L'équipe Produits d'investissement et gestion du patrimoine de Fasken Martineau souhaite vous informer que les Autorités canadiennes en valeurs mobilières (ACVM) ont publié des indications précises eu égard aux politiques et procédures devant être adoptées en matière de cybersécurité et de médias sociaux dans l'Avis 33-321 du personnel des ACVM - Cybersécurité et médias sociaux  (Avis 33-321) paru le 19 octobre 2017 dernier, pouvant être consulté ici.

La publication d'indications sur le contenu des politiques et procédures devant être adoptées en matière de cybersécurité fait suite à un sondage mené par les ACVM auprès de 630 sociétés inscrites dans le cadre duquel les ACVM ont examiné les politiques et procédures en place relativement à la cybersécurité et aux médias sociaux, les pratiques de formation des employés à cet égard, les méthodes et fréquence d'évaluation des risques en matière de cybersécurité, les plans d'intervention en cas de cyberincident, les contrôles en place, les mécanismes de protection des données, les couvertures d'assurance relative à la cybersécurité et les modes de surveillance des activités des employées sur les médias sociaux.

À l'issue de ce sondage, les ACVM ont formulé des indications à l'attention de l'ensemble des sociétés inscrites sur les politiques et procédures devant être adoptées en matière de cybersécurité et de médias sociaux à l'égard de chacun de ces sujets. Ces politiques et procédures doivent inclure notamment, des mesures préventives, un plan de formation de l'ensemble des employés et un plan d'intervention en cas de cyberincident. De plus, les sociétés inscrites se doivent d'évaluer périodiquement le charactère adéquat de leurs pratiques en matière de cybersécurité, notamment les mesures de protection contre les cyberincidents et doivent mettre régulièrement à l'essai l'ensemble des mesures de protection et de prévention en place. Par ailleurs, les ACVM soulignent l'importance de vérifier que la couverture d'assurance des societes inscrites s'étend aux dommages résultants de cyberincidents.

Les indications listées dans l'Avis 33-321 ne sont pas des exemples de bonnes pratiques dont l'adoption est volontaire. Plutôt, toutes les sociétés inscrites, y compris les sociétés de petite taille et les sociétés qui se fient aux mesures de protection instaurées par leur société mère ou leurs fournisseurs de services, doivent adopter de telles pratiques.

Selon les ACVM, l'information et les indications figurant dans l'Avis 33-321 font partie des obligations de gestion des risques associés aux activités des sociétés inscrites prévues au Règlement 31-103 sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites. Ainsi, une société inscrite dont les politiques et procédures en matière de cybersécurité et de médias sociaux ne se conforment pas aux indications des ACVM pourrait se voir soulever ce fait dans le cadre d'un examen de conformité mené par les autorités réglementaires.

Afin d'éviter tout problème, n'hésitez pas à contacter notre équipe Produits d'investissement et gestion du patrimoine pour confirmer que vos politiques et procédures en matière de cybersécurité et de médias sociaux sont conformes à l'ensemble des indications adoptées par les ACVM.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.