Ententes d’externalisation

GN-2300-21-003
Type d’avis : Avis sur les règles> Note d'orientation
Renvoi au Manuel de réglementation
Règles de l’OCRCVM
Destinataires à l’interne :
Audit interne
Affaires juridiques et conformité
Opérations
Comptabilité réglementaire
Haute direction

Personne(s)-ressource(s) :

Politique de réglementation des membres
Courriel :

Sommaire

Date d’entrée en vigueur : 31 décembre 2021

Voici les objectifs de la présente note d’orientation :

  • Résumer les exigences et indications actuelles concernant la conclusion et le maintien d’ententes d’externalisation;
  • Établir les activités commerciales des courtiers membres (les courtiers) qui peuvent être externalisées et celles qui ne le peuvent pas;
  • Énoncer les attentes de l’OCRCVM concernant les procédures de contrôle diligent convenables que doivent suivre les courtiers avant d’externaliser une activité commerciale;
  • Énoncer le projet de l’OCRCVM de proposer des règles concernant l’externalisation.

La présente note fournit aussi des renseignements généraux et contextuels sur l’élaboration, par des entités réglementées, de principes réglementaires qui ont trait aux ententes d’externalisation et sur les lignes directrices pertinentes du secteur financier qui ont été publiées sur le sujet.

La notion d’externalisation n’est pas nouvelle dans le secteur des valeurs mobilières. Les Règles de l’OCRCVM énoncent les exigences concernant les ententes d’externalisation courantes conclues par les courtiers, notamment :

  • les ententes de partage de services administratifs avec une institution financière canadienne membre du même groupe;
  • les ententes entre remisiers et courtiers chargés de comptes;
  • les ententes de garde de titres;
  • les ententes de gestion externe de portefeuille.

Cependant, à mesure que les courtiers subissent des pressions concurrentielles accrues les poussant à contrôler et à comprimer les coûts, on observe une tendance correspondante à externaliser un plus grand nombre de fonctions, d’activités et de processus opérationnels à des fournisseurs de services tiers au moyen d’ententes qui ne sont pas adéquatement régies par les Règles de l’OCRCVM.

Au cours des dernières années, il y a eu une évolution des ententes d’externalisation conclues entre des courtiers et des entités réglementées ou non réglementées qui peuvent être ou ne pas être membres du même groupe et qui peuvent être étrangères ou canadiennes. Par exemple, les employés d’une banque canadienne qui est propriétaire d’un courtier exécutent certaines fonctions opérationnelles administratives pour le compte du courtier, et la banque mère facture au courtier les services rendus aux termes d’une entente de service. Des ententes semblables sont conclues par des sociétés mères inscrites auprès de la FINRA des États-Unis dont les filiales sont des courtiers membres.

Les courtiers qui opèrent compensation eux-mêmes s’intéressent de plus en plus à la possibilité d’externaliser à des fournisseurs de services tiers non réglementés au Canada et à l’étranger la gestion courante des livres et des dossiers, y compris le rapprochement des soldes de comptes bancaires, des positions dont ils ont la garde, des revenus de dividendes ou d’intérêts reçus et des restructurations de titres. En l’absence de mesures de protection convenables, cette tendance sectorielle pourrait accroître les risques pour la protection des investisseurs et la réputation des marchés, les risques de crédit et les risques systémiques.

Nous rappelons aux courtiers qu’ils ont l’obligation de donner à l’OCRCVM un préavis des modifications importantes qu’ils se proposent d’apporter à leur modèle d’affaires, notamment des changements liés aux activités, aux termes du paragraphe 2246(2) des Règles de l’OCRCVM1 .

  • 1Dans la présente note d’orientation, tous les renvois à des règles sont des renvois aux Règles de l’OCRCVM, à moins d’indication contraire.
Table des matières
  1. Qu’est-ce que l’externalisation?

À l’heure actuelle, le terme « externalisation » n’est pas défini dans les Règles de l’OCRCVM. Un rapport préparé en 2005 par l’Organisation internationale des commissions de valeurs (le rapport de l’OICV) donne la définition suivante de l’externalisation :

« [traduction]… l’externalisation s’entend de la procédure par laquelle une société réglementée qui externalise ses services conclut un contrat avec un fournisseur de services en vue de l’exécution d’un aspect de ses fonctions réglementées ou non réglementées qui pourraient par ailleurs être exécutées par la société elle-même. Elle vise uniquement les services dont le personnel interne et la direction assuraient ou peuvent assurer la prestation… le fournisseur de services peut être une partie liée dans un groupe de sociétés ou une entité externe non liée. Le fournisseur de services peut lui-même être réglementé (que ce soit ou non par le même organisme de réglementation dont relève la société qui externalise ses services) ou non réglementé… l’externalisation ne s’applique pas aux contrats d’approvisionnement, même si, tout comme pour l’externalisation, les sociétés devraient s’assurer que ce qu’elles achètent convient aux fins prévues. L’approvisionnement s’entend de l’acquisition, auprès d’un vendeur de services, de biens ou d’installations sans qu’il y ait transfert de renseignements sur la clientèle ou de renseignements exclusifs et non publics de la société qui fait l’acquisition. » 2

Le rapport de l’OICV établit une distinction importante entre les fonctions « essentielles » et « non essentielles » d’une société. Selon le rapport, une fonction essentielle est une fonction 

« [traduction] …essentielle à la viabilité continue d’une entité ainsi qu’au respect des obligations réglementaires de celle-ci envers ses clients ».

