Skip to Main Content
Ken Woodard
Directeur, Communications et services aux membres
Compliance
Aux fins de distribution aux personnes intéressées de votre société

Examen des communications électroniques

L’ACFM s’efforce constamment de sensibiliser les membres aux risques actuels associés à l’utilisation de la technologie et de mieux comprendre leurs pratiques à cet égard. Dans cette optique, l’ACFM a mené un sondage en 2017 auprès des membres afin d’obtenir des renseignements sur les communications électroniques avec les clients.

Le rapport ci-joint présente un sommaire de nos observations accompagnées de recommandations.

602653

Examen des communications électroniques

Le 29 mars 2018

INTRODUCTION

Les membres communiquent avec leurs clients par courriel depuis de nombreuses années. Depuis ce temps, la technologie des communications électroniques a évolué rapidement et il existe maintenant des modes de communication plus sécuritaires que le courrier électronique traditionnel.

Les communications électroniques englobent quatre activités principales qui comportent des risques : les livres et registres (y compris la preuve de l’autorisation du client), la surveillance des activités des personnes autorisées, la sécurité générale et la protection des renseignements confidentiels sur les clients.

L’ACFM s’efforce constamment de sensibiliser les membres aux risques actuels associés à l’utilisation de la technologie et de mieux comprendre leurs pratiques à cet égard. Dans cette optique, l’ACFM a mené un sondage en 2017 auprès des membres afin pour d’obtenir des renseignements sur les communications électroniques avec les clients, notamment l’utilisation du courriel personnel, la transmission de renseignements confidentiels sur les clients et la réception d’instructions ou d’autorisations des clients par voie électronique.

Le présent rapport présente des observations et offre des recommandations aux membres.

RÈGLES PERTINENTES

Règle 5 : Livres et registres

Conformément à la Règle 5.1 (Registres obligatoires) de l’ACFM, chaque membre doit « tenir les livres, les registres et autres documents nécessaires pour comptabiliser convenablement ses opérations et ses affaires financières ainsi que les opérations qu’il exécute pour le compte d’autres personnes et garder les autres livres, registres et document que l’Association exige par ailleurs. »

De plus, la Règle 5.2 (Moyens de conservation), la Règle 5.5 (Accès aux livres et registres) et la Règle 5.6 (Conservation des registres) énoncent les obligations concernant le maintien de ces livres et registres et leur consultation par l’ACFM.

Règle 2.1.3 : Confidentialité et protection des renseignements sur les clients

Tous les renseignements que les membres reçoivent au sujet des clients doivent être gardés confidentiels conformément à la Règle 2.1.3 (Renseignements confidentiels). Quant à la Règle 2.1.3 b), elle exige que chaque membre établisse et maintienne des politiques et des procédures en matière de confidentialité et de protection des renseignements qu’il détient à l’égard des clients.

COMMENTAIRE GÉNÉRAL ET OBSERVATIONS

Courriel

Courriel personnel et message texte

La plupart des répondants ont déclaré qu’ils avaient adopté des politiques visant à restreindre l’utilisation du courriel personnel ou de messages texte dans le cadre de leurs activités de courtage. D’autres membres, qui n’ont pas de politique à ce sujet, offrent à leurs personnes autorisées un courriel d’entreprise pour les inciter à ne pas utiliser leur courriel personnel.

Quelques membres ont mentionné qu’ils avaient une politique pour surveiller l’utilisation du courriel personnel ou de messages texte, y compris un contrôle au cours des examens de succursale. Un membre, qui autorise l’envoi de messages par le compte de messagerie associé au nom commercial des personnes autorisées, a précisé qu’il appliquait le filtrage par mot-clé et une solution d’archivage comme mesures de contrôle.

Transmission de renseignements confidentiels sur les clients par courriel

La plupart de membres ont fait savoir qu’ils ne permettaient pas l’envoi de renseignements confidentiels sur les clients par courriel ou par message texte, mais uniquement au moyen de la messagerie de la société et qu’ils appliquaient d’autres mesures de contrôle comme le chiffrement et les mots de passe. Seuls les membres dont la transmission des documents se fait par la messagerie de la société utilisent le chiffrement. Quant aux mots de passe, les membres ont mentionné avoir diverses politiques et procédures qui définissent les critères de création et de sécurité à leur égard.

