  • les définitions élargies de la modélisation et du risque de modélisation, que nous avons décrites ci-dessus et qui, dans la version à l’étude actuelle, sont si larges qu’elles englobent les activités au sein des institutions financières qui ne présenteraient pas de risque significatif;
  • l’inclusion par le BSIF de toute méthode d’IA et d’AA dans la définition du terme modélisation, sans faire de distinction entre les modèles d’IA et d’AA qui font des prévisions ou des recommandations précises et les modèles d’IA et d’AA qui sont utilisés pour générer du contenu, mais qui n’appuient pas la prise de décisions.

Nous remarquons que la version à l’étude de la ligne directrice n’est pas harmonisée avec les lignes directrices comparables d’autres marchés clés. Par exemple, les lignes directrices publiées par les organismes de réglementation aux États-Unis et au Royaume-Uni s’appliquent à des modèles utilisés pour prendre des décisions concernant les fonctions opérationnelles clés.

À la suite de ses consultations, le BSIF a maintenant une occasion de modifier la version à l’étude de la ligne directrice lorsqu’il publiera la version finale de la Ligne directrice E-23 (prévue en juillet 2024). Pour de nombreuses parties intéressées, les précisions les plus importantes à surveiller sont les suivantes :

  • une clarification du fait que l’objectif de la Ligne directrice E-23 est de faire appliquer[A2]  un cadre de gestion des risques aux modèles utilisés pour appuyer la prise de décisions importantes;
  • une clarification des situations où la Ligne directrice E-23 ne s’applique pas, comme lorsqu’un modèle d’IA/AA est utilisé pour générer du contenu, plutôt que pour appuyer la prise de décisions importantes;
  • une clarification de l’attente du BSIF qu’un cadre de gestion du risque de modélisation soit appliqué uniquement aux utilisations d’un modèle qui créent un risque important pour l’institution financière, plutôt qu’à toutes les utilisations du modèle.

Les parties intéressées surveilleront la situation de près dans l’espoir que le BSIF apportera ces précisions importantes lorsqu’il publiera sa version mise à jour. Si ces précisions ne sont pas apportées, les conséquences seront importantes, car un cadre réglementaire trop général pourrait faire en sorte que les institutions financières au Canada soient moins susceptibles d’adopter des technologies qui améliorent la productivité et réduisent les risques que leurs concurrents sur d’autres marchés.


[1] Le modèle est défini comme suit dans la ligne directrice actuelle : « Un modèle fait généralement référence à une méthodologie, à un système ou à une approche qui applique des hypothèses théoriques et des techniques statistiques (fondées sur un jugement d’expert) pour traiter des données d’entrée afin de produire des estimations quantitatives. Un modèle se compose de trois volets distincts, soit (i) un volet données qui peut aussi comprendre des hypothèses pertinentes; (ii) un volet traitement qui transforme les données d’entrée en estimations; et (iii) un volet résultats qui présente ces estimations dans un format qui est utile et logique pour les secteurs d’activité et les fonctions de contrôle.

[2] Le terme modélisation est défini comme suit dans la mise à jour de la ligne directrice : « L’application de théories, d’hypothèses empiriques et de jugements, et/ou de techniques statistiques – notamment les méthodes d’IA/AA – destinées au traitement des données pour générer des résultats. Un modèle comporte trois volets distincts : a. la saisie de données, qui peut aussi comprendre les hypothèses pertinentes; b. le traitement, qui permet d’établir des liens entre les données d’entrée; c. les résultats, qui permettent de présenter les données de sortie dans un format utile et pertinent pour les secteurs d’activités et les fonctions de contrôle.