Structures de marché
Protection des données et des renseignements personnels
Du côté des structures de marché, plusieurs règlements et avis touchent les risques liés aux technologies de l’information et à la cybersécurité, ce qui englobe la protection des données personnelles.
Cybersécurité
Comme souligné dans l’Avis 11-332 du personnel des ACVM – Cybersécurité (pdf - 81 Ko)
Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 26 septembre 2016"Avis, 11-332, personnel, ACVM, Cybersécurité", l’Autorité s’attend à ce que les entités réglementées vérifient leur conformité aux obligations continues prévues par la législation en valeurs mobilières, ce qui nécessite notamment de se doter de contrôles internes des systèmes et de déclarer les atteintes à la sécurité.
Bien que l’approche générale soit similaire d’un secteur à l’autre, les règlements et les avis y afférents varient selon le type d’assujetti.
Marchés
L’article 12.1 du Règlement 21-101 sur le fonctionnement du marché(pdf - 1 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 3 novembre 2017Fonctionnement du marché oblige les marchés à élaborer et maintenir des contrôles généraux adéquats en matière de technologies de l’information, notamment en ce qui concerne la sécurité de l’information. L’article 12.2 oblige également les marchés à engager, chaque année, une partie compétente pour effectuer un examen indépendant des systèmes et établir un rapport selon les normes d’audit établies afin de garantir leur conformité aux exigences prévues à l’article 12.1. Des obligations similaires en la matière sont également prévues à l’article 14.5 du Règlement 21-101 sur le fonctionnement du marché(pdf - 1 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 3 novembre 2017Fonctionnement du marché pour les agences de traitement de l’information.
De plus, nous avons récemment publié des modifications au Règlement 21-101 et à son instruction générale afin d’améliorer les obligations relatives aux systèmes prévus au règlement. Notamment, la notion de « cyber résilience » a été ajoutée aux contrôles généraux qu’un marché ou une agence de traitement de l’information doit élaborer et maintenir.
Chambres de compensation
Du côté des chambres de compensation, les Principes pour les infrastructures de marchés Ce lien s'ouvrira dans une nouvelle fenêtre qui sont repris dans le Règlement 24-102 sur les obligations relatives aux chambres de compensation(pdf - 288 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 28 juillet 2017PIMF comprennent plusieurs exigences Ce lien s'ouvrira dans une nouvelle fenêtre en matière de confidentialité des données qui s’appliquent tant à l’entité qu’au régulateur. Tout comme il le fait pour les marchés, le Règlement 24-102 oblige les chambres de compensation à élaborer et maintenir des contrôles généraux adéquats en matière de technologies de l’information, notamment en ce qui concerne la sécurité de l’information.
De plus, un projet de modifications au Règlement 24-102 est en cours et vise à aligner les exigences relatives aux systèmes avec celles du projet de modification du Règlement 21-101 mentionnées ci-dessus.
Référentiels centraux
En ce qui a trait aux référentiels centraux, l’article 21 du Règlement 91-507 sur les référentiels centraux et la déclaration de données sur les dérivés(pdf - 944 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 24 janvier 2018"règlement,91-507,référentiels centraux,déclaration de données, dérivés" prévoit l’obligation pour les référentiels centraux d’aviser rapidement l’Autorité de toute atteinte à la sécurité, à l’intégrité ou à la confidentialité des données.
Relations avec des tiers et impartition
L’article 5.12 du Règlement 21-101 sur le fonctionnement du marché(pdf - 1 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 3 novembre 2017Fonctionnement du marché prévoit des obligations qui incombent aux marchés lorsqu’ils impartissent l’un de leurs services ou systèmes clés à un fournisseur de services.
Chambres de compensation
Pour les chambres de compensation, les obligations relatives à l’impartition d’un service ou d’un système essentiel sont prévues à l’article 4.10 du Règlement 24-102 sur les obligations relatives aux chambres de compensation(pdf - 288 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 28 juillet 2017PIMF.
Référentiels centraux
Du côté des référentiels centraux, leurs obligations lorsqu’ils impartissent un service ou un système important à un fournisseur de services sont prévues à l’article 24 du Règlement 91-507 sur les référentiels centraux et la déclaration de données sur les dérivés(pdf - 944 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 24 janvier 2018"règlement,91-507,référentiels centraux,déclaration de données, dérivés".
Divulgation des incidents
Marchés
L’article 12.1 du Règlement 21-101 sur le fonctionnement du marché(pdf - 1 Mo)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 3 novembre 2017Fonctionnement du marché oblige également les marchés à aviser rapidement l’Autorité de toute violation importante de la sécurité de leurs systèmes.
À cet égard, l’Avis 21-326 du personnel des ACVM – Indications sur la déclaration des incidents importants touchant les systèmes (pdf - 210 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 10 juin 2021Indications sur la déclaration des incidents importants touchant les systèmes et son annexe résume les principales obligations réglementaires et les attentes de l’Autorité en matière de déclaration d’incidents.
Organisme canadien de réglementation des investissements (OCRI)
En vertu de la décision de reconnaissance de l’Organisme canadien de réglementation des investissements (pdf - 317 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreMise à jour effectuée le 1er juin 2023Révision de la décision de reconnaissance à titre d’organisme d’autoréglementation (OCRI), l’OCRI doit notifier rapidement à l’Autorité toute panne, tout retard ou défaut de fonctionnement ou tout incident de sécurité important, par exemple une atteinte à la cybersécurité, dans les systèmes essentiels de l’OCRI ou des systèmes technologiques qui les soutiennent (Appendice 2 – « Obligations d’information »).