Certains membres autorisent la transmission de renseignements confidentiels sur les clients par le système de leur fournisseur de services de post-marché. Ce système génère automatiquement des courriels qui avisent les clients que des rapports sont disponibles sur un portail web sécurisé.

D’autres membres ne permettent pas l’utilisation du courriel ou de message texte pour transmettre des renseignements confidentiels sur les clients et ont des contrôles en place pour surveiller les envois, notamment un logiciel de surveillance de mots-clés et de prévention de la perte de données.

Préoccupations au sujet de l’utilisation du courriel

Nous avons plusieurs préoccupations concernant l’utilisation du courriel pour communiquer avec les clients.

Utilisation d’une messagerie autre que celle du membre

Ainsi qu’il est mentionné précédemment, le membre doit tenir, et mettre à la disposition de l’ACFM sur demande, les livres, les registres et autres documents nécessaires pour comptabiliser convenablement ses opérations et ses affaires financières ainsi que les opérations qu’il exécute pour le compte d’autres personnes et garder les autres livres, registres et document que l’Association exige par ailleurs. Les communications avec les clients qui mentionnent des activités exercées par le membre représentent des livres et registres du membre et elles doivent être conservées. La tenue de livres et registres est d’autant plus difficile si les personnes autorisées n’utilisent pas les comptes de messagerie du membre.

La messagerie doit être suffisamment sécurisée pour éviter les incidents tels que le piratage et les atteintes à la vie privée. Si le membre ne contrôle pas le système de messagerie qui en vigueur, les paramètres de sécurité comme les mots de passe et le chiffrement ne sont pas contrôlés et il ne peut pas non plus surveiller les incidents de cybersécurité comme les attaques par hameçonnage. Ces situations peuvent entraîner des intrusions non seulement dans l’ordinateur, le téléphone ou d’autres dispositifs d’extrémité des personnes autorisées, mais aussi dans les systèmes du membre.

De plus, les membres sont tenus de surveiller adéquatement les personnes autorisées, notamment leurs opérations de courtage ainsi que leurs activités de commercialisation et externes. S’il est impossible de consulter tous les livres et registres d’une personne autorisée, la surveillance n’est pas totale. Les surveillants ne sont pas alors en mesure de déceler les problèmes ou d’enquêter sur des faits qui peuvent être découverts notamment lorsque des clients formulent des plaintes.

Transmission par courriel

Les membres devraient savoir que tout système de messagerie, surtout lorsqu’il sert à transmettre des renseignements confidentiels sur les clients, peut soulever des préoccupations. L’envoi de renseignements à une mauvaise adresse ou une erreur de frappe dans l’adresse d’un client peuvent causer des problèmes. De plus, un chiffrement inadéquat et une protection de mot de passe insuffisante peuvent entraîner une violation de la confidentialité du client.

Bonnes pratiques et recommandations

  • Politiques et procédures concernant l’utilisation de courriels :
    • exiger que les personnes autorisées utilisent la messagerie du membre lorsqu’elles effectuent des opérations de courtage ou encore avoir un système qui enregistre tous les messages électroniques concernant les activités du membre;
    • veiller à ce que les communications envoyées par courriel soient chiffrées ou protégées de manière appropriée, y compris celles transmises par une messagerie autre que celle du membre;
    • au lieu d’envoyer des documents et des renseignements confidentiels sur les clients par courriel, envisager d’utiliser un portail Web ou une infrastructure en nuage sécurisé du membre pour transmettre cette information.

Portails Web

La plupart des membres ont indiqué qu’ils utilisent un portail Web pour transmettre des renseignements confidentiels sur les clients. Ce mode de communication de renseignements confidentiels sur les clients est préférable à la messagerie électronique, car il est plus sûr, à condition d’être muni de fonctions de sécurité appropriées (comme un protocole de chiffrement ou de mot de passe). Les membres ont déclaré qu’ils avaient des protocoles de sécurité.

