Canada

Le Bureau du surintendant des institutions financières, ou « OSFI » est le régulateur fédéral pour toutes les banques au Canada, ainsi que des sociétés de fiducie et de prêt, des compagnies d’assurance, des associations coopératives de crédit, des sociétés de secours mutuel et des régimes de retraite privés constitués ou enregistrés au niveau fédéral. Le OSFI est chargé de surveiller les institutions financières et les régimes de retraite (FRFI) sous réglementation fédérale afin de déterminer s’ils sont en bonne santé financière et s’ils respectent les exigences applicables. Il publie également des réglementations et des directives qui peuvent avoir une incidence sur la manière dont les clients des services financiers utilisent AWS.

La Banque du Canada, la banque centrale du pays, exerce une surveillance directe sur les systèmes de compensation et de règlement, c’est-à-dire les infrastructures des marchés financiers (FMI). La Banque du Canada a la capacité de qualifier certaines infrastructures des marchés financiers comme des « systèmes de paiement importants » ou des « infrastructures des marchés financiers d’importance systémique » et exige que ces entités se conforment à des normes de gestion des risques. La Banque du Canada fait également office d’autorité de surveillance des prestataires de services de paiement de détail (PSP) en vertu de la Loi sur les activités de paiement de détail (LAPD).

Chaque province et territoire canadien dispose de ses propres organismes de réglementation chargés de faire respecter la réglementation en matière de valeurs mobilières et de superviser les autres activités de services financiers qui ne relèvent pas de la compétence des organismes de réglementation fédéraux. Les Autorités canadiennes en valeurs mobilières sont une organisation-cadre composée des régulateurs des valeurs mobilières de chaque province et territoire, dont l’objectif est d’améliorer, de coordonner et d’harmoniser la réglementation des valeurs mobilières. L’Organisme canadien de réglementation des investissements (OCRI) est un organisme d’autoréglementation qui supervise les courtiers en valeurs mobilières, les courtiers en fonds communs de placement et les activités de négociation sur les marchés obligataires et boursiers du Canada.

Les institutions financières au Canada peuvent être soumises à un certain nombre de considérations juridiques et réglementaires différentes lorsqu’elles ont recours à des services cloud. Les réglementations et directives applicables aux institutions financières fédérales (« IFF ») sont notamment les suivantes :

• La ligne directrice no B-10 du OSFI expose les attentes du OSFI en matière de gestion des risques associés aux accords conclus avec des tiers. La ligne directrice s'applique à tous les accords conclus avec des tiers, y compris les services cloud, mais les attentes du BSIF sont évaluées en fonction du niveau de risque évalué et de l'importance de l'accord pour les activités de l'institution financière. La B-10 inclut des attentes spécifiques concernant la gestion des technologies et des cyber-risques dans le cadre d'accords avec des tiers, ainsi que des attentes spécifiques à l'adoption du cloud.
• La directive B-13 du OSFI décrit les attentes du OSFI en matière de saine gestion des risques technologiques et cybernétiques. Bien qu'il n'y ait pas d'exigences spécifiques aux services cloud, les résultats, les principes et les attentes s'appliquent à tous les aspects de la gestion des technologies et des risques cybernétiques, y compris le cloud computing.
  
• La directive E-21 du OSFI énonce les attentes du OSFI en matière de gestion du risque opérationnel par les entités réglementées, défini comme « le risque d’encourir des pertes découlant de lacunes ou de défauts attribuables aux ressources humaines et matérielles, telles que des procédures et des systèmes internes, ou résultant d’événements déclencheurs externes. » Bien qu'elles ne soient pas spécifiques à l'utilisation du cloud, les attentes de cette directive s'appliquent à tous les aspects des opérations d'une entité réglementée, y compris celles qui sont rendues possibles par les services de cloud.
• L’avis du OSFI sur la Déclaration des incidents liés à la technologie et à la cybersécurité régit la manière dont les institutions financières sous réglementation fédérale doivent divulguer et déclarer les incidents liés à la technologie et à la cybersécurité au OSFI.
  
• Le OSFI a publié une Auto-évaluation de la cybersécurité qui aide les FRFI à évaluer et à améliorer leur niveau de préparation face aux nouvelles cybermenaces. L’auto-évaluation de la cybersécurité examine la capacité d’une IFF à réagir à un cyberincident dans des domaines allant de l’organisation et des ressources à la façon dont elle gère les menaces, les risques et les incidents, et permet aux IFF d’évaluer chaque élément sur une échelle allant de l’inexistant à l’amélioration continue.
  

