L'OCRCVM impose le signalement obligatoire des incidents de cybersécurité

10 minutes de lecture
28 janvier 2020
Articles

Auteurs:

Brent Arnold, Alex Zavaglia

L'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a renforcé sa vigilance quant aux mesures imposées à ses courtiers membres sur le plan de la cybersecurité : dorénavant, ces derniers devront obligatoirement signaler toute brèche de cybersécurité.

Le 14 novembre 2019, l'OCRCVM a publié l'Avis sur les règles 19-0194[1] (« l'Avis »), dans lequel elle annonce que les Autorités canadiennes en valeurs mobilières (ACVM) ont approuvé les modifications portées aux Règles des courtiers membres et au Manuel de réglementation de l'OCRCVM, lesquelles « exigent que les courtiers signalent à l'OCRCVM tout incident de cybersécurité dans les trois jours suivant la découverte de celui-ci » et « exigent que les courtiers fournissent à l'OCRCVM un rapport d'enquête sur l'incident de cybersécurité dans les 30 jours suivant la découverte de celui-ci. » 



Les modifications sont entrées en vigueur dès la publication de l'Avis. La même journée, l'OCRCVM a également publié un document d'accompagnement à l'Avis, soit une Note d'orientation[2] dans laquelle on fournit plus de détails au sujet des modifications et sur les circonstances dans lesquelles le signalement sera nécessaire. On y précise entre autres l'information devant figurer dans tout rapport d'enquête sur l'incident à transmettre à l'intérieur du délai requis de 72 heures. Dans son rapport, le courtier devra fournir « au moins » les renseignements suivants :

  • une description de l'incident de cybersécurité;
  • la date à laquelle, ou la période durant laquelle, l'incident de cybersécurité s'est produit et la date à laquelle le courtier l'a découvert;
  • une évaluation provisoire de l'incident de cybersécurité; notamment du préjudice qu'il risque de causer à une personne ou des répercussions qu'il risque d'avoir sur ses activités;
  • la description des mesures d'intervention immédiate qu'il a prises;
  • le nom et les coordonnées d'une personne qui peut répondre aux questions de suivi de l'OCRCVM.

Dans le rapport à soumettre dans un délai de trente jours suivant la découverte d'un incident, le courtier doit inclure les renseignements suivants, à tout le moins :

  • la description de la cause de l'incident de cybersécurité;
  • une évaluation de l'étendue de l'incident de cybersécurité, notamment du nombre de personnes ayant subi un préjudice et des répercussions sur ses activités, par exemple :
    • le nombre d'appareils touchés,
    • le nombre de jours ouvrables pendant lesquels ses activités ont été touchées,
    • une estimation des coûts engagés pour clore l'incident, y compris (s'il y a lieu) le montant de la franchise de la cyberassurance,
    • l'information stockée dans son système informatique qui a été touchée, y compris les données sur les clients;
  • des renseignements détaillés sur les mesures qu'il a prises pour atténuer le risque qu'un préjudice soit causé à des personnes et que les activités de la société soient touchées, y compris le nom des autres organismes de réglementation ou des parties externes qui ont été avisés;
  • des renseignements détaillés sur les mesures qu'il a prises pour remédier au préjudice causé à toute personne, y compris (s'il y a lieu) le nom du conseiller juridique dont il a retenu les services;
  • les dispositions qu'il a prises pour améliorer son état de préparation à un incident de cybersécurité.

Ces nouvelles obligations en matière de signalement sont différentes et se distinguent de toute obligation imposée aux courtiers membres par un organisme de réglementation de la protection de la vie privée en vertu des lois applicables. La Note d'orientation recommande d'ailleurs que les courtiers membres consultent des conseillers juridiques externes afin de déterminer si certaines mesures s'imposent compte tenu des lois applicables. Ceux qui connaissent bien la législation canadienne en matière de protection de la vie privée constateront un chevauchement considérable entre les exigences de l'OCRCVM et celles formulées dans le cadre de lois régissant les activités commerciales.

La nouvelle obligation en matière de signalement reflète une obligation semblable imposée par le Bureau du surintendant des institutions financières (BSIF) plus tôt cette année. En janvier dernier, le BSIF a publié un préavis[3] (lequel est entré en vigueur le 31 mars 2019). Dans le cadre de celui-ci, on établit une exigence selon laquelle les institutions financières fédérales doivent obligatoirement signaler (au BSIF, et non au Commissariat à la protection de la vie privée) les incidents liés à la technologie et à la cybersécurité (que l'on définit comme tout incident « qui pourrait avoir des conséquences importantes sur les activités habituelles d'une IFF, y compris sur les plans de la confidentialité, de l'intégrité ou de la disponibilité de ses systèmes ou de ses renseignements ») à leurs chargés de surveillance lorsque l'institution concernée estime que l'incident présente un « niveau de gravité […] élevé ou critique. »[4] Afin d'aider les institutions à s'y retrouver, le préavis énonce les caractéristiques définissant un incident à signaler et présente des exemples utiles. Tout comme c'est le cas dans le cadre des modifications récemment adoptées par l'OCRCVM, le préavis du BSIF stipule que les incidents doivent être signalés aussi rapidement que possible, mais au plus tard 72 heures après qu'il ait été déterminé qu'il s'agit bien d'un incident à signaler.

Mentionnons que le délai de 72 heures imposé par l'OCRCVM et par le BSIF est plus précis que les délais imposés dans le cadre de lois fédérales et provinciales en matière de protection de la vie privée.

L'établissement de ces nouveaux régimes de signalement obligatoire laisse croire que les organismes de réglementation du secteur canadien des services financiers se responsabilisent davantage quant aux conséquences qu'entraîne le laxisme en matière cybersécurité, tant pour les intervenants de l'industrie que pour le public. Il sera intéressant de voir ce que les données générées par la nouvelle exigence de signalement révéleront quant à l'état de préparation des institutions financières canadiennes en lien avec la cybersécurité et quant au risque qui pèse sur ces dernières.

[1] OCRCVM, Avis sur les règles 19-0194, Modifications concernant le signalement obligatoire des incidents de cybersécurité (14 novembre 2019), en ligne : https://www.ocrcvm.ca/documents/2019/d73ffdfa-819e-4560-992b-162d1e2a9c0f_fr.pdf.

[2] OCRCVM, Note d'orientation 19-0195, Foire aux questions – Signalement obligatoire des incidents de cybersécurité (14 novembre 2019), en ligne : https://www.ocrcvm.ca/Documents/2019/92b0a037-c4a1-4cc6-bfcb-a08a80e172c1_fr.pdf.

[3] BSIF, Signalement des incidents liés à la technologie et à la cybersécurité (janvier 2019), en ligne : http://www.osfi-bsif.gc.ca/Fra/Docs/TCSIR.pdf.

[4] BSIF, Signalement des incidents liés à la technologie et à la cybersécurité (janvier 2019), en ligne : http://www.osfi-bsif.gc.ca/Fra/Docs/TCSIR.pdf.

CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
Sujet(s) similaire(s)   Technologie financière, Cybersécurité et protection des données

Auteurs

Articles et ressources similaires

Nos ressources Articles et ressources similaires
person looking at computer Guides
25 avril 2024 Guide sur le droit à la portabilité des données
Female sitting at a desk working on computer Articles
18 avril 2024 L'Alberta modifie son processus de déclaration d'atteintes à la confidentialité dans le secteur privé (en anglais)
digital consumer Articles
17 avril 2024 Embracing transformation: Budget 2024 charts a course for a tech-forward, consumer-oriented financial services sector

Auteurs

Télécharger en tant que PDF