Le 9 octobre 2025, le régulateur des services financiers au Québec, l’Autorité des marchés financiers (AMF), a publié, pour consultation publique, un projet de Ligne directrice sur la gestion du risque lié aux tiers (la « Ligne directrice »). Dans sa version définitive, elle remplacera la Ligne directrice sur la gestion des risques liés à l’impartition initialement adoptée en 2009 (la « Ligne directrice de 2009 »).
La Ligne directrice s’appliquera aux assureurs, aux sociétés de fiducie, aux institutions de dépôt et aux coopératives de services financiers autorisés du Québec (« institutions financières »).
Les institutions financières fédérales assujetties à la supervision du Bureau du surintendant des institutions financières (« BSIF ») seront également visées par la Ligne directrice si elles relèvent de l’une ou l’autre des catégories ci-dessus. Ce sera notamment le cas pour les assureurs et les sociétés de fiducie qui font des affaires au Québec avec l’autorisation de l’AMF.
La Ligne directrice diverge à plusieurs égards de la Ligne directrice B-10 du BSIF. Par exemple, elle exige que les institutions financières tiennent un registre centralisé de toutes leurs ententes avec des tiers et elle établit des obligations spécifiques visant à assurer le traitement équitable des clients tout au long du cycle de vie de l’entente.
Cet article fait ressortir les éléments principaux de la Ligne directrice : gouvernance, traitement équitable des clients, utilisation des services infonuagiques et dispositions contractuelles obligatoires dans les ententes avec les tiers importants ou qui présentent un risque élevé.
Application et exigences en matière de gouvernance
Alors que la Ligne directrice de 2009 visait uniquement les ententes d’impartition importantes, la nouvelle Ligne directrice définit plus largement le risque lié aux tiers, soit les « Risques auxquels est exposée une institution financière et/ou ses clients lorsqu’elle fait affaire avec un tiers », ce qui comprend « l’ensemble des risques qui découlent des ententes avec ces derniers ».
La Ligne directrice établit des exigences précises pour les conseils d’administration et les hautes directions concernant la gestion du risque lié aux tiers.
Plus particulièrement, elle précise que le conseil d’administration assume la responsabilité ultime de la stratégie de gestion du risque lié aux tiers et de sa surveillance. Dans cette optique, le conseil d’administration doit :
- approuver la stratégie de l’institution financière concernant le recours à des tiers. Celle-ci devrait être arrimée à l’appétit pour le risque et à la tolérance aux perturbations;
- approuver l’appétit pour le risque lié aux tiers de l’institution financière et les niveaux de tolérance correspondants;
- veiller à ce que la haute direction développe et opérationnalise un cadre de gestion du risque lié aux tiers;
- approuver le cadre de gestion du risque lié aux tiers;
- veiller à ce que la haute direction produise une reddition de comptes périodique sur l’atténuation du risque lié aux tiers;
- s’assurer que la gestion du risque lié aux tiers soit intégrée dans l’ensemble de l’institution financière.
La Ligne directrice établit aussi des responsabilités diverses pour la haute direction, c’est-à-dire :
- définir la stratégie de l’institution concernant le recours aux tiers;
- définir l’appétit et les seuils de tolérance pour le risque lié aux tiers de l’institution financière;
- développer et opérationnaliser un cadre de gestion du risque lié aux tiers qui couvre l’ensemble du cycle de vie des ententes, et dans lequel les rôles et les responsabilités des intervenants sont clairement définis;
- produire la reddition de comptes périodique concernant la gestion du risque lié aux tiers;
- communiquer la stratégie et le cadre de gestion du risque lié aux tiers à l’ensemble des parties prenantes à l’interne et à l’externe;
- assurer le maintien, dans l’institution, d’une expertise et de programmes de formation et de sensibilisation adéquats sur la gestion du risque lié aux tiers;
- faire la promotion d’une saine gestion du risque lié aux tiers.
Appétit pour le risque lié aux tiers et cadre de gestion du risque
La Ligne directrice souligne que les institutions financières doivent établir un cadre d’appétit pour le risque complet en matière de risque lié aux tiers, lequel devrait intégrer des mesures d’évaluation quantitatives et qualitatives. Dans l’élaboration de ce cadre, les institutions financières devraient tenir compte des risques de concentration et d’impartition, ainsi que de l’impact potentiel qu’une perturbation d’un tiers pourrait avoir sur leur résilience opérationnelle.
De plus, l’appétit pour le risque et les niveaux de tolérance devraient être révisés régulièrement afin de refléter l’évolution du risque lié aux tiers et la stratégie de l’institution financière à cet égard.
Cadre de gestion du risque lié aux tiers
L’AMF exige des institutions financières qu’elles se dotent d’un cadre de gestion du risque lié aux tiers exhaustif qui couvre l’ensemble du cycle de vie d’une entente. Ce cadre devrait être aligné sur le cadre global de gestion du risque opérationnel et sur la stratégie d’affaires de l’institution et doit :
- définir les rôles et responsabilités en matière de gestion du risque lié aux tiers;
- inclure les politiques, les processus et les contrôles pour l’identification, l’évaluation, l’atténuation et la communication des risques liés aux tiers;
- être mis à jour régulièrement pour refléter l’évolution de l’environnement interne et externe et des pratiques optimales.
