Auteur(s) :
Simon Hodgett, Christine Jackson
Le 12 mai 2022
Le terme « technologie financière » s’entend de toute nouvelle technologie destinée à améliorer la fourniture de produits et de services financiers par les institutions financières traditionnelles en complétant ou en concurrençant ces produits ou ces services. Cette vaste catégorie est à l’origine d’un large éventail de modèle d’affaires et d’approches contractuelles. De nombreuses sociétés de technologies financières concluent des contrats avec des institutions financières. Selon notre expérience, ce type d’entente peut déboucher sur l’établissement de relations d’affaires avantageuses pour les deux parties. Toutefois, nous savons aussi que la phase de négociation d’une entente peut présenter de réelles difficultés. La bonne nouvelle est que les points de désaccord peuvent être réduits en arrivant bien préparés aux rencontres et en tenant compte des différents modèles d’affaires et des différentes préoccupations des sociétés de technologies financières et des institutions financières.
Contrats commerciaux
Les institutions financières cherchent à conclure des ententes avec des sociétés de technologies financières pour un certain nombre de raisons, notamment pour accéder à de nouvelles fonctionnalités technologiques avec le concours d’une équipe de développement habile, pour collaborer à la création de nouvelles offres de produits et pour accéder à d’autres clientèles potentielles sous-exploitées dans la population.
Étant donné la grande diversité des ententes commerciales possibles, il n’existe pas d’entente type liant les sociétés de technologies financières et les institutions financières. La pratique de notre profession nous a souvent permis de constater la grande variété des ententes possibles, qui comprennent notamment les ententes d’impartition, les ententes de services, de nature complexe, les ententes de collaboration, les ententes de services infonuagiques, les accords de revente, les ententes de commercialisation, les ententes de développement technologique et les contrats de licences. Le processus de négociation s’accompagne souvent, par ailleurs, de difficultés et de solutions qu’il vaut la peine de mentionner.
Différences entre les sociétés de technologies financières et les institutions financières
Les sociétés de technologies financières et les institutions financières présentent des différences quant à leur structure, leur histoire, leur philosophie, leurs obligations réglementaires et leurs parties prenantes.
Généralement non directement soumises à une lourde réglementation, les sociétés de technologies financières offrant des solutions technologiques aux institutions financières doivent croître à grande vitesse avec des ressources limitées. La production de revenus est donc essentielle pour les jeunes sociétés de technologies financières. Comme elles disposent de budgets limités les empêchant de mener des négociations juridiques complexes et prolongées, la vitesse à laquelle se conclut un marché est un facteur important à prendre en considération. Quant aux solutions offertes (y compris les fonctionnalités importantes liées à la sécurité), elles font peut-être l’objet de travaux en cours. La prise de décision est habituellement l’affaire de quelques parties concernées.
Les institutions financières, à l’inverse, sont assujetties à une lourde réglementation. Leurs organismes de réglementation leur imposent des exigences et des normes coûteuses qu’elles doivent respecter conformément aux attentes de ces organismes, qui tolèrent peu tout défaut de conformité. La continuité des services, l’accessibilité et la sécurité des données, la conformité réglementaire, le risque d’atteinte à la réputation et la fidélisation des clients figurent toujours au premier rang des priorités des institutions financières.
Le cadre légal et réglementaire, complexe et en constante évolution, visant les institutions financières inclut tout ou partie de ce qui suit :
- la Loi sur les banques ou toute autre loi applicable,
- les exigences des organismes de surveillance, notamment le Bureau du surintendant des institutions financières (BSIF) et l’Agence de la consommation en matière financière du Canada (ACFC),
- divers codes de conduite,
- la législation sur la protection des renseignements personnels,
- la législation sur le recyclage de l’argent,
- la législation sur les valeurs mobilières,
- les règles et la réglementation visant les courtiers en valeurs mobilières,
- les règles et la réglementation relatives aux paiements,
- la législation et les lignes directrices sur les assurances.
