Cybersécurité : les courtiers devront être plus transparents

Par La rédaction | 6 avril 2018 | Dernière mise à jour le 15 août 2023
4 minutes de lecture

L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) pourrait bientôt exiger que les courtiers signalent plus rapidement les incidents de cybersécurité et qu’ils transmettent des renseignements plus complets.

C’est ce qui ressort d’une proposition de modifications des Règles des courtiers membres et du Manuel de réglementation en langage simple des courtiers membres présentée récemment par l’organisme.

L’OCRCVM justifie sa volonté de changement par une augmentation continue de la fréquence et de la complexité des incidents de cybersécurité et par le fait que l’échange de renseignements est crucial pour atténuer ces menaces.

TROIS JOURS POUR DIVULGUER

Si les propositions sont adoptées, les courtiers devront dévoiler les incidents de cybersécurité dans les trois jours civils suivant leur découverte. Ce premier rapport devra comprendre les renseignements sommaires de l’incident. Un second rapport, plus exhaustif, devra être déposé dans les trente jours suivant la découverte de l’incident. Il devra notamment renseigner sur ses causes.

DIVULGATION VOLONTAIRE

À l’heure actuelle, le signalement se fait sur une base volontaire. L’OCRCVM demande d’ailleurs aux courtiers de continuer à divulguer les incidents jusqu’à ce que d’éventuels changements soient adoptés. Le Guide de pratiques exemplaires en matière de cybersécurité de l’OCRCVM recommande de signaler prestement les incidents.

L’organisme rappelle que lorsqu’il reçoit rapidement le signalement d’un incident, il peut à la fois fournir un appui au courtier touché et informer les autres de la menace. L’accumulation des signalements aide à évaluer les tendances des cybermenaces et la transparence renforce la confiance dans les courtiers et dans l’intégrité du marché.

SUIVRE L’ÉVOLUTION DES LOIS

Ces changements vont dans le sens de la modification de la Loi sur la protection des renseignements personnels et les documents électroniques par la Loi sur la protection des renseignements personnels numériques, adoptée en juin 2015 et qui entrera en vigueur quand les règlements connexes de cette loi fédérale auront été fixés.

La nouvelle loi stipule qu’une entreprise doit aviser le commissaire à la protection de la vie privée et les personnes touchées de « toute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont elle a la gestion, s’il est raisonnable de croire, dans les circonstances, que l’atteinte présente un risque réel de préjudice grave à l’endroit d’un individu ».

À part en Alberta, aucune loi provinciale ne comporte d’obligations semblables pour l’instant. Toutefois, aux États-Unis, toute société réglementée par le Department of Financial Services de l’État de New York doit aviser le superintendant dans un délai de 72 heures des incidents de cybersécurité qui ont un impact sur ses activités.

L’OCRCVM croit que ces changements ne se traduiront pas par des dépenses supplémentaires en technologie et que les coûts de conformité supplémentaires ne dépasseront pas ceux qu’imposeront la nouvelle loi fédérale à venir.

POUR COMMENTER

Si vous êtes intéressé à commenter ces propositions de changements, vous pouvez le faire par écrit jusqu’au 22 mai 2018. Une copie des lettres de commentaires sera rendue publique sur le site de l’OCRCVM.

Il faut écrire à :

Erica Young Avocate aux politiques Organisme canadien de réglementation du commerce des valeurs mobilières 121, rue King Ouest, Bureau 2000 Toronto (Ontario) M5H 3T9 Courriel : eyoung@iiroc.ca

Il faut également en transmettre une copie aux autorités de reconnaissance à :

Services de la réglementation des marchés Commission des valeurs mobilières de l’Ontario 20, rue Queen Ouest Bureau 1903, C.P. 55 Toronto (Ontario) M5H 3S8 Courriel : marketregulation@osc.gov.on.ca

La rédaction