Traitement équitable des clients
La Ligne directrice fait valoir l’importance d’assurer un traitement équitable des clients tout au long du cycle de vie d’une entente, en imposant notamment aux institutions financières de :
- évaluer les impacts potentiels de l’entente pour les clients dans le cadre de l’évaluation des risques;
- s’assurer que les pratiques du tiers sont cohérentes avec la culture de l’institution financière en matière de traitement équitable du client;
- intégrer des attentes en matière de traitement équitable des clients et de droit d’information dans les ententes;
- surveiller l’expérience des clients auprès du tiers et analyser les indicateurs de suivi permettant d’apprécier le traitement équitable des clients de façon continue, notamment quand le tiers est en contact direct avec les clients.
Fournisseurs de services infonuagiques
La Ligne directrice contient des exigences particulières pour les ententes avec les fournisseurs de services infonuagiques. Ainsi, elle précise que le cadre de gestion des risques doit comprendre des dispositions spécifiques concernant les services infonuagiques basées sur les pratiques optimales généralement reconnues dans le domaine. Plus précisément, la Ligne directrice souligne que les ententes avec les fournisseurs de services infonuagiques doivent favoriser l’interopérabilité et la transférabilité infonuagique et atténuer les risques connexes, notamment le risque de concentration, avec des stratégies à nuages multiples pour réduire la dépendance à un fournisseur unique.
Création d’un registre centralisé des ententes avec des tiers
L’AMF entend aussi exiger des institutions financières qu’elles se dotent d’un registre centralisé de leurs ententes avec des tiers et en assurent la mise à jour en continu. Pour chaque entente, le registre devrait contenir au minimum l’information suivante :
- le propriétaire, la criticité et le niveau de risque de l’entente;
- le ou les processus visés par l’entente chez l’institution ainsi que le niveau de criticité de ces derniers;
- le ou les produits ou services couverts par l’entente;
- l’information sur les sous-traitants du tiers;
- la nature des informations partagées avec le tiers (informations sensibles, renseignements personnels);
- le lieu de prestation des services.
L’Autorité s’attend à ce que les institutions financières utilisent les informations consignées au registre pour faire ressortir les dépendances et les interconnexions entre les ententes.
Dispositions obligatoires pour les ententes critiques
À l’instar de la Ligne directrice B-10 du BSIF, la Ligne directrice de l’AMF dresse une liste des dispositions contractuelles minimales à intégrer aux ententes critiques ou à risque élevé. Bon nombre de ces dispositions s’alignent sur celles de la Ligne directrice du BSIF, mais l’approche de l’AMF diverge à plusieurs égards.
Par exemple, l’AMF accorde une importance particulière au traitement équitable des clients, indiquant que les ententes doivent prévoir le droit des institutions financières de surveiller et d’évaluer la performance du tiers en la matière, le cas échéant. La Ligne directrice impose aussi l’intégration d’un mécanisme de traitement des plaintes.
La Ligne directrice de l’AMF donne plus de détails sur le droit des institutions financières de recevoir de l’information. Par exemple, elle stipule expressément que les ententes doivent accorder aux institutions financières le droit de recevoir, à l’égard du tiers et de l’entente, de l’information adéquate, complète et en temps opportun, notamment lors :
- d’un incident opérationnel majeur ou répété (chez le tiers ou un sous-traitant);
- d’une nouvelle entente avec un sous-traitant ou d’un changement;
- d’un changement de propriété du tiers;
- d’un changement organisationnel ou opérationnel important chez le tiers;
- d’une non-conformité avec les exigences réglementaires ou d’un litige.
Incidences pratiques et prochaines étapes
La consultation publique prend fin le 19 décembre 2025.
Les institutions financières devront mettre à jour leurs cadres de gestion des risques pour se conformer à la Ligne directrice, dans sa version définitive, et veiller à intégrer à leurs activités toutes ses exigences. Il faudra donc créer et tenir un registre centralisé des ententes avec des tiers, intégrer les dispositions contractuelles exigées par la Ligne directrice (qui ne sont pas les mêmes que celles de la Ligne directrice B-10 du BSIF) et appliquer les mesures exigées par l’Autorité pour assurer le traitement équitable des clients relativement aux ententes avec des tiers.
BLG peut vous aider
Pour en savoir plus sur la Ligne directrice ou obtenir de l’aide pour son application, y compris l’élaboration de politiques internes, de cadres de gouvernance ou des pratiques optimales de gestion du risque lié aux tiers, nous vous invitons à communiquer avec les autrices ou l’auteur du présent article, ou avec l’une des personnes-ressources dont le nom figure ci-après.