La conformité à un tel cadre exige des institutions financières qu’elles disposent d’un solide système de gestion des risques comprenant un ensemble complexe et souvent décentralisé de politiques et de processus, y compris d’approbation, auxquels elles doivent se soumettre lors de la passation d’un contrat avec un fournisseur tiers. Les contrats de service commerciaux doivent ordinairement être révisés par de nombreuses parties prenantes clés, en plus de l’équipe responsable de l’entente avec laquelle les sociétés de technologies financières négocient les modalités contractuelles (lesquelles portent, par exemple, sur la cybersécurité, les audits, la comptabilité, la gestion des risques, les documents juridiques, etc.). Le processus d’approbation des concessions faites au cours des négociations jusqu’à l’apposition de la dernière signature peut être rigoureux et chronophage.
Les différences ci-dessus peuvent s’avérer contrariantes pour les sociétés de technologies financières et les institutions financières se réunissant pour négocier et qui sont souvent aux prises avec des ententes complexes comportant des exigences réglementaires et sur la gestion des risques de nature complexe et détaillée que doivent respecter les sociétés de technologies financières.
Ententes d’impartition importantes et gestion du risque lié aux tiers
À l’heure actuelle, le BSIF est le principal organisme gouvernemental fédéral réglementant les types d’ententes commerciales considérées ici, passées par les institutions financières. La ligne directrice B-10 du BSIF, Impartition d’activités, de fonctions et de méthodes commerciales, énonce des consignes, des attentes et des pratiques exemplaires générales à l’intention des institutions financières pour la gestion des risques liés aux ententes d’impartition importantes. Étant donné la formulation en termes assez généraux de cette ligne directrice, les institutions financières disposent habituellement des services internes chargés de déterminer si une entente de service particulière se classe parmi les ententes d’impartition importantes selon des critères propres à ces institutions. En raison de la ligne directrice B-10, une société de technologies financières concluant une entente avec une institution financière doit impérativement savoir si cette dernière considère l’entente d’impartition comme importante. Le cas échéant, cela aura pour conséquence l’ajout de modalités coûteuses dans le contrat (modalités relatives aux sous-traitants, aux audits et à la sécurité, modalités énonçant les exigences relatives au lieu de prestations des services, modalités concernant les plans de continuité des activités, etc.). En outre, l’institution financière aura une marge de manœuvre réduite pour négocier ces modalités ou faire des concessions par rapport à celles-ci. La question de savoir comment définir une entente d’impartition importante n’a toutefois jamais été tranchée de manière claire et cohérente. La ligne directrice B-10 s’applique également aux ententes de services infonuagiques, bien qu’elle ne convienne pas nécessairement à cet effet, certaines dispositions contractuelles sur ces services hébergés nécessitant une attention minutieuse.
Le 27 avril 2022, le BSIF a publié une version révisée de la ligne directrice B-10, intitulée Gestion du risque lié aux tiers. Actuellement à l’étape de la consultation et, par conséquent, susceptible de changer, la nouvelle ligne directrice B-10 a une portée élargie, visant les ententes avec des tiers en général et non plus seulement les ententes d’impartition importantes. Cette version révisée est davantage axée sur la gouvernance des institutions financières et la diligence raisonnable pour les ententes avec des tiers. Elle met l’accent, entre autres choses, sur l’évaluation des risques, la diligence raisonnable et la prise en compte du risque de concentration (c.-à-d. le risque de dépendance à l’égard de fournisseurs ou de sous-traitants ou de leur concentration géographique). Elle comprend aussi (à l’annexe 2) une liste de dispositions minimales pour les ententes avec des tiers, bien qu’il s’agisse en fait d’une description des sujets sur lesquels doivent porter les dispositions et non de dispositions précises. Tous les effets de la nouvelle ligne directrice seront plus tangibles une fois la période de consultation terminée. Il est évident que l’exercice visant à déterminer le degré d’importance d’une entente d’impartition n’aura plus cours et que, par conséquent, cette caractéristique distinctive ne jouera plus sur le traitement d’une entente avec un tiers. Les exigences du BSIF s’appliqueront ainsi à un plus grand nombre de types d’ententes passées avec des sociétés de technologies financières.
