Alerte :
Mise à jour sur la consolidation du site Web : Phase 2 et commander des dépliants
Les Autorités canadiennes en valeurs mobilières (ACVM) ont approuvé les modifications apportées aux Règles des courtiers membres et les modifications correspondantes apportées au Manuel de réglementation en langage simple des courtiers membres de l’OCRCVM (les Règles de l’OCRCVM) qui exigent que les courtiers membres (les courtiers) signalent à l’OCRCVM tout incident de cybersécurité (les modifications).
Les modifications :
Les modifications entrent en vigueur immédiatement.
Le 5 avril 2018, nous avons publié l’Avis 18-0070 sollicitant des commentaires sur les modifications apportées aux Règles des courtiers membres et aux Règles de l’OCRCVM correspondantes concernant l’obligation, pour les courtiers, de signaler les incidents de cybersécurité à l’OCRCVM.
Les modifications :
Les modifications visent à créer un cadre permettant à l’OCRCVM :
Ces modifications font partie du travail continu que l’OCRCVM accomplit pour améliorer le degré de préparation des courtiers en matière de cybersécurité. Entre autres choses, nous avons récemment mené des exercices de simulation et effectué un deuxième sondage d’autoévaluation sur la cybersécurité. Nous reconnaissons également que certains courtiers nous ont fait des signalements sur une base volontaire depuis la publication de l’Avis 18-0063 le 22 mars 2018.
Depuis que l’OCRCVM a publié le Guide de pratiques exemplaires en matière de cybersécurité, en décembre 2015, les cyberrisques n’ont cessé d’évoluer et représentent une menace encore plus critique pour les investisseurs, les participants au marché et les courtiers. En outre, alors que l’OCRCVM cherche de nouvelles façons de soutenir la transformation du secteur, nous reconnaissons que les courtiers recueillent de plus en plus de données et utilisent de plus en plus des systèmes informatiques complexes. Cette évolution souligne l’importance d’échanger rapidement des renseignements afin d’atténuer les cyberrisques.
Nous avons reçu huit lettres de commentaires de la part du public en réponse à notre appel à commentaires. Ci-dessous, vous trouverez un résumé des points qui y sont soulevés et de nos réponses. Un résumé complet des lettres de commentaires reçues et de nos réponses se trouve à l’Annexe 1 – Réponses aux commentaires du public.
Les commentaires du public concernent les points suivants :
Nous avons déterminé qu’il n’était pas nécessaire d’apporter des changements de fond aux modifications en réponse aux commentaires reçus. Nous avons plutôt fourni des précisions supplémentaires concernant l’objectif des modifications dans nos Réponses aux commentaires du public (voir l’Annexe 1) et la Foire aux questions (décrite plus en détail dans la section 5 ci‑dessous).
Plus précisément, dans nos Réponses aux commentaires du public, nous avons :
Même si nous n’avons pas apporté de changements de fond aux modifications, nous y avons apporté les modifications de forme suivantes :
Les modifications prennent effet immédiatement.
En même temps que le présent avis, nous avons publié une note d’orientation sous forme de foire aux questions dans le but d’aider les courtiers à comprendre les obligations que leur imposent les modifications (voir l’Avis 19-0195). Nous avons l’intention de mettre ce document à jour de façon périodique, au besoin.
Annexe 1 – Réponses aux commentaires du public
Annexe 2 – Libellé des modifications apportées à la Règle 3100 des courtiers membres (Obligations de déclarer et de tenir des registres) (version soulignée montrant les modifications de forme)
Annexe 3 – Libellé des modifications apportées à la Règle 3100 des courtiers membres (Obligations de déclarer et de tenir des registres) (version nette)
Annexe 4 – Libellé des modifications apportées à l’article 3703 des Règles de l’OCRCVM (Signalement à faire par le courtier membre à l’OCRCVM) (version soulignée montrant les modifications de forme)
Annexe 5 – Libellé des modifications apportées à l’article 3703 des Règles de l’OCRCVM (Signalement à faire par le courtier membre à l’OCRCVM) (version nette)
Annexe 6 – Avis 19-0195 - Foire aux questions – Signalement obligatoire des incidents de cybersécurité