Protection des données et des renseignements personnels

Du côté des valeurs mobilières et des dérivés, plusieurs règlements et avis touchent les risques liés aux technologies de l’information et à la cybersécurité, ce qui englobe la protection des données personnelles.

Cybersécurité

Comme souligné dans l’Avis 11-332 du personnel des ACVM – Cybersécurité (pdf - 81 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 26 septembre 2016"Avis, 11-332, personnel, ACVM, Cybersécurité", l’AMF s’attend à ce que les personnes inscrites maintiennent leur vigilance lors de l’établissement, de la mise en œuvre et de l’actualisation de leurs mesures de protection et de gestion en matière de cybersécurité. L’AMF a par ailleurs publié différents bulletins Info-conformité sur l’importance de mettre en place des mesures visant à atténuer les risques associés à la sécurité informatique.Info-Conformité volume 4, numéro 4 Ce lien s'ouvrira dans une nouvelle fenêtreInfo-Conformité volume 6, numéro 4 Ce lien s'ouvrira dans une nouvelle fenêtre

Bien que l’approche générale soit similaire d’un secteur à l’autre, les règlements et les avis y afférents varient selon le type d’assujetti.

Sociétés inscrites – Courtier, conseiller et gestionnaire de fonds d’investissement

Conformément à l’article 11.1 du Règlement 31-103 sur les obligations et dispenses d’inscription et les obligations continues des personnes inscrites(pdf - 3 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 7 janvier 2020Règlement 31-103 sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites en vigueur., la société inscrite doit établir, maintenir et appliquer des politiques et des procédures instaurant un système de contrôles et de supervision capable de fournir l’assurance raisonnable que la société et les personnes physiques agissant pour son compte respectent la législation en valeurs mobilières et de gérer les risques liés à son activité, conformément aux pratiques commerciales prudentes.

Les sociétés inscrites doivent instaurer des contrôles adéquats visant à atténuer les risques et protéger les actifs des clients, notamment les risques liés aux cybermenaces. L’Avis 33-321 du personnel des ACVM Cybersécurité et médias sociaux (pdf - 468 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 19 octobre 2017 vise notamment à fournir aux sociétés des indications plus précises en proposant des politiques et des procédures sur les pratiques en matière de cybersécurité.

L’Avis mentionne que toutes les sociétés inscrites devraient adopter de telles pratiques, qui doivent inclure des mesures préventives, la formation de tous les employés et un plan d’intervention en cas de cyberincident.

De plus, les sociétés membres de l'Organisme canadien de réglementation des investissements (OCRI) Ce lien s'ouvrira dans une nouvelle fenêtre devraient consulter et suivre les directives publiées par cet organisme.

Émetteurs assujettis

L’Avis multilatéral 51-347 du personnel des ACVM – Information sur les risques et les incidents liés à la cybersécurité (pdf - 70 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 19 janvier 2017Information sur les risques et les incidents liés à la cybersécurité fournit notamment des indications sur l’information à fournir sur les facteurs de risque et la déclaration d’incidents.

Comme les émetteurs sont de plus en plus tributaires des technologies de l’information et que les cyberattaques gagnent en fréquence et en complexité, l’AMF s’attend à ce qu’ils tiennent compte de leur exposition aux risques liés à la cybersécurité pour établir l’information sur les facteurs de risque.

Relations avec des tiers et impartition

Aussi, certaines sociétés inscrites font l’impartition d’activités liées au risque informatique, notamment le stockage de renseignements ou la gestion du réseau à l’externe. Il est à noter que ces sociétés demeurent responsables de la protection des renseignements et des données. L’inscrit doit s’assurer que la tierce entité a mis en place les mesures nécessaires à la protection de ceux-ci. À ce titre, l’AMF recommande qu’une entente de confidentialité et de protection des renseignements avec la tierce entité soit mise en place.