Le rapport de l’OICV établit également des principes directeurs que les intermédiaires financiers devraient respecter lorsqu’ils planifient et organisent l’externalisation d’activités, de fonctions ou de processus tant essentiels que non essentiels (appelés pour des raisons de simplicité « activités » dans le reste de la présente note d’orientation). Ces principes directeurs figurent à l’annexe A.

Comme l’OCRCVM n’a pas défini le terme « externalisation » et qu’il souhaite axer ses activités réglementaires sur l’externalisation des activités « essentielles », les définitions des termes « externalisation », « essentiel » et « non essentiel », au sens qui leur est donné dans le reste de la présente note d’orientation, sont les mêmes que celles énoncées dans le rapport de l’OICV.

  1. Quelles sont les exigences de la réglementation canadienne concernant l’externalisation?

  1. Exigences de l’OCRCVM

Comme il est indiqué précédemment, les Règles de l’OCRCVM énoncent les exigences relatives à de nombreuses ententes d’externalisation courantes conclues par les courtiers. Ces ententes sont les suivantes :

  1. Ententes de partage de services administratifs conclues avec une institution financière canadienne membre du même groupe [article 2460 des Règles de l’OCRCVM]

Cet article permet à une institution financière canadienne membre du même groupe que le courtier de s’occuper de la compensation et du règlement des opérations, de préparer les livres et dossiers connexes et d’accomplir les fonctions opérationnelles connexes au nom du courtier, à condition que les actifs du courtier et ceux de ses clients soient gardés séparément;

  1. Accords entre remisiers et courtiers chargés de comptes [Règle 2400]

Cet article permet à un courtier appelé « remisier » d’externaliser certaines fonctions administratives à un autre courtier appelé « courtier chargé de comptes ». Les dispositions prévoient quatre types différents d’accords entre remisiers et courtiers chargés de comptes pouvant être conclus par deux courtiers de l’OCRCVM3 . Pour chaque accord permis, les dispositions énumèrent les diverses activités que le courtier chargé de comptes doit exercer au nom du remisier, ainsi que les activités que le remisier continuera d’exercer lui-même.

Conformément à d’autres ententes d’externalisation, le remisier continue d’assumer la responsabilité de veiller à ce que les activités soient exercées convenablement et conformément aux exigences pertinentes de l’OCRCVM, y compris les activités exercées par le courtier chargé de comptes en son nom. De plus, puisque le fournisseur de services en externalisation est un autre courtier de l’OCRCVM, il incombe également au courtier chargé de comptes de s’assurer que toutes les activités qu’il a convenu d’exercer pour le compte du remisier le sont convenablement et conformément aux exigences pertinentes de l’OCRCVM4 .

  1. Ententes de garde de titres [Règle 4300; Formulaire 1, Directives générales et définitions, Définition de « lieu agréé de dépôt de titres »; et Formulaire 1, État B, ligne 20]

Les Règles obligent un courtier à établir, à tenir à jour et à respecter des politiques et procédures adéquates concernant la détention en dépôt fiduciaire et la protection des actifs des comptes de clients. Lorsqu’il s’acquitte de ces obligations, le courtier est autorisé à externaliser l’activité de garde de titres à un lieu de dépôt externe, sous réserve des conditions suivantes :

  • Lorsque le courtier recourt à un lieu de dépôt externe, il continue d’assumer la responsabilité de veiller à ce que toutes les activités de garde soient exercées convenablement et conformément aux exigences pertinentes de l’OCRCVM;
  • Le lieu de dépôt externe est un dépositaire, une chambre de compensation, une institution financière, un courtier ou un organisme de placement collectif dont le capital selon les états financiers se situe ou est supérieur à un certain niveau5 ;
  • L’entente de garde écrite conclue avec le lieu de dépôt externe interdit l’utilisation des titres sans le consentement du courtier et précise que les titres doivent « être rapidement livrés, sur demande, au courtier ».

Lorsque le courtier recourt à un lieu de dépôt externe, il continue d’assumer la responsabilité de veiller à ce que toutes les activités de garde soient exercées convenablement et conformément aux exigences pertinentes de l’OCRCVM.

  1. Ententes de gestion externe de portefeuille [article 3279]

Cet article permet à un courtier d’externaliser son pouvoir discrétionnaire à l’égard d’une partie ou de la totalité de ses comptes gérés à un gestionnaire de portefeuille externe, sous réserve des conditions suivantes :

  • Le gestionnaire de portefeuille externe est dûment inscrit pour fournir des services de gestion discrétionnaire de portefeuille;
  • Le gestionnaire de portefeuille externe est assujetti à des lois ou à des règlements concernant les conflits d’intérêts équivalant aux exigences de l’OCRCVM ou plus sévères que celles-ci.

Aux termes de ces ententes, le courtier de l’OCRCVM continue d’assumer la responsabilité de veiller à