Cabinets et représentants
Protection des données et des renseignements personnels
En ce qui a trait à la protection des renseignements personnels et à la cybersécurité dans le secteur de la distribution de produits et services financiers, les personnes inscrites (cabinets, sociétés autonomes et représentants autonomes) peuvent notamment se référer au Guide sur la gouvernance et la conformité des inscrits (pdf - 25 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 1er juin 2021 en vertu de la Loi sur la distribution de produits et services financiers (voir plus précisément les sections 4.9 et 6.2).
Cet outil vient sensibiliser les personnes inscrites quant à leurs obligations ainsi qu'aux attentes de l’Autorité en matière de protection des renseignements personnels, notamment sur la tenue de dossiers des clients et l’accès à ceux-ci par des personnes physiques.
Les représentants des personnes inscrites doivent également respecter les obligations de confidentialité prévues à leurs codes de déontologie. La Chambre de la sécurité financière Ce lien s'ouvrira dans une nouvelle fenêtre et la Chambre de l’assurance de dommages Ce lien s'ouvrira dans une nouvelle fenêtre sont les deux organismes qui, en vertu de la Loi sur la distribution de produits et services financiersCe lien s'ouvrira dans une nouvelle fenêtre, veillent à la déontologie de ces représentants.
Pour ce qui est de l’encadrement de la vente d’assurance par Internet, l’Autorité a publié le printemps dernier le Règlement sur les modes alternatifs de distribution (pdf - 152 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 8 avril 2020"règlement, modes alternatifs, distribution", dont le treizième article oblige les cabinets et les sociétés autonomes à « s’assurer que les renseignements fournis par le client sont recueillis, utilisés, transmis et conservés de manière à en assurer la confidentialité et la sécurité » lorsqu’ils exercent une telle activité.
Cybersécurité
La nature des services informatiques utilisés par l’inscrit peut avoir une incidence sur son exposition aux cyberrisques. Des services tels que l’accès à distance aux systèmes informatiques, la transmission électronique des documents ou le développement de plateformes d’offre de produits et services en ligne augmentent la surface d’exposition et doivent être adéquatement sécurisés afin que les inscrits puissent gérer adéquatement ce risque.
Les obligations et les attentes envers les personnes inscrites sont présentées à la section 6.2 du Guide sur la gouvernance et la conformité des inscrits (pdf - 25 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 1er juin 2021 en vertu de la Loi sur la distribution de produits et services financiers. Cette section inclut également des références additionnelles à l’égard des bonnes pratiques en matière de cybersécurité, de relation avec des tiers et de divulgation des incidents.
Comment prévenir les cyberattaques et reconnaître les cybermenaces
- Participer à des formations sur la cybersécurité.
- Assurer la mise à jour continue de ses logiciels et applications.
- Renforcer la sécurité de ses connexions à un réseau Wi-Fi public, notamment par l’utilisation d’un réseau privé virtuel (RPV).
- Éviter de cliquer sur des hyperliens contenus dans des courriels ou des textos provenant d’expéditeurs inconnus ou non attendus, ou sur des sites Internet inconnus.
- Éviter de télécharger des fichiers joints à un courriel ou un message texte dont la provenance est inconnue ou non attendue.
- Avoir des sauvegardes hors ligne de ses données.
L’Autorité réitère l’importance d’appliquer un plan de continuité des activités professionnelles adéquat et de détenir des données de sauvegarde qui pourraient être utilisées en cas de bris de service.
Pour en savoir plus sur les inspections
Fin de l'information importanteRelations avec des tiers et impartition
De plus, la personne inscrite devrait veiller aux enjeux de cybersécurité dans le cadre de ses relations avec des tiers, notamment lors de l’impartition de certaines activités, comme l’utilisation d’espaces de stockage dans l’infonuagique ou l’utilisation d’outils pour automatiser les activités de conformité dans le contexte des nouveaux modèles d’affaires basés sur les technologies. Dans ces situations, la personne inscrite devrait avoir une connaissance des risques liés aux fournisseurs de services auxquels elle fait appel.
Divulgation des incidents
Par ailleurs, le cabinet et la société autonome devraient élaborer un plan de continuité des activités et de réponse aux cyberincidents en cas de cyberattaque ou de défaillance des systèmes, incluant un processus de reddition de compte à la haute direction et de divulgation de l’incident aux personnes susceptibles de subir un préjudice à la suite d’un incident, dans un délai raisonnable. Ce plan devrait être révisé périodiquement et diffusé au personnel.