Alerte de cybersécurité : les sociétés de placement réglementées par l’OCRCVM devront désormais signaler les incidents

L’Organisme canadien de réglementation du commerce des valeurs mobilières (l’« OCRCVM ») a apporté des modifications aux Règles des courtiers membres afin d’obliger les courtiers membres (les « courtiers ») à déclarer tout incident de cybersécurité. Les modifications sont accompagnées d’une note d’orientation sur les nouvelles exigences.

L’OCRCVM s’attend à ce que les courtiers produisent un premier rapport dans un délai de trois jours suivant la découverte d’un incident et qu’ils soumettent un rapport d’enquête détaillé dans les trente jours suivant l’incident.

Compte tenu de la mission de l’OCRCVM, qui est de veiller à la protection des investisseurs, de renforcer l’intégrité des marchés et de favoriser des marchés financiers sains au Canada, les exigences de déclaration de l’OCRCVM ont une portée plus vaste que les exigences de déclaration obligatoire prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (Canada) (la « LPRPDE »), et plus vaste que les exigences provinciales prévues dans la Personal Information Protection Act (Alberta), qui s’applique également aux courtiers.

QUELS SONT LES SEUILS DE DÉCLENCHEMENT D’UN SIGNALEMENT À L’OCRCVM?

Les courtiers doivent signaler tout acte visant à désorganiser le système informatique d’un courtier ou l’information qui y est stockée, à en faire un mauvais usage ou à obtenir un accès non autorisé à ce système informatique ou à cette information, et qui donne lieu, ou qui est raisonnablement susceptible de donner lieu, à ce qui suit :

  • il cause un grave préjudice à une personne;
  • il a d’importantes répercussions sur une partie des activités normales du courtier;
  • il déclenche le plan de continuité des activités ou le plan de reprise après sinistre du courtier;
  • il oblige le courtier, conformément aux lois applicables, à en aviser un organisme gouvernemental, une autorité en valeurs mobilières ou un autre organisme d’autoréglementation.

L’OCRCVM a indiqué qu’il est prévu que cette définition d’un incident de cybersécurité soit suffisamment souple pour tenir compte de la nature changeante des incidents. La définition comporte des éléments qui doivent être signalés aux termes de la LPRPDE tout en mettant l’accent sur la capacité du courtier de s’acquitter de ses obligations envers les clients et les marchés financiers de façon générale, conformément au mandat de l’OCRCVM.

La détermination qu’un incident soit raisonnablement susceptible de donner lieu à l’un des résultats susmentionnés fait appel au jugement. La note d’orientation de l’OCRCVM mentionne que la probabilité « de causer un grave préjudice à une personne » peut comprendre un préjudice causé à une personne morale cliente et un événement autre que la simple utilisation inappropriée de renseignements personnels. Afin d’établir si un incident pourrait avoir des répercussions importantes ou non, il faut tenir compte de la taille du courtier donné et de son modèle d’affaires.

Il faut noter que les incidents qui surviennent chez un fournisseur de services d’un courtier pourraient devoir être signalés. La note d’orientation de l’OCRCVM précise que le « système informatique » d’un courtier contient des éléments pouvant avoir été fournis par des fournisseurs de services tiers. Cependant, pour qu’un « incident de cybersécurité » doive être signalé, les autres éléments de la définition doivent être présents.

QUAND LES COURTIERS DOIVENT-ILS FAIRE UN SIGNALEMENT ET QUELS RENSEIGNEMENTS DOIVENT-ILS FOURNIR?

Lorsqu’un courtier a établi qu’un incident de cybersécurité s’est produit, il doit, dans un délai de trois jours, transmettre au moins les renseignements suivants :

  • une description de l’incident de cybersécurité;
  • la date à laquelle, ou la période durant laquelle, l’incident de cybersécurité s’est produit et la date à laquelle le courtier l’a découvert;
  • une évaluation provisoire de l’incident de cybersécurité, notamment du préjudice qu’il risque de causer à une personne ou des répercussions qu’il risque d’avoir sur les activités du courtier;
  • une description des mesures d’intervention immédiate que le courtier a prises;
  • les coordonnées d’une personne physique qui peut répondre aux questions de suivi;
  • tout autre renseignement dont dispose le courtier.

