Objet de la consultation :

La Ligne directrice sur la gestion des risques liés aux technologies de l’information (« TI ») (la « ligne directrice ») présente :

  • Les pratiques pour une gestion efficace des risques liés aux technologies de l’information.
  • Un processus permettant aux entités et aux personnes réglementées d’informer l’ARSF en cas d’incident important découlant de risques liés aux technologies de l’information.
  • Des exigences sectorielles, y compris des interprétations des exigences pour les caisses, les compagnies d’assurance constituées en Ontario et les assureurs réciproques (les « assureurs ») ainsi que les administrateurs de régimes de retraite.

La présente ligne directrice s’applique à toutes les entités et personnes réglementées par l’ARSF.

L’ARSF a mené cette consultation pour recueillir des commentaires sur la façon dont elle peut améliorer sa ligne directrice afin de parvenir plus rapidement aux résultats souhaités.

Résultat de la consultation :

Les changements suivants ont été apportés à la version définitive de la ligne directrice à la suite de la consultation :

  • Mise à jour de la date d’entrée en vigueur de la ligne directrice de juin 2023 au 1er avril 2024 pour donner le temps aux entités et aux personnes réglementées de mettre en œuvre tout changement nécessaire en lien avec la présente ligne directrice
  • Révision du libellé concernant les « avis en cas d’incidents importants découlant des risques liés aux TI »
  • Plus de souplesse prévue dans la façon dont les entités et les personnes réglementées peuvent informer l’ARSF en cas d’incident important découlant de risques liés aux TI
  • Mise à jour concernant le formulaire « Rapport sur les incidents découlant des risques liés aux TI »
  • Révision du libellé pour mieux s’aligner sur les exigences existantes et les autres organismes de réglementation

Commentaires reçus du secteur :

L’ARSF a reçu 21 mémoires concernant la ligne directrice pendant la période consultation, soit du 23 janvier au 31 mars 2023. Les mémoires et commentaires sont également accessibles sur le site Web de l’ARSF.

L’ARSF remercie toutes les personnes qui ont pris le temps de lui faire parvenir leurs commentaires avisés. L’ARSF a soigneusement pris compte de tous ces commentaires avant de rédiger la version définitive de sa ligne directrice et de la publier.

Les contributeurs :

Les intervenants suivants ont pris le temps de faire part de leurs points de vue à l’ARSF :

  1. Marvin Cajina - Advanced Mortgage Investment Corporation – AMIC
  2. Jilian Fernandez - Institut des auditeurs internes Canada – IAI Canada
  3. Carol Normandeau - Libro Credit Union
  4. Devin Mataseje - Conseil des normes en planification financière – FP Canada
  5. John Taylor - Ontario Mutual Insurance Association – OMIA
  6. Lindsay Walden - Manuvie
  7. Sandra Taylor - Canadian Association of Insurance Reciprocals – CAIR
  8. Sarah Hobbs - Association canadienne des compagnies d’assurances de personnes – ACCAP
  9. Kim Donaldson - Bureau d’assurance du Canada – BAC
  10. Jeff Pratt - Fonds d’échange d’assurance des conseils scolaires de l’Ontario – OSBIE
  11. Damian Chiu - Association canadienne des coopératives financières – ACCF
  12. Giuseppina Marra - Groupe Desjardins
  13. Susan Allemang - Courtiers indépendants en sécurité financière du Canada – CISF
  14. Patrick Lundy - Canadian Universities Reciprocal Insurance Exchange – CURIE
  15. Sunny Sodhi - Meridian Credit Union
  16. Ric Marrero - L’Association canadienne des administrateurs de régimes de retraite – ACPM
  17. Riz Ahmad - DUCA Financial Services Credit Union Ltd – DUCA
  18. Saskia Goedhart - Health Care of Ontario Pension Plan (HOOPP), Régime de retraite des enseignantes et des enseignants de l’Ontario (RREO), régime de retraite principal d’OMERS (OMERS), régime de retraite des Collèges d’arts appliqués et de technologie (CAAT) et Caisse de retraite du Syndicat des employés de la fonction publique de l’Ontario (CR-SEFPO)
  19. Patrick Simon - Commission du Régime de retraite de l’Ontario – CRRO
  20. ABO - Association du Barreau de l’Ontario – ABO
  21. Barbara Walancik et Teri Truong - TELUS Santé

Résumé des commentaires et réponses de l’ARSF

Thème Intervenants Résumé des commentaires Réponse de l’ARSF

Délais de mise en œuvre
  • Libro
  • Desjardins
  • ACARR
  • DUCA
  • ABO
  • TELUS Santé

Certains intervenants demandent à prolonger le délai de mise en œuvre de la ligne directrice pour avoir le temps de procéder aux changements qui s’imposent.