Les membres qui ont un portail envoient généralement par courriel des avis aux clients pour les informer qu’un document a été affiché sur le portail. Ils font également le suivi de certaines activités sur le portail (en totalité ou en partie : livraison, accès au site par le client, visualisation de documents par le client et téléchargement de documents par le client).

Bonnes pratiques et recommandations

  • Politiques et procédures concernant l’utilisation d’un portail Web :
    • envisager de recourir aux services d’un tiers compétent (comme le fournisseur de système du membre) pour héberger le portail si le membre n’a pas les ressources nécessaires pour le faire lui-même;
    • instaurer des protocoles pour les noms d’utilisateur et les mots de passe, notamment :
      • une procédure d’accès adéquate qui se fait automatiquement ou qui est établie par le siège social et qui empêche les représentants ou leurs adjoints de créer des mots de passe pour les clients;
      • des exigences minimales pour la sécurité du mot de passe (longueur, nombre de chiffres et de caractères spéciaux, etc.)
      • la fréquence de modification des mots de passe.
    • faire le suivi des sessions ouvertes par les clients.
  • Doter le portail de protocoles de sécurité appropriés pour éviter les cyberattaques.
  • Au moment d’envoyer un avis par courriel à un client pour l’informer qu’un élément a été affiché sur le portail, s’assurer que cet avis soit chiffré et ne contienne aucun renseignement confidentiel. Par exemple, le document affiché doit seulement être disponible sur le portail et ne pas être contenu dans l’avis.

Utilisation de moyens électroniques pour l’autorisation du client

Plusieurs membres utilisent un moyen électronique pour accepter les instructions d’opérations, ouvrir les comptes des clients ou modifier les renseignements sur les clients, notamment par des instructions figurant dans le corps d’un courriel, par des documents comportant une signature originale qui ont été numérisés et joints au courriel, par la saisie de la signature électronique d’un client à l’aide d’une tablette ou d’un autre appareil ou par une autorisation donnée par l’entremise d’un portail Web.

La méthode la plus courante est la numérisation d’un document comportant une signature originale et qui est joint à un courriel. Certains membres ont déclaré que l’acceptation d’instructions signées par les clients était assujettie à des restrictions précises, notamment l’obligation d’avoir une autorisation d’opérations limitée ou une entente par courriel ou encore exiger un suivi verbal du moins pour les opérations de rachat.

Compte tenu du risque lié à l’utilisation du courriel pour accepter les instructions des clients et de l’existence de technologies qui offrent de meilleurs moyens d’identification des clients et de sécurité (comme la technologie de signature électronique ou un portail Web protégé par un mot de passe), le personnel de l’ACFM est d’avis que les membres ne devraient pas accepter d’instructions de la part des clients par courriel. Les instructions qui sont tapées dans le corps d’un courriel ne constituent pas une preuve suffisante, même si le client a signé une autorisation d’opérations limitée.

Bonnes pratiques et recommandations

  • Pour éviter que les clients, les personnes autorisées et les membres soient exposés à des risques, les courriels ne devraient pas servir à solliciter ou à accepter des instructions des clients. Il est préférable d’utiliser les technologies qui offrent de meilleurs moyens d’identification des clients et de sécurité, comme un portail Web protégé par un mot de passe.

CONCLUSION

Nous encourageons les membres à prendre connaissance des bonnes pratiques et des recommandations contenues dans ce rapport, de mettre à jour leurs politiques et procédures et d’en aviser leur personnel s’il y a lieu.

Nous continuerons d’évaluer les politiques et procédures des membres concernant les communications électroniques au cours des prochaines inspections de la conformité en ce qui a trait au maintien des livres et registres, à la preuve des instructions et des autorisations des clients et à la confidentialité. Si vous avez d’autres questions ou avez besoin de conseils pour améliorer vos politiques et procédures, veuillez communiquer avec le directeur de la conformité de l’ACFM qui vous a été assigné.