Le 18 août 2022, l’Autorité ontarienne de réglementation des services financiers (l’« ARSF ») – l’organisme de réglementation du secteur des services financiers de l’Ontario – a adopté la directive de cybersécurité du Conseil canadien des autorités de réglementation des courtiers hypothécaires (la « directive »). La directive décrit les pratiques de pointe de prévention des incidents de cybersécurité et de réponse appropriée lorsque de tels incidents se produisent.
L’ARSF a adopté la directive en raison du risque croissant de cyberattaques. Les cyberattaques posent un risque réel de préjudice pour le secteur du courtage d’hypothèques compte tenu du flux d’information entre les diverses parties concernées, notamment les maisons de courtage d’hypothèques, les prêteurs, les investisseurs, les emprunteurs et les fournisseurs de services tiers. Ces parties traitent continuellement des données sensibles de clients dans le cours normal de leurs affaires et constituent donc des cibles de choix pour les cybercriminels.
La directive s’applique aux personnes et entités suivantes, lesquelles sont réglementées par l’ARSF en vertu de la Loi de 2006 sur les maisons de courtage d’hypothèques, les prêteurs hypothécaires et les administrateurs d’hypothèques (Ontario) :
-
les agents en hypothèques;
-
les courtiers en hypothèques;
-
les maisons de courtage d’hypothèques;
-
les administrateurs d’hypothèques.
Fait à noter, la directive exige que les maisons de courtage d’hypothèques et les administrateurs d’hypothèques informent l’ARSF par courriel à MBconduct@fsrao.ca en cas d’incident lié à la cybersécurité qui pourrait avoir des répercussions importantes sur les renseignements des clients. Voici quelques indicateurs qu’une situation doit être signalée à l’ARSF :
-
l’atteinte à la sécurité touche un système ou une base de données qui stocke une grande quantité ou une proportion importante de renseignements confidentiels sur les clients;
-
dans le cours normal de ses activités, la maison de courtage ou l’administrateur d’hypothèques transmettrait le problème à la haute direction responsable de la sécurité de l’information ou l’informerait;
-
l’incident nécessite des mesures ou des ressources non habituelles de la part de la maison de courtage ou de l’administrateur d’hypothèques;
-
l’incident a mené à une demande d’indemnisation d’assurance;
-
l’atteinte est un incident répété et pourrait avoir des conséquences importantes en cumulé.
Lorsque l’ARSF est informée d’un incident lié à la cybersécurité, elle active son Protocole de surveillance des pratiques de l’industrie en matière de cybersécurité. L’ARSF surveille alors de façon continue la réponse de la partie à l’incident jusqu’à ce que l’ARSF ait :
-
une compréhension et une connaissance complètes de l’étendue de l’atteinte potentielle des données et des renseignements qui ont pu être consultés;
-
la confirmation que tout renseignement corrompu a été restauré, que l’atteinte a été rectifiée ou contenue, ou les deux;
-
la confirmation que tous les systèmes sont revenus en ligne et sont complètement fonctionnels;
-
la confirmation que tous les intervenants concernés, y compris les clients et les autorités compétentes en matière de protection de la vie privée, ont été informés, et que des mesures raisonnables ont été prises par le titulaire de permis pour limiter le préjudice potentiel causé aux clients;
-
une compréhension et une connaissance complètes des mesures de protection qui ont été mises en place pour s’assurer que le titulaire de permis est protégé contre des atteintes futures similaires.
La directive est une mesure de protection de plus visant à aider les conseillers hypothécaires à protéger leurs clients contre le risque croissant de cyberattaques et d’incidents de cybersécurité. Les maisons de courtage d’hypothèques et les administrateurs d’hypothèques ont l’obligation légale, en vertu de la loi fédérale, de veiller à ce que les données personnelles recueillies soient conservées en toute sécurité et protégées contre la perte, l’accès non autorisé et le vol de données. De plus, la directive fournit des précisions sur les dispositions du Code de conduite du Conseil canadien des autorités de réglementation des courtiers hypothécaires (« CCARCH ») ainsi que sur les exigences connexes relatives à la préparation à la cybersécurité.
Nous constatons que l’adoption de cette directive fait partie d’une tendance voulant que les organismes de réglementation exigent de plus en plus souvent d’être informés de tout incident de cybersécurité. Parmi les exemples de cette tendance, mentionnons le projet de loi C-26 récemment déposé à la Chambre des Communes. S’il est adopté dans sa forme actuelle, ce projet de loi obligerait les « exploitants désignés » (les catégories d’exploitants assujetties à cette loi n’ayant par ailleurs pas encore été définies) à déclarer les « incidents de cybersécurité » au Centre de la sécurité des télécommunications et à l’organisme de réglementation compétent. Pour obtenir plus de détails au sujet du projet de loi C-26, consultez notre récent bulletin sur le sujet.
Notre groupe est prêt à aider les organisations réglementées aux prises avec un incident de cybersécurité.
Pour en savoir davantage, communiquez avec :
Sunny Handa +1-514-982-4008
John Lenz +1-514-982-6308
Allison Sibthorpe +1-514-883-4205
ou un autre membre de notre groupe Cybersécurité.
Plus de ressources
Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet. Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.
Pour obtenir l'autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l'adresse communications@blakes.com.
© 2024 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.