L’évaluation provisoire de l’incident de cybersécurité ne vise pas à présenter des observations concrètes concernant l’évaluation ou les mesures correctives entreprises. La note d’orientation de l’OCRCVM reconnaît que l’analyse effectuée par les courtiers, en trois jours seulement, pourrait être incomplète. Les courtiers doivent soumettre la meilleure information dont ils disposent au moment du signalement.

Dans les trente jours suivant la découverte d’un incident de cybersécurité, un rapport plus détaillé doit être soumis. Ce rapport doit examiner en détail la nature, la portée, l’étendue, les répercussions et les causes profondes de l’incident. Le rapport à remettre dans ce délai de trente jours doit au moins contenir les renseignements suivants :

  • une description de la cause de l’incident de cybersécurité;
  • une évaluation de l’étendue de l’incident de cybersécurité, notamment le nombre de personnes ayant subi un préjudice et les répercussions sur les activités du courtier, par exemple :
    • le nombre d’appareils touchés;
    • le nombre de jours ouvrables pendant lesquels les activités du courtier ont été touchées;
    • une estimation des coûts engagés pour clore l’incident de cybersécurité, y compris (s’il y a lieu) le montant de la franchise de la cyberassurance du courtier;
    • l’information stockée dans le système informatique du courtier qui a été touchée, y compris les données sur les clients;
  • une description détaillée des mesures que le courtier a prises pour réduire le risque qu’un préjudice soit causé à des personnes et que ses activités soient touchées, y compris le nom des autres organismes de réglementation ou des parties externes que le courtier a avisés;
  • une description détaillée des mesures que le courtier a prises pour remédier au préjudice causé à une personne, y compris (s’il y a lieu) le nom du conseiller juridique dont il a retenu les services, et les dispositions qu’il a prises pour améliorer son état de préparation à un incident de cybersécurité.

Le rapport à soumettre dans un délai de trente jours n’est pas toujours obligatoire. Si le courtier conclut qu’aucun incident de cybersécurité ne s’est produit, selon la définition qui se trouve dans les Règles de l’OCRCVM, ce dernier n’aura pas à soumettre de rapport détaillé, même s’il a envoyé un premier rapport dans un délai de trois jours. Par ailleurs, le courtier peut demander une prolongation pour la remise du rapport à soumettre dans un délai de trente jours en avisant le responsable de sa société à l’OCRCVM. Cette dernière reconnaît que, selon la gravité et la complexité d’un incident, une enquête pourrait largement dépasser trente jours.

UN CONSEILLER JURIDIQUE EXTERNE SPÉCIALISÉ PEUT AIDER LES COURTIERS QUANT AUX EXIGENCES DE DÉCLARATION

L’OCRCVM recommande fortement aux courtiers d’avoir recours aux services de conseillers juridiques externes et de professionnels en matière de cybersécurité pour évaluer la portée d’un incident de cybersécurité et savoir si les mesures qui ont été prises sont conformes aux lois applicables, notamment les lois sur la protection des renseignements personnels. Un conseiller juridique en matière d’atteintes à la protection des données peut également prêter son concours aux membres de la haute direction convoqués à une rencontre avec des représentants de l’OCRCVM à la suite de la soumission d’un rapport préliminaire dans le délai de trois jours. De plus, des conseillers juridiques en matière d’atteintes à la protection des données peuvent aider à simplifier et à coordonner les réponses à fournir à l’OCRCVM, au Commissariat à la protection de la vie privée et au Bureau du surintendant des institutions financières, au besoin.

Les avocats de Blakes qui exercent dans le domaine de la cybersécurité interviennent dans le cadre des obligations de déclaration, mais ils conseillent aussi régulièrement des clients à partir du moment où un incident est détecté, et ils joignent leurs efforts à ceux d’experts dans le domaine afin de fournir des conseils stratégiques sur les enquêtes internes, la gestion des relations publiques et des médias, la gestion des préoccupations des consommateurs, l’atténuation de risques éventuels et quant à leur responsabilité potentielle en cas d’action collective.

Pour en savoir davantage, communiquez avec :

Imran Ahmad                         416-863-4329
Cathy Beagan Flood
             416-863-2269
Alexandra Luchenko              604-631-4166
Katherine Barbacki                514-982-4138
Ellie Marshall                         416-863-3053

ou un autre membre de notre groupe Cybersécurité.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.