La Banque du Canada a publié des normes de gestion des risques pour les FMI désignées sur la base des « Principes pour les FMI » établis par le Comité sur les paiements et les infrastructures de marché (CPIM) de la Banque des règlements internationaux (BIS) et l’Organisation internationale des commissions de valeurs (IOSCO). Outre ces normes générales de gestion des risques, la Banque du Canada a publié des directives spécifiques sur les attentes en matière de cyberrésilience des infrastructures des marchés financiers et les rapports sur les incidents liés à la cybertechnologie et aux technologies de l’information.

La Loi sur les activités de paiement de détail (RPAA), ainsi que le Règlement sur les activités de paiement de détail (RPAR) qui s’y rapporte, établissent un cadre réglementaire pour les prestataires de services de paiement (PSP) au Canada. Les PSP relevant du champ d’application de la RPAA doivent s’enregistrer auprès de la Banque du Canada, mettre en œuvre des cadres de gestion des risques opérationnels, protéger les fonds des utilisateurs finaux, signaler les incidents importants et soumettre des rapports annuels afin de se conformer à la Loi.

Certaines autorités de réglementation provinciales, telles que l’Autorité ontarienne de réglementation des services financiers (ARSF), l’Autorité des marchés financiers (AMF) au Québec et l’Autorité des services financiers de la Colombie-Britannique (BCFSA), ont publié des lignes directrices sur des rubriques telles que la gestion des risques informatiques et l’externalisation, qui peuvent s’appliquer à l’utilisation d’AWS par une institution financière dans ces provinces. Veuillez consulter le site Web de l’organisme de réglementation concerné pour plus de détails.

Les réglementations évoluent rapidement dans ce domaine et AWS s’efforce d’aider ses clients à répondre de manière proactive aux nouvelles règles et directives. AWS encourage ses clients du secteur des services aux institutions financières à obtenir des conseils appropriés concernant leur conformité à toutes les exigences réglementaires et légales pertinentes pour leur activité.

AWS s’engage à offrir aux clients un référentiel de conformité solide, ainsi que des mesures de sécurité et des outils avancés que les clients peuvent utiliser pour évaluer, respecter et démontrer la conformité aux obligations réglementaires et juridiques applicables.

Les institutions financières qui utilisent ou prévoient d’utiliser les services AWS peuvent prendre les mesures suivantes pour mieux cerner leurs besoins en matière de conformité :

1. Tenir compte de la finalité de la ou des charges de travail envisagées et des catégories de données pertinentes afin d'anticiper les obligations réglementaires et légales susceptibles de s'appliquer.

2. Évaluez le niveau de risque et la criticité de la ou des charges de travail pertinentes par rapport aux opérations de l'institution financière. Ligne directrice no B-10 décrit les considérations relatives à l’évaluation du risque et de la criticité des accords avec des tiers.

3. Examiner le modèle de responsabilité partagée d’AWS et mettre en correspondance les responsabilités d’AWS et celles du client en fonction de chaque service AWS qui sera utilisé. Les clients peuvent également utiliser AWS Artifact pour accéder aux rapports d’audit d’AWS et mener leur évaluation des responsabilités en matière de contrôle.

Les clients qui ont d’autres questions sur la façon dont les services AWS peuvent répondre à leurs besoins en matière de sécurité et de conformité, ou qui souhaitent obtenir plus d’informations, peuvent contacter leur représentant.

Les institutions financières au Canada qui ont recours à AWS doivent également tenir compte des exigences applicables en matière de protection de la vie privée, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une loi fédérale canadienne qui régit la collecte, l’utilisation et la divulgation d’informations personnelles dans le cadre d’activités commerciales dans toutes les provinces canadiennes.

Certaines provinces canadiennes peuvent avoir adopté une législation sur la protection de la vie privée essentiellement similaire à la LPRPDE. Pour savoir à quelles lois ils sont assujettis en matière de confidentialité des données, les clients doivent s'adresser à leurs propres conseillers juridiques. Une liste actualisée des réglementations en matière de protection de la vie privée est disponible dans le Centre de protection de la confidentialité des données.

Le livre blanc AWS intitulé Utilisation d’AWS afin de répondre aux considérations de confidentialité et de protection des données communes fournit des informations utiles aux clients qui utilisent les services du cloud AWS pour stocker ou traiter des données personnelles.