Les Autorités canadiennes en valeurs mobilières (ACVM) viennent de rendre public le Rapport d’inspection de l’Organisme canadien de réglementation des investissements (OCRI).
Ce rapport vise à évaluer :
- Si l’OCRI respecte les conditions de ses décisions de reconnaissance ;
- Et si les processus réglementaires sont efficaces, efficients et appliqués de manière cohérente et équitable.
Le personnel des ACVM a mené une inspection fondée sur le risque ciblant certains processus dans les secteurs fonctionnels suivants :
- Technologie de l’information
- Adhésion
- Conformité de la conduite de la négociation
Le personnel des ACVM a relevé trois constatations de priorité moyenne, et l’OCRI a mis en place un plan d’action pour y répondre et appliquer les mesures correctives.
Le premier constat porte sur le caractère inadéquat de l’évaluation indépendante des contrôles internes du système de suivi et de rapport de la formation continue (le SSRFC).
Le rapport rappelle que les décisions de reconnaissance exigent que l’OCRI présente aux autorités de reconnaissance un rapport biennal rédigé par une partie compétente selon les normes d’audit établies. « Ce rapport doit contenir le détail d’un examen visant à assurer que le SSRFC comporte un système adéquat de contrôles internes, et notamment qu’il est intégré aux plans de continuité des activités et de reprise après sinistre de l’OCRI. »
On ajoute que l’absence d’un tel examen indépendant « pourrait occasionner des enjeux liés au contrôle interne d’un système que les ACVM jugent essentiel pour l’OCRI. »
En réponse à ce constat, l’OCRI s’engage à rédiger « un plan d’examen des contrôles susmentionnés et, sous réserve des discussions préalables requises avec les ACVM au sujet du plan et du tiers qui sera retenu, nous procéderons à l’examen indépendant des contrôles internes du SSRFC conformément aux exigences des décisions de reconnaissance au cours de l’exercice 2026 ».
Le deuxième constat concerne sur l’utilisation soutenue d’un service infonuagique dont les serveurs sont situés à l’étranger.
Les ACVM jugent cette situation importante car les « données hébergées à l’étranger peuvent être soumises à des régimes de protection des données pouvant différer de celui s’appliquant au Canada ».
En réponse à ce constant, l’OCRI a indiqué que d’ici « juillet 2025, les serveurs pertinents du fournisseur de services ne seront plus aux États-Unis, mais au Canada. Quand ce sera fait, les données restantes (15 %) qui transitaient par les États-Unis passeront par le Canada. L’ensemble des données et métadonnées associées à tout service que développera ce fournisseur seront également hébergées au Canada ».
Le troisième constat se rapporte à la section du Québec de l’OCRI.
Selon le rapport, cette section n’a pas de responsabilités clairement définies quant à l’analyse et à l’examen des demandes d’adhésion soumises par les sociétés ou les membres dont le siège se trouve au Québec et à la formulation de recommandations à cet égard, ni aucun membre de son personnel affecté à ces fonctions. En fait, les « demandes sont examinées et les processus internes sont suivis par l’équipe de l’OCRI responsable de l’adhésion, qui ne compte aucun employé de la section du Québec », indique le rapport.
Prenant acte de cette critique, l’OCRI entend s’employer « à mieux définir les responsabilités de la section du Québec en ce qui concerne les demandes d’adhésion soumises dans cette province ». Entre-temps, le régulateur propose « d’actualiser les procédures d’adhésion pour y indiquer que le responsable (ou directeur) des relations de la section du Québec intéressé est chargé de revoir l’évaluation et la recommandation aux fins de conformité ».
« L’absence de responsabilités clairement définies au chapitre de l’adhésion pour la section du Québec pourrait, si elle n’est pas résolue, constituer une incompatibilité avec les dispositions de la condition 21 1) de la décision de reconnaissance de l’OCRI rendue par l’AMF », ajoute-t-on.
En dehors de ces constats, le personnel des ACVM ne signale aucune préoccupation quant au respect par l’OCRI des conditions pertinentes des décisions de reconnaissance des autorités en valeurs mobilières dans les secteurs fonctionnels inspectés.
Enfin, le personnel reconnaît que l’OCRI a résolu des enjeux constatés dans le rapport d’inspection précédent, et qui ont été examinés avant l’inspection.