Les courtiers sommés d’agir contre les cyberrisques

Les cybermenaces représentent un risque élevé pour tous les courtiers membres de l’OCRCVM et ceux-ci doivent désormais avoir mis en place « des contrôles appropriés » afin de protéger leurs clients, rappelle l’Organisme canadien de réglementation du commerce des valeurs mobilières.

Dans son rapport annuel sur les priorités en matière de conformité pour 2018-2019, l’organisme fait le tour des problèmes et tendances constatés au cours de l’année écoulée sur le plan de la conformité et de l’inscription. Il dresse également un aperçu des questions réglementaires sur lesquelles il se concentrera au cours des 12 prochains mois.

L’OCRCVM précise que ses priorités durant cette période « découlent des risques et des tendances constatés sur le plan de la conduite des affaires des courtiers, des exigences liées aux finances et aux opérations, des pratiques de négociation ainsi que des demandes et déclarations en matière d’inscription et d’adhésion ».

LA PRÉVENTION DONNE DE BONS RÉSULTATS

Les principales priorités affichées dans le rapport sont :

• Mettre en œuvre les changements apportés aux modèles d’évaluation des risques afin que les ressources responsables de la conformité de l’Organisme se concentrent sur les risques les plus importants pour les investisseurs et l’intégrité des marchés;
• Poursuivre le soutien aux courtiers sur le plan de la cybersécurité en étudiant les résultats du deuxième sondage sur le degré de préparation dans ce domaine mené à la fin de 2018;
• S’assurer que les courtiers membres montrent leur engagement à établir une solide culture de conformité.

Cette année, le rapport de l’OCRCVM fait une large part à la conformité des finances et des opérations, particulièrement en matière de cybersécurité. Après avoir rappelé que « les cybermenaces constituent un risque d’entreprise pour tous les courtiers membres, peu importe leur taille et leur complexité », l’organisme insiste sur le fait que « chaque courtier doit avoir mis en place des contrôles appropriés afin de protéger les renseignements sur les clients dont il a la garde et sur lesquels il exerce un contrôle ».

Rappelant qu’il a organisé l’an dernier des exercices de simulation à l’intention des courtiers de petite et de moyenne taille, l’OCRCVM détaille les leçons qu’il en a tirées :

• La gouvernance d’entreprise est essentielle à l’élaboration et au maintien d’un solide programme de cybersécurité adapté au profil d’affaires particulier de la société;
• Pour être efficace, le plan de gestion des interventions en cas d’incident doit être détaillé et précis, et il doit souligner et définir le rôle et les responsabilités de chaque membre des équipes;
• La formation et la sensibilisation des employés constituent un moyen peu coûteux et efficace d’atténuer le risque que posent les menaces internes;
• Pour les courtiers de petite et de moyenne taille, la cyberassurance est un moyen économique d’atténuer et de transférer une portion de leur cyberrisque grâce à un accès immédiat à des conseillers juridiques et à des enquêteurs en informatique judiciaire;
• La pratique de tests réguliers d’évaluation des risques effectués par des tiers est efficace, notamment dans les domaines suivants : prévention de la perte de données; autorisations d’accès; blocage des courriels suspects; chiffrement des données.

CONFLITS D’INTÉRÊTS LIÉS À LA RÉMUNÉRATION

Dans son rapport annuel, l’OCRCVM se penche par ailleurs sur la question des conflits d’intérêts liés à la rémunération. Après avoir rappelé qu’en avril 2017, il avait publié une note d’orientation présentant les résultats d’une enquête effectuée chez les courtiers, il souligne que cet examen lui a permis de relever « des lacunes importantes », telles que « le recours abusif à la communication des conflits d’intérêts liés à la rémunération comme moyen de régler ces conflits »; « la piètre qualité de la communication »; ou encore « le manquement à l’obligation d’effectuer un suivi efficace des conflits associés aux comptes à honoraires ».

Afin d’examiner « de façon plus efficace » la gestion des conflits liés à la rémunération, le service de la Conformité de la conduite des affaires de l’Organisme a donc élaboré et mis en œuvre un module spécialisé relatif aux conflits d’intérêts. Celui-ci permet d’examiner : la gestion générale des conflits d’intérêts; les problèmes à l’échelle de l’entreprise (sociétés membres du même groupe, ententes d’indication de clients, pratiques de surveillance); les grilles et programmes de rémunération, ainsi que les pratiques de recrutement; les cibles de vente; les conflits liés aux produits.

Bien que ce module ait été mis en place l’an dernier, l’OCRCVM déplore néanmoins le fait que « de nombreuses sociétés n’ont toujours pas mis en place une procédure efficace de détection et de gestion des conflits liés à la rémunération ». En conséquence, il « exige » désormais que les courtiers « aient des politiques et des procédures permettant de repérer et de gérer tous les conflits d’intérêts matériels réels et potentiels ».

Et pour s’assurer que cela sera bien le cas, l’organisme annonce qu’il « continuera d’améliorer l’efficacité de sa procédure d’inspection en recueillant des données sur les lacunes » dans ce domaine et que ses inspecteurs se concentreront aussi sur « les conflits plus complexes, y compris ceux causés par les incitatifs non monétaires, les cibles de vente, et les incitatifs à la vente de produits d’organismes de placement collectif ».

UN OUTIL POUR AIDER LES COURTIERS

« Notre rapport constitue un survol important des questions et des défis auxquels les courtiers devraient s’attaquer pour mieux respecter les exigences réglementaires de l’OCRCVM. Nous devons assurer la conformité avec les normes élevées de l’Organisme pour bien remplir notre mandat qui consiste à protéger les investisseurs et à maintenir la confiance dans l’intégrité des marchés financiers canadiens », commente Victoria Pinnington, première vice-présidente à la politique de réglementation des marchés.

« Les courtiers devraient se servir de ce rapport sur les priorités en matière de conformité et de nos notes d’orientation, conférences et autres tribunes pour les aider à protéger leurs clients et leur entreprise. Ils devraient considérer ce document comme un outil qui leur permet de respecter nos règles d’une manière appropriée à leur modèle d’affaires unique », conclut Elsa Renzella, première vice-présidente à la mise en application et à l’inscription de l’Organisme.