Compte tenu des commentaires, l’ARSF diffèrera l’entrée en vigueur de la ligne directrice au 1er avril 2024. Les entités et les personnes réglementées auront ainsi assez de temps pour mettre en œuvre les changements requis aux termes de la ligne directrice.

Délais de signalement
  • ACCF
  • HOOOP, OMERS, CAAT, CR-SEFPO
  • TELUS Santé
  • DUCA

Certains intervenants expriment leur inquiétude concernant le délai pour signaler des incidents découlant de risques liés aux TI.

Le délai de signalement d’un incident a été mis à jour à « dès que possible, généralement dans un délai de 48 à 72 heures ». L’entité ou la personne réglementée aura ainsi plus de latitude pour aviser l’ARSF sans que cela interfère avec son intervention à la suite de l’incident.
 

Les caisses, les compagnies d’assurance constituées en Ontario et les assureurs réciproques doivent aussi déclarer les incidents « dès que possible », mais dans un délai maximal de 72 heures après l’incident.


L’ARSF acceptera les avis d’incidents découlant de risques liés aux TI de plusieurs façons pour offrir plus de souplesse aux entités et aux personnes réglementées. Elles pourront envoyer le formulaire par courriel, mais également par le biais d’un portail sécurisé (en cours de développement, il sera prêt à être utilisé d’ici le 1er avril 2024) avec les justificatifs requis. Elles pourront également communiquer directement avec le responsable de la gestion des relations.

Précisions supplémentaires
  • IAI Canada
  • Libro
  • CAIR
  • OSBIE
  • ACCF
  • Desjardins
  • CURIE
  • Meridian
  • DUCA
  • CRRO
  • ABO
  • TELUS Santé
  • ACCAP

Certains intervenants demandent plus de clarté sur les termes employés, notamment des définitions élargies et les conditions prescrites.

L’ARSF préfère éviter de figer une définition de ce qui constitue l’« importance » d’un incident découlant de risques liés aux TI. En effet, l’« importance » d’un incident sera différente selon l’entité ou la personne réglementée. Cette approche est d’ailleurs conforme à celle utilisée par les autres organismes de réglementation au Canada pour le signalement des incidents.


La ligne directrice préfère fournir une liste d’indicateurs qui aide les entités et les personnes réglementées à déterminer si un incident est important. Elles peuvent ainsi décider elles-mêmes si un incident est important, selon leur taille, leur complexité et leur profil de risque.


L’ARSF encourage les entités et les personnes réglementées à communiquer avec elle ou à l’informer en cas de doute sur l’importance d’un incident.


À l’annexe 1, l’ARSF donne une liste d’exemples d’incidents qui pourraient exiger un signalement. L’ARSF ne prévoit pas développer cette liste pour le moment, car c’est une liste qui se veut illustrative plutôt qu’exhaustive.


L’ARSF a défini les termes clés en se fondant sur les normes acceptées à l’échelle internationale.

Alignement sur les autres lignes directrices ou organismes de réglementation
  • ACARR
  • HOOPP, OMERS, CAAT, CR-SEFPO
  • CRRO
  • ABO
  • TELUS Santé
  • IAI Canada
  • ACCAP
  • BAC
  • ACARR
  • ACCAP
  • Manuvie
  • Desjardins

Les intervenants suggèrent qu’il est possible d’aligner davantage la ligne directrice sur les autres lignes directrices ou organismes de réglementation.


Certains défendent l’idée d’un seul et unique système de réglementation auquel toutes les entités rendraient des comptes.


D’autres demandent que leur secteur réglementé soit exclu de la ligne directrice, car il est déjà visé par les lignes directrices existantes d’un autre organisme ou d’une association de réglementation.

