Protection des données et des renseignements personnels

En ce qui a trait à la protection des renseignements personnels et à la cybersécurité dans le secteur de la distribution de produits et services financiers, les personnes inscrites (cabinets, sociétés autonomes et représentants autonomes) peuvent notamment se référer au Guide sur la gouvernance et la conformité des inscrits (pdf - 6 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 14 mars 2018Guide sur la gouvernance et la conformité des inscrits en vertu de la Loi sur la distribution de produits et services financiers (voir plus précisément les sections 4.8 et 6.2).

Cet outil vient sensibiliser les personnes inscrites quant à leurs obligations ainsi qu'aux attentes de l’Autorité en matière de protection des renseignements personnels, notamment sur la tenue de dossiers des clients et l’accès à ceux-ci par des personnes physiques.

Les représentants des personnes inscrites doivent également respecter les obligations de confidentialité prévues à leurs codes de déontologie. La Chambre de la sécurité financière Ce lien s'ouvrira dans une nouvelle fenêtre et la Chambre de l’assurance de dommages Ce lien s'ouvrira dans une nouvelle fenêtre sont les deux organismes qui, en vertu de la Loi sur la distribution de produits et services financiersCe lien s'ouvrira dans une nouvelle fenêtre, veillent à la déontologie de ces représentants.

Pour ce qui est de l’encadrement de la vente d’assurance par Internet, l’Autorité a publié le printemps dernier le Règlement sur les modes alternatifs de distribution (pdf - 152 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 8 avril 2020"règlement, modes alternatifs, distribution", dont le treizième article oblige les cabinets et les sociétés autonomes à « s’assurer que les renseignements fournis par le client sont recueillis, utilisés, transmis et conservés de manière à en assurer la confidentialité et la sécurité » lorsqu’ils exercent une telle activité.

Cybersécurité

La nature des services informatiques utilisés par l’inscrit peut avoir une incidence sur son exposition aux cyberrisques. Des services tels que l’accès à distance aux systèmes informatiques, la transmission électronique des documents ou le développement de plateformes d’offre de produits et services en ligne augmentent la surface d’exposition et doivent être adéquatement sécurisés afin que les inscrits puissent gérer adéquatement ce risque.

Les obligations et les attentes envers les personnes inscrites sont présentées à la section 6.2 du Guide sur la gouvernance et la conformité des inscrits (pdf - 6 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 14 mars 2018Guide sur la gouvernance et la conformité des inscrits en vertu de la Loi sur la distribution de produits et services financiers. Cette section inclut également des références additionnelles à l’égard des bonnes pratiques en matière de cybersécurité, de relation avec des tiers et de divulgation des incidents.

Relations avec des tiers et impartition

De plus, la personne inscrite devrait veiller aux enjeux de cybersécurité dans le cadre de ses relations avec des tiers, notamment lors de l’impartition de certaines activités, comme l’utilisation d’espaces de stockage dans l’infonuagique ou l’utilisation d’outils pour automatiser les activités de conformité dans le contexte des nouveaux modèles d’affaires basés sur les technologies. Dans ces situations, la personne inscrite devrait avoir une connaissance des risques liés aux fournisseurs de services auxquels elle fait appel.

Divulgation des incidents

Par ailleurs, le cabinet et la société autonome devraient élaborer un plan de continuité des activités et de réponse aux cyberincidents en cas de cyberattaque ou de défaillance des systèmes, incluant un processus de reddition de compte à la haute direction et de divulgation de l’incident aux personnes susceptibles de subir un préjudice à la suite d’un incident, dans un délai raisonnable. Ce plan devrait être révisé périodiquement et diffusé au personnel.