Le BSIF publie une directive finale sur l’intégrité et la sécurité

Le BSIF publie une directive finale sur l’intégrité et la sécurité

À la suite d’une consultation tenue l’an dernier, le Bureau du surintendant des institutions financières (le « BSIF ») a publié la version définitive de la ligne directrice sur l’intégrité et la sécurité (la « Ligne directrice ») le 31 janvier 2024 [1]. La Ligne directrice énonce les attentes du BSIF à l’égard des institutions financières sous réglementation fédérale (les « IFRF ») en ce qui a trait à des politiques et procédures adéquates visant à les protéger contre les menaces à l’intégrité et à la sécurité, en mettant l’accent sur la technologie et l’ingérence étrangère. La Ligne directrice est conçue pour fonctionner en tandem avec d’autres lignes directrices du BSIF, notamment des lignes directrices en matière de gouvernance d’entreprise, de gestion des risques liés à la technologie et à la cybersécurité et de gestion du risque opérationnel. On s’attend à ce que les IFRF évaluent régulièrement les politiques et procédures existantes par rapport aux attentes énoncées dans la Ligne directrice et les lignes directrices connexes afin de cerner les lacunes et de maintenir l’efficacité.

La Ligne directrice définit l’intégrité et la sécurité comme deux concepts distincts, mais connexes, et fournit des précisions sur les attentes du BSIF à l’égard de ces deux concepts.

Intégrité

Le BSIF définit l’intégrité comme étant « des actions, des comportements et des décisions qui sont conformes à la lettre et à l’intention des attentes réglementaires, des lois et des codes de conduite ». [2] La Ligne directive met l’accent sur quatre façons de promouvoir l’intégrité au sein des IFRF :

1. S’assurer que les personnes occupant des postes de direction ont bonne réputation et font preuve d’intégrité par leurs actions, comportements et décisions. Il y a lieu de se reporter à la ligne directrice E-17, Vérification des antécédents des administrateurs et des membres de la haute direction («E-17 »).
2. Favoriser des normes qui encouragent un comportement éthique, ce qui comprend la promotion de la conformité, de l’honnêteté et de la responsabilité. Il y a lieu de se reporter au projet de ligne directrice Risques liés à la culture et au comportement du BSIF.
3. Assurer une saine gouvernance pour superviser les décisions importantes des IFRF, y compris les plans d’affaires, les stratégies, la tolérance au risque, la culture, les contrôles internes, la surveillance de la haute direction et les mécanismes de reddition de comptes. La Ligne directrice souligne expressément l’importance de respecter la loi, d’éviter les conflits d’intérêts, de maintenir l’objectivité, d’assurer la sécurité des actifs et de l’information et la nécessité de procéder à des évaluations régulières. Il y a lieu de se reporter à la Ligne directrice sur la gouvernance d’entreprise du BSIF.
4. Établir un cadre efficace de la Gestion de la conformité à la réglementation. Il y a lieu de se reporter à la ligne directrice E-13 sur la Gestion de la conformité à la réglementation.

Sécurité

De façon générale, le BSIF définit la sécurité comme « une protection contre les menaces internes ou externes malveillantes ou non intentionnelles visant les biens immobiliers, les infrastructures et le personnel (menaces physiques), et les actifs technologiques (menaces électroniques) » [3]. La Ligne directrice porte sur six domaines d’intérêt :

1. Les locaux doivent être sécuritaires et surveillés de façon appropriée. De plus amples renseignements se trouvent dans la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque (« B-13») et dans le projet de ligne directrice E-21, Résilience opérationnelle et gestion du risque opérationnel (la « E-21 »).
2. Des vérifications appropriées des antécédents devraient être effectuées en fonction du facteur de risque de l’employé ou de l’entrepreneur, ce qui devrait inclure au minimum les titres de compétence et les références. Voir également la ligne directrice E-17.
3. Les actifs technologiques doivent être garantis de façon appropriée, comme il est indiqué dans la ligne directrice B-13.
4. Des normes de contrôle des données et de l’information devraient être établies, y compris la création d’une classification des données qui tienne compte de la vulnérabilité des IFRF aux activités malveillantes, à l’influence indue et à l’ingérence étrangère. Il convient de se reporter aux lignes directrices E-21 et B-13.
5. Les risques posés par des tiers doivent être évalués et identifiés en fonction de leur accès aux locaux, aux ressources humaines, aux actifs technologiques, aux données et à l’information des IFRF. L’évaluation doit être effectuée avant de retenir les services de la personne visée, puis se poursuivre de façon continue. La ligne directrice B-10 Gestion du risque lié aux tiers fournit de plus amples renseignements à ce sujet.
6. Lorsqu’une des IFRF identifie des menaces d’influence indue, d’ingérence étrangère ou d’activité malveillante, elle doit en informer les autorités compétentes telles que la GRC et le SCRS. Un avis doit également être transmis immédiatement au BSIF. Les IFRF devraient également documenter les incidents qui n’atteignent pas le seuil du signalement.

Échéancier

La mise en œuvre de la Ligne directrice se fera par étapes :

Actuellement : Aviser le BSIF lorsque des incidents sont signalés aux organismes d’application de la loi ou au SCRS.

D’ici le 31 juillet 2024 : Présenter un plan d’action détaillé indiquant comment les IFRF répondront aux nouvelles attentes et aux attentes élargies pour l’examen du BSIF.

D’ici le 31 janvier 2025 : Observer toutes les attentes nouvelles et élargies, sauf en ce qui concerne la vérification des antécédents. D’ici le 31 juillet 2025 : Observer les nouvelles attentes en matière de vérification des antécédents. [4]

À retenir 

La Ligne directrice intègre les lignes directrices existantes et les projets de lignes directrices du BSIF afin de renforcer la confiance du public à l’égard du système financier canadien. L’accent sur la technologie et l’ingérence étrangère reconnaissent le nouveau contexte dans lequel les IFRF opèrent.

Une fois la Ligne directrice mise en œuvre, les IFRF devront mettre en place des processus pour effectuer des évaluations régulières des mesures existantes afin d’assurer le maintien constant de l’intégrité et de la sécurité des IFRF.

Si vous avez des questions au sujet de la Ligne directrice et des prochaines étapes, veuillez ne pas hésiter à communiquer avec nous.

[1] Le BSIF publie la version finale de sa Ligne directrice sur l’intégrité et la sécurité
[2] Intégrité et sécurité – Lignes directrices
[3] Intégrité et sécurité – Lignes directrices
[4] Intégrité et sécurité – Lettre

Par Darcy Ammerman et ZiJian Yang (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis. Il est préférable d’obtenir un avis juridique spécifique.

© McMillan S.E.N.C.R.L., s. r. l. 2024