L’ARSF est ouverte à coopérer avec d’autres organismes de réglementation au Canada, dans la mesure du possible, en vue d’harmoniser les exigences et d’échanger des renseignements pour alléger le fardeau réglementaire qui pèsent sur les entités et les personnes visées.


L’ARSF a revu le texte de la ligne directrice par endroits pour mieux s’aligner sur les autres organismes de réglementation et les autres lignes directrices existantes.


L’ARSF tiendra compte de la recommandation de créer un seul et unique système de réglementation. Elle en discutera avec les autres organismes de réglementation, tout en explorant ses autres options pour une harmonisation accrue.


Pour le moment, l’ARSF n’envisage pas d’exclure certaines entités et personnes réglementées de sa ligne directrice. Bien qu’il existe des lignes directrices dans certains secteurs, émanant d’un autre organisme ou d’une association de réglementation, l’ARSF est obligée de mettre en place sa propre ligne directrice pour chaque secteur afin d’en assurer la supervision et la réglementation comme il convient.

Approche fondée sur des principes
  • ACCAP
  • ACCF
  • Desjardins
  • ACARR
  • CRRO
  • TELUS Santé

Certains intervenants trouvent que la ligne directrice est trop contraignante par endroits (p. ex. les résultats souhaités concernant les pratiques pour une gestion efficace des risques liés aux technologies de l’information). Ils suggèrent que l’ARSF suive une approche fondée sur des principes pour gérer les risques liés aux TI.


D’autres voudraient qu’elle soit plus contraignante. Notamment, ils recommandent à l’ARSF de publier un guide des meilleures pratiques qui constituerait une norme minimale.

Si certains pensent que l’ARSF est trop contraignante dans sa ligne directrice, d’autres voudraient qu’elle le soit davantage. L’ARSF a tenté de trouver un juste milieu en établissant clairement les attentes quant aux résultats souhaités, tout en laissant de la latitude aux entités et aux personnes réglementées quant à la manière de les obtenir.


L’ARSF a suivi une approche fondée sur des principes et axée sur des résultats pour élaborer la ligne directrice. Tout au long de la ligne directrice, l’ARSF insiste sur le caractère proportionnel des démarches à adopter. Il est attendu que chaque entité ou personne réglementée approche la gestion des risques liés aux TI en fonction de sa taille, de sa complexité et de son profil de risque.

Compagnies d’assurances non constituées en Ontario
  • ACCAP

Un intervenant suggère d’exclure les compagnies d’assurances non constituées en Ontario qui sont déjà assujetties à une ligne directrice comparable et de coopérer avec les autres organismes de réglementation pour garantir une harmonisation entre toutes les compétences.

L’ARSF s’engage à coopérer avec les autres organismes de réglementation en vue d’harmoniser davantage les exigences relatives aux risques liés aux TI et alléger le fardeau réglementaire pour les entités et les personnes visées.


L’ARSF n’envisage pas d’exclure les compagnies d’assurances non constituées en Ontario et les assureurs réciproques de sa ligne directrice. Cette ligne directrice est un outil crucial que l’ARSF utilisera pour évaluer l’aptitude, recevoir des avis d’incidents et superviser de manière générale les compagnies d’assurances non constituées en Ontario et les assureurs réciproques concernant la gestion des risques liés aux TI.

Régimes de retraite et signalement des incidents
  • HOOPP, OMERS, CAAT, CR-SEFPO
  • CRRO
  • ABO

Les intervenants suggèrent que l’ARSF précise la façon dont les administrateurs de régime de retraite des incidents doivent lui signaler les incidents importants.

L’ARSF a mis à jour la ligne directrice. Les administrateurs de régime de retraite ne doivent l’aviser que si l’incident :

  • perturbe les activités du régime de retraite au point qu’il n’est plus possible d’administrer le régime de façon efficace;
  • compromet les données confidentielles des participants du régime de retraite; ou
  • a une incidence sur la capacité de l’administrateur à verser des prestations.

Responsabilité liée à la surveillance des risques liés aux TI
  • Manuvie
  • ACCAP
  • BAC

Certains intervenants sont en désaccord avec le fait que l’assureur soit le responsable ultime de la surveillance des risques liés aux TI dans les divers canaux de distribution.

