Nouvelle ligne directrice de l’ARSF : le moment idéal pour faire le point sur la gouvernance
Le 1er avril dernier, l’Autorité ontarienne de réglementation des services financiers a publié une ligne directrice définitive sur la gestion des risques liés aux technologies de l’information (« TI ») afin de renforcer la protection des consommateurs contre ce type de risques. La ligne directrice, qui s’applique à toutes les entités et personnes réglementées par l’ARSF, est constituée des éléments suivants :
- Pratiques pour une gestion efficace des risques liés aux technologies de l’information
- Un processus permettant aux entités et aux personnes réglementées d’informer l’ARSF en cas d’incident important découlant de risques liés aux technologies de l’information
- Des lignes directrices sectorielles, y compris des interprétations des exigences pour les caisses, les compagnies d’assurance constituées en Ontario et les assureurs réciproques (les « assureurs ») ainsi que les administrateurs de régimes de retraite.
Les risques liés aux TI représentent une menace importante et croissante pour les participants des régimes de retraite. Les risques peuvent être d’origine interne (infrastructure vieillissante, failles de sécurité accidentelles) ou externe (cyberattaques délibérées).
L’ARSF définit les risques liés aux technologies de l’information comme les risques de perte financière, de perturbation ou de dommage opérationnel, ou de perte de réputation résultant de l’inadéquation, de la perturbation, de la destruction, de la défaillance ou de l’endommagement, par quelque moyen que ce soit, des systèmes, de l’infrastructure et des données informatiques d’une entité ou d’une personne réglementée.
Les administrateurs de régimes de retraite (et les autres entités réglementées) doivent se conformer aux exigences existantes en matière de risques liés aux TI et de protection des renseignements personnels, y compris les exigences contenues dans la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du gouvernement fédéral.
Pratiques pour une gestion efficace des risques liés aux technologies de l’information
L’ARSF décrit sept pratiques acceptées par l’industrie pour assurer une gestion efficace des risques liés aux technologies de l’information. L’ARSF tiendra compte de l’adhésion à ces pratiques et de leurs résultats souhaités lors de l’exercice de son autorité de supervision.
Pratique 1 : Gouvernance
L’entité ou la personne réglementée dispose d’une gouvernance et d’une surveillance appropriées de ses risques liés aux TI.
Pratique 2 : Gestion des risques
L’entité ou la personne réglementée s’appuie sur des pratiques acceptées par l’industrie pour gérer efficacement les risques liés aux TI.
Pratique 3 : Gestion des données
L’entité ou la personne réglementée utilise des stratégies acceptées par l’industrie pour gérer et sécuriser efficacement les données confidentielles.
Pratique 4 : Externalisation
L’entité ou la personne réglementée gère efficacement les risques liés aux TI associés aux activités, aux fonctions et aux services externalisés ou co-sourcés.
Pratique 5 : Préparation aux incidents
L’entité ou la personne réglementée est prête à détecter, enregistrer, gérer, résoudre, récupérer, surveiller et signaler les incidents informatiques efficacement et en temps opportun.
Pratique 6 : Continuité et résilience
L’entité ou la personne réglementée est prête à assurer la continuité de ses actifs informatiques et sa capacité à fournir des services essentiels pendant et après un incident.
Pratique 7 : Avis en cas d’incidents importants découlant des risques liés aux technologies de l’information
L’entité ou la personne réglementée avise son ou ses organismes de réglementation en cas d’incident important découlant des risques liés aux TI.
Incident important découlant des risques liés aux TI – Administrateurs de régimes de retraite
Les administrateurs de régimes de retraite doivent aviser l’ARSF uniquement quand un incident découlant des risques liés aux TI est important. L’ARSF a indiqué que, pour les administrateurs de régimes de retraite, les éléments suivants indiquent qu’un incident important s’est produit :
- Perturbation des activités du régime de retraite au point qu’il n’est plus possible de l’administrer de façon efficace
- Effet négatif probable sur d’autres entités ou personnes réglementées par l’ARSF, ou il s’agit d’un incident susceptible de se reproduire avec d’autres entités ou personnes réglementées par l’ARSF
- Compromission des données confidentielles des participants du régime
- Incidence sur la capacité à verser des prestations
Responsabilité des administrateurs de régimes de retraite
Les administrateurs de régimes de retraite sont assujettis à des devoirs fiduciaires en vertu de la common law et des normes minimales prescrites par la Loi sur les régimes de retraite (LRR). La LRR exige que les administrateurs agissent avec le soin, la diligence et la compétence dont ferait preuve une personne d’une prudence normale dans la gestion des biens d’une autre personne. Ils doivent également utiliser toutes les connaissances et compétences pertinentes qu’ils possèdent ou, en raison de leur profession, de leurs affaires ou de leur vocation, qu’ils devraient posséder.
Afin de protéger adéquatement les droits et les prestations des participants au régime et d’administrer efficacement le régime de retraite et de remplir leurs obligations fiduciaires, les administrateurs doivent tenir compte des risques liés aux TI et les atténuer.
L’ARSF a publié une ligne directrice sur les rôles et responsabilités des administrateurs de régimes de retraite afin de s’assurer que ceux-ci sont conscients de leurs rôles et responsabilités. Ces lignes directrices stipulent que les administrateurs sont tenus de mettre en œuvre des processus visant à garantir que les risques liés au régime soient compris et traités.
L’ARSF s’attend à ce que les administrateurs de régimes de retraite soient en mesure de démontrer qu’ils se sont familiarisés avec les pratiques acceptées par l’industrie en matière de gouvernance des régimes et qu’ils ont tenu compte des pratiques de gestion efficace des risques liés aux TI conformément à la taille et à la nature du régime et à tout autre facteur pertinent.
C’est pourquoi nous encourageons tous les administrateurs de régimes de retraite à :
- examiner et comprendre les recommandations formulées dans la ligne directrice de l’ARSF;
- évaluer le cadre de gouvernance existant du régime de retraite en ce qui concerne la prise en charge des risques liés aux TI afin de cerner les aspects à améliorer conformément à la ligne directrice.
Le cadre de gouvernance du régime doit inclure les éléments suivants au minimum :
- les approches documentées par rapport à la gestion des risques liés aux TI;
- les sept pratiques pour une gestion efficace des risques liés aux TI;
- la marche à suivre pour aviser l’ARSF en cas d’incident découlant des risques liés aux TI et l’informer des mesures prises pour le résoudre.
D’un bout à l’autre du Canada, la législation sur la retraite change constamment. Il peut être difficile de s’y retrouver. Nous pouvons vous aider à y voir plus clair. Communiquez avec votre consultant Eckler pour poursuivre la conversation ou visitez notre site Web pour en savoir plus sur nos solutions en matière de gouvernance.