Le chef de la direction de l’Organisme canadien de réglementation des investissements (OCRI) affirme que « l’écosystème des données » du secteur, y compris la conservation des données, fera l’objet d’un examen.
« Nous devons repenser ce à quoi ressemble l’écosystème des données, a souligné Andrew Kriegler le 20 avril dernier, lors de son allocution d’ouverture à la conférence annuelle de la Federation of Independent Dealers (FID), à Toronto. L’OCRI en dira davantage à ce sujet de manière plus formelle dans les mois à venir. »
En janvier, l’OCRI a indiqué qu’environ 750 000 investisseurs canadiens avaient été touchés par la faille de sécurité subie par l’organisme, détectée le 11 août dernier et résultant d’une attaque d’hameçonnage. L’automne dernier, l’OCRI avait confirmé que des renseignements personnels de personnes inscrites avaient été compromis. Ces données pouvaient inclure, entre autres, la taille, le poids et la couleur des yeux des personnes concernées, ainsi que d’autres renseignements sensibles.
Andrew Kriegler a également formulé ces remarques dans le contexte du potentiel des courtiers à accroître leur capacité grâce à l’intelligence artificielle, ainsi que des enjeux de cybersécurité qui y sont associés.
Il a expliqué que, historiquement, les formulaires de certification, d’inscription ou les programmes gouvernementaux exigeaient des renseignements personnels comme la couleur des yeux, une pratique héritée de « l’ère du papier » qui s’est poursuivie à l’ère numérique. Aujourd’hui, il est essentiel de réfléchir à l’évolution de l’écosystème des données afin que « le système réglementaire, au sens large, puisse obtenir les renseignements dont il a besoin pour protéger le public, mais rien de plus ».
Il a donné l’exemple d’une vérification des antécédents dans le cadre d’une demande d’inscription : cette vérification nécessite-t-elle les renseignements personnels détaillés du candidat ou simplement un résultat positif ou négatif ? « Selon la réponse à cette question, le système devra soit accéder à des volumes d’information très différents, soit en conserver des quantités très différentes, a-t-il expliqué. Nous devons nous poser ces questions, tout comme vous [les courtiers], pour l’ensemble des renseignements que nous recueillons auprès des personnes avec lesquelles nous traitons. »
Outre la nature des données compromises lors de la faille de sécurité, la question de la conservation des données par l’organisme a également été soulevée.
La conservation des données fera partie de cet examen, a indiqué Andrew Kriegler aux participants du secteur. Il existe des raisons de conserver les données sur de longues périodes, mais aussi des raisons de ne pas le faire.
« Où se situe l’équilibre sociétal entre ce qui doit être conservé et ce qui ne doit pas l’être, entre ce qui doit être collecté et ce qui ne doit pas l’être ? s’est-il interrogé. Ce ne sont pas des discussions faciles, ni des décisions simples. Mais ce sont des décisions auxquelles nous allons réfléchir avec vous au cours des prochains mois. »
L’examen de l’écosystème des données en est à ses débuts et aucun calendrier de mise en œuvre n’a encore été établi, a précisé Andrew Kriegler.
Il a également souligné que cet examen dépasse le cadre de l’OCRI et probablement celui des autorités provinciales en valeurs mobilières. « Il s’étend aussi à vos activités [celles des courtiers] et aux relations que vous entretenez avec vos clients, a-t-il indiqué. Il s’étend également aux relations que vous [les courtiers] avez avec vos fournisseurs de services. Il s’agit donc d’une vaste discussion. Mais je pense que c’est une discussion que nous devons avoir. »
À la suite de son allocution, Andrew Kriegler a indiqué à Investment Executive que les représentants des investisseurs seraient « absolument » inclus dans cet examen de l’écosystème des données.