L’ARSF a mis à jour la ligne directrice pour qu’elle s’aligne davantage sur la directive du Conseil canadien des responsables de la réglementation d’assurance (CCRRA) et des Organismes canadiens de réglementation en assurance (OCRA) intitulée Conduite des activités d’assurance et traitement équitable des clients. Cette directive indique que l’assureur porte la responsabilité ultime du traitement équitable des clients, mais que cela ne décharge pas les intermédiaires de leurs propres responsabilités.


L’ARSF a également mis à jour cette partie de la ligne directrice pour l’aligner davantage sur la Ligne directrice B-10 – Gestion du risque lié aux tiers du Bureau du surintendant des institutions financières Canada et souligner l’importance d’adopter une approche fondée sur les risques pour gérer les canaux de distribution et les fonctions externalisées sur le plan des risques liés aux TI.

Protection des renseignements confidentiels
  • CRRO
  • DUCA
  • HOOPP, OMERS, CAAT, CR-SEFPO
  • CRRO

Un intervenant suggère que l’ARSF supprime la pratique 7 et la partie « Avis en cas d’incidents importants découlant des risques liés aux TI » dans la section Approche de la ligne directrice, exonère le secteur des régimes de retraite de ces dispositions ou en diffère l’entrée en vigueur jusqu’à ce que soit instauré un cadre légal qui empêche l’ARSF de divulguer les renseignements.


D’autres intervenants s’inquiètent de la protection des renseignements confidentiels lors du signalement des incidents à l’ARSF.

L’ARSF maintiendra la confidentialité de tout incident signalé par les entités et les personnes réglementées dans la mesure permise par la loi.

L’ARSF est en train de mettre au point un portail grâce auquel les entités et les personnes réglementées pourront aviser l’ARSF et joindre des justificatifs en toute sécurité.

Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »)
  • FP Canada
  • Manuvie
  • CAIR
  • ACCAP
  • OSBIE
  • CURIE
  • OMIA
  • CISF

Certains intervenants pensent que la ligne directrice fait doublon avec des exigences semblables ou existantes aux termes de la LPRPDE.

L’ARSF coopérera avec les autres organismes de réglementation, dans la mesure du possible, en vue d’harmoniser les exigences et d’alléger le fardeau réglementaire pour les entités et les personnes visées.


Les entités et les personnes réglementées sont tenues de se conformer à cette ligne directrice, laquelle se distingue de leurs autres obligations existantes, y compris la LPRPDE.


Bien que certains résultats souhaités soient les mêmes dans la ligne directrice et la LPRPDE, tels que la protection des renseignements confidentiels, la ligne directrice a pour but d’obtenir des résultats en plus de ceux qui sont prévus aux termes de la LPRPDE. Par exemple, la ligne directrice est conforme aux objets législatifs de l’ARSF, notamment :

  • promouvoir des normes de conduite professionnelle élevées;
  • protéger les droits et les intérêts des consommateurs et favoriser le renforcement, la durabilité, la compétitivité et l’innovation des secteurs des services financiers.

Organisme d’accréditation
  • FP Canada
  • CISF

Un intervenant fait remarquer qu’en vertu de la Loi sur la protection du titre des professionnels des finances, l’ARSF peut révoquer l’approbation d’une caisse en cas de non-conformité avec la ligne directrice. Il sera important d’établir les processus dans le cas où l’approbation d’une caisse est révoquée de sorte que les planificateurs et les conseillers financiers ayant reçu leur titre de compétence de bonne foi ne soient pas pénalisés.

Dans son projet de loi 85 2023 sur les mesures budgétaires, le gouvernement de l’Ontario a modifié la Loi de 2019 sur la protection du titre des professionnels des finances (« LPTPF ») afin de donner à l’ARSF le pouvoir d’établir des règles régissant l’utilisation des titres protégés par les détenteurs de titre quand l’approbation d’un organisme d’accréditation est révoquée ou qu’un organisme d’accréditation cesse ses activités. Le projet de loi 85 a reçu la sanction royale le 18 mai 2023.


L’ARSF travaillera en étroite collaboration avec le gouvernement et les intervenants pour établir une approche qui assure la protection continue des consommateurs et tient compte des répercussions potentielles sur les détenteurs de titres de compétence (les personnes qui utilisent les titres de PF/CF).