En plus de réviser la ligne directrice B-10, le BSIF s’est préoccupé de plus en plus du risque lié à la cybersécurité, mettant à jour le préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité et faisant circuler une ligne directrice qu’il propose, à savoir la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque. Le préavis et la ligne directrice proposée visent directement les fournisseurs, tout comme les institutions financières.
Avant l’amorce des négociations
Habituellement, toute société de technologies financières doit tenir compte du contexte réglementaire dont relèvent ses activités et concevoir des systèmes et des politiques tôt dans son développement. Lorsqu’elle envisage de fournir des services à une institution financière, elle doit aussi prendre en considération les contraintes réglementaires susceptibles de s’appliquer à l’entente proposée avec l’institution financière et prévoir comment les respecter au cours du processus contractuel.
Au cours des discussions d’affaires préliminaires, la société de technologies financières doit également interroger l’institution financière sur son processus de consultation des actionnaires (par exemple, quelles approbations sont nécessaires et combien de temps est censé durer le processus d’approbation) au début des négociations et soulever toute question essentielle pertinente à clarifier afin que les attentes des parties correspondent. Les questions essentielles et les points à soulever peuvent porter sur ce qui suit :
- la nature générale des services,
- l’objectif de l’entente,
- le recours à des sous-traitants,
- les ententes de services infonuagiques et d’utilisation de logiciel-service,
- les modalités relatives à la sécurité,
- les flux de données et les droits de propriété et d’utilisation,
- le droit d’effectuer des audits.
La société de technologies financières s’adressera à un conseiller pour avoir, d’avance, une idée des modalités contractuelles que peut exiger l’institution financière, eu égard au contexte de fourniture des services. Elle lui demandera aussi à quels des types d’exigences en matière de cybersécurité elle doit s’attendre et si l’entente d’impartition risque d’être considérée comme importante ou, sinon, à haut risque.
Modèles de contrat de service
Les institutions financières souhaitent souvent utiliser leurs propres modèles d’entente, lesquels sont généralement complets, longs et conçus pour tenir compte de l’interprétation des exigences réglementaires des actionnaires. Or, ces modèles d’entente ne sont pas toujours adaptés au marché à conclure, ce qui peut entraîner un prolongement des négociations. Tôt dans les discussions, il importe de déterminer si l’utilisation d’un tel modèle est concevable et raisonnable dans les circonstances ou si l’on peut recourir à une entente simplifiée. Étant donné la nécessité d’évaluer rapidement l’offre de la société de technologies financières, il serait utile de vérifier si une entente relative à un programme pilote ou un autre type d’entente à court terme ne permettrait pas d’atteindre les objectifs immédiats de développement de sa solution tout en donnant à l’institution financière la possibilité d’évaluer plus complètement la valeur du service dans le cadre de ses activités.
Durant les négociations
Durant les négociations, la société de technologies financières doit chercher à savoir ce qui limite la marge de manœuvre de l’institution financière (par exemple, dans les exigences réglementaires ou les exigences de sécurité en général). Cette information lui évitera toute discussion sur ce qui ne laisse à l’institution financière aucune marge de manœuvre, de sorte qu’elle pourra consacrer son temps et son énergie aux questions pouvant faire avorter l’entente et aux activités ayant une importance commerciale.
Modalités relatives aux audits et à la sécurité
La société de technologies financières doit examiner les exigences de sécurité de l’institution financière et avoir pour objectif de maîtriser tous les éléments de sécurité requis et de disposer de tous les plans d’audit nécessaires (par exemple, pour les audits de rapports SOC, s’il y a lieu) avant l’amorce des négociations. Elle doit aussi, au minimum, se préparer à décrire ces réalisations dans le domaine de la sécurité et expliquer comment elle réduira les risques, même si les dispositions qu’elle prend à cet effet ne répondent pas entièrement aux exigences de l’institution financière. En règle générale, les sociétés de technologies financières qui disposent d’une équipe de sécurité sophistiquée peuvent s’accommoder de détails nécessaires pour respecter l’esprit et la lettre des exigences de sécurité d’une institution financière, si leurs propres exigences n’y correspondent pas en tout point au départ. Il conviendra de s’informer auprès d’un conseiller des autres ententes possibles que peut accepter une institution financière et qui cadreraient avec les capacités et les ressources techniques de la société de technologies financières. Si la société de technologies financières ne peut pas absorber le coût élevé de la mise en œuvre des exigences fondamentales liées à la sécurité et aux audits de l’institution financière avant de pouvoir bénéficier d’un flux de rentrées garanti, elle devrait songer à proposer un plan de mise en œuvre échelonnée de ces exigences.
Données
L’utilisation et la propriété des données soulèvent, tant pour une institution financière que pour une société de technologies financières, des questions complexes auxquelles il n’existe pas de solution miracle. Les deux parties doivent se préparer à consacrer une part importante des négociations sur ce sujet. La société de technologies financières doit pouvoir expliquer la valeur apportée à l’institution financière en échange de la communication de données précieuses (cela peut aboutir, par exemple, à une réduction des coûts ou à une amélioration des services). Dans le cadre de la discussion initiale, la société de technologies financières s’assurera d’échanger de manière générale avec l’autre partie sur la création de valeur et les façons dont elle pourra utiliser les données autrement que pour la prestation des services décrits dans le contrat. Elle doit être prête à répondre aux questions de l’institution financière sur l’emplacement de destination des données, leur utilisation, leur sécurité et les flux de données. Elle créera; si possible, un diagramme de flux de données qu’elle pourra fournir préalablement à l’institution financière en vue de répondre aux questions inévitables.
L’institution financière doit réfléchir aux aspects de l’utilisation et de la propriété des données qui sont importants pour la société de technologies financières pendant l’établissement de l’entente de service. Il lui faudra aussi déterminer si l’octroi d’une licence d’utilisation des données conviendrait mieux que l’attribution de droits de propriété sur celles-ci. Dans la plupart des cas, l’octroi d’une licence est l’approche la plus appropriée puisque les sociétés de technologies financières n’ont pas besoin généralement de posséder les données pour atteindre leurs objectifs. De plus, les parties peuvent établir des droits d’utilisation plus ou moins généraux en fonction de leurs préférences et de leurs besoins.
La société de technologies financières doit également prendre en compte le cadre réglementaire pouvant s’appliquer à certains types de données et qui imposera des obligations à l’une ou l’autre des parties (par exemple, les mesures de sécurité ou les restrictions nécessaires à la collecte, à l’utilisation, à la communication ou au transfert des renseignements personnels des clients ou des employés; les exigences relatives à la communication des données financières et commerciales; et d’autres exigences liées à la détection ou à la prévention des pertes de données ou aux cyberincidents). Il est indispensable pour les sociétés de technologies financières de concevoir leurs politiques et leurs services en tenant compte des pratiques exemplaires établies pour la gestion des données. Par exemple, elles ne peuvent collecter et utiliser que les données nécessaires et pour lesquelles elles ont obtenu tous les consentements requis et doivent utiliser l’agrégation de données et l’anonymisation, limiter la conservation des données et disposer de plans de suppression et d’élimination des données.
Les tendances
Les institutions financières continuent à montrer de l’intérêt envers les innovations technologiques. Leur secteur a d’ailleurs acquis de l’expérience et de la confiance dans ce domaine. Les équipes des institutions financières connaissent mieux maintenant les risques et les avantages liés aux ententes de service conclues avec les sociétés de technologies financières. Elles font preuve aussi de plus de souplesse et d’ouverture d’esprit en s’écartant des ententes classiques, recourant notamment aux ententes à court terme, aux programmes pilotes et aux bacs à sable. Nombre d’institutions financières finissent pas s’adapter à l’informatique en nuage et possèdent même des sociétés affiliées ou des divisions spéciales se dévouant à des projets de technologies agiles. Au même moment, le mouvement pour un système bancaire ouvert, l’adoption accrue de l’intelligence artificielle et la réforme du système de paiement annoncent tous un changement à l’horizon. En développant une compréhension des intérêts de deux groupes d’entreprises à la culture et aux exigences (souvent extrêmement) différentes, les sociétés de technologies financières et les institutions financières pourront mener des négociations plus aisées et collaborer de manière avantageuse pour les unes et les autres.