iActuel

L’importance de la protection des renseignements personnels et la progression rapide des technologies imposent de nouvelles exigences pour les régimes de pension agréés (RPA).

Des autorités réglementaires canadiennes ont publié de nouvelles lignes directrices applicables aux administrateurs de RPA à cotisation déterminée (RPA-CD) et à prestations déterminées (RPA-PD).

En vertu de celles-ci, les administrateurs de RPA enregistrés auprès de ces autorités doivent maintenant signaler les incidents liés à la sécurité de l’information à leur autorité respective.

Nous serons là pour vous et votre clientèle

Nous déploierons des mesures permettant de respecter ces lignes directrices et aviserons les administrateurs de RPA de tout incident nécessitant un signalement aux autorités réglementaires. 

Résumé des nouvelles lignes directrices :

1. Ligne directrice sur la gestion des risques liés aux technologies de l’information de l’ARSF

   Depuis le 1^er avril dernier, la Ligne directrice sur la gestion des risques liés aux technologies de l’information est en vigueur pour les RPA régis par l’Autorité de réglementation des services financiers (ARSF) de l’Ontario.

   L’ARSF y présente les pratiques de gestion efficace des risques liés à la technologie de l’information. Elle y détaille aussi un processus permettant de l’informer en cas d’incident important découlant de ces risques. Ce signalement doit être fait dans un délai maximal de 72 heures une fois que l’incident est considéré important.

2. Préavis et rapport relativement au signalement des incidents liés à la technologie et à la cybersécurité du BSIF

   Le 30 juin 2023, le Bureau du surintendant des institutions financières (BSIF) a publié une version à l’étude de son préavis et son rapport sur le signalement des incidents liés à30 la technologie et à la cybersécurité.

   Depuis, les administrateurs de RPA sous réglementation fédérale doivent signaler au BSIF tout incident lié à la technologie ou à la cybersécurité, c’est-à-dire un incident qui a ou qui pourrait avoir des conséquences sur les activités d’un RPA quant à la confidentialité, à l’intégrité ou à la disponibilité de ses systèmes ou de ses renseignements.

   Le signalement doit être fait au BSIF dans les 24 heures suivant la découverte d’un incident.

3. Ligne directrice sur la sécurité de l’information de la BCFSA

La ligne directrice Information Security Guideline de la Financial Services Authority de la Colombie-Britannique (BCFSA), en vigueur depuis le 30 juin 2022, porte notamment sur la gestion des risques liés à la sécurité de l’information. Elle s’applique aux institutions financières et aux administrateurs de RPA enregistrés en Colombie-Britannique.

Ces derniers doivent signaler le plus rapidement possible tout incident important lié à la sécurité de l’information (cyberattaque, défaillance technologique, violation interne ou externe, etc.). Le signalement doit être fait par courriel ou par téléphone dès que l’incident est considéré important.

L’administrateur du RPA doit ensuite transmettre au BCFSA un rapport d’incident dans les 72 heures suivantes.

Si vous avez des questions, communiquez avec votre directeur ou directrice de compte.

Pour plus d’information concernant les incidents à signaler :

• BCFSA Information Security Guideline
• Signalement des incidents liés à la technologie et à la cybersécurité | Bureau du surintendant des institutions financières (osfi-bsif.gc.ca)
• Ligne directrice sur la gestion des risques liés aux technologies de l’information