Valeurs mobilières et dérivés
Protection des données et des renseignements personnels
Du côté des valeurs mobilières et des dérivés, plusieurs règlements et avis touchent les risques liés aux technologies de l’information et à la cybersécurité, ce qui englobe la protection des données personnelles.
Cybersécurité
Comme souligné dans l’Avis 11-332 du personnel des ACVM – Cybersécurité (pdf - 81 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 26 septembre 2016"Avis, 11-332, personnel, ACVM, Cybersécurité", l’Autorité s’attend à ce que les personnes inscrites maintiennent leur vigilance lors de l’établissement, de la mise en œuvre et de l’actualisation de leurs mesures de protection et de gestion en matière de cybersécurité. L’Autorité a par ailleurs publié différents bulletins Info-conformité sur l’importance de mettre en place des mesures visant à atténuer les risques associés à la sécurité informatique Info-Conformité volume 4, numéro 4 Ce lien s'ouvrira dans une nouvelle fenêtre; Info-Conformité volume 6, numéro 4 Ce lien s'ouvrira dans une nouvelle fenêtre .
Bien que l’approche générale soit similaire d’un secteur à l’autre, les règlements et les avis y afférents varient selon le type d’assujetti.
Sociétés inscrites – Courtier, conseiller et gestionnaire de fonds d’investissement
Conformément à l’article 11.1 du Règlement 31-103 sur les obligations et dispenses d’inscription et les obligations continues des personnes inscrites(pdf - 3 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 7 janvier 2020Règlement 31-103 sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites en vigueur., la société inscrite doit établir, maintenir et appliquer des politiques et des procédures instaurant un système de contrôles et de supervision capable de fournir l’assurance raisonnable que la société et les personnes physiques agissant pour son compte respectent la législation en valeurs mobilières et de gérer les risques liés à son activité, conformément aux pratiques commerciales prudentes.
Les sociétés inscrites doivent instaurer des contrôles adéquats visant à atténuer les risques et protéger les actifs des clients, notamment les risques liés aux cybermenaces. L’Avis 33-321 du personnel des ACVM Cybersécurité et médias sociaux (pdf - 468 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 19 octobre 2017 vise notamment à fournir aux sociétés des indications plus précises en proposant des politiques et des procédures sur les pratiques en matière de cybersécurité.
L’Avis mentionne que toutes les sociétés inscrites devraient adopter de telles pratiques, qui doivent inclure des mesures préventives, la formation de tous les employés et un plan d’intervention en cas de cyberincident.
De plus, les sociétés inscrites devraient consulter et suivre les directives publiées par les organismes d’autoréglementation comme l’Organisme canadien de réglementation du commerce des valeurs mobilières Ce lien s'ouvrira dans une nouvelle fenêtre et l’Association canadienne des courtiers de fonds mutuels Ce lien s'ouvrira dans une nouvelle fenêtre, selon le cas
Émetteurs assujettis
L’Avis multilatéral 51-347 du personnel des ACVM – Information sur les risques et les incidents liés à la cybersécurité (pdf - 70 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 19 janvier 2017Information sur les risques et les incidents liés à la cybersécurité fournit notamment des indications sur l’information à fournir sur les facteurs de risque et la déclaration d’incidents.
Comme les émetteurs sont de plus en plus tributaires des technologies de l’information et que les cyberattaques gagnent en fréquence et en complexité, l’Autorité s’attend à ce qu’ils tiennent compte de leur exposition aux risques liés à la cybersécurité pour établir l’information sur les facteurs de risque.
Relations avec des tiers et impartition
Aussi, certaines sociétés inscrites font l’impartition d’activités liées au risque informatique, notamment le stockage de renseignements ou la gestion du réseau à l’externe. Il est à noter que ces sociétés demeurent responsables de la protection des renseignements et des données. L’inscrit doit s’assurer que la tierce entité a mis en place les mesures nécessaires à la protection de ceux-ci. À ce titre, l’Autorité recommande qu’une entente de confidentialité et de protection des renseignements avec la tierce entité soit mise en place.
Divulgation des incidents
Sociétés inscrites – Courtier, conseiller et gestionnaire de fonds d’investissement
De façon générale, la réglementation en valeurs mobilières ne prévoit pas d’obligation de notification d’incidents opérationnels, à l’exception des éléments suivants :
Courtier en placement membre de l’OCRCVM :
- Obligation de signaler tout incident de cybersécurité Ce lien s'ouvrira dans une nouvelle fenêtre dans les trois jours de la découverte de celui-ci, ainsi qu’un rapport d’enquête sur l’incident de sécurité dans les 30 jours.
Courtier en épargne collective membre de l’ACFM
- Obligation de déclarer à l’ACFM Ce lien s'ouvrira dans une nouvelle fenêtre, dans un délai de cinq jours ouvrables, si la société membre est au courant de la violation de la confidentialité des renseignements du client (principe directeur no 6).
Émetteurs assujettis
En ce qui a trait aux émetteurs assujettis, l’Avis multilatéral 51-347 du personnel des ACVM – Information sur les risques et les incidents liés à la cybersécurité (pdf - 70 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 19 janvier 2017Information sur les risques et les incidents liés à la cybersécurité donne par ailleurs des indications sur la déclaration des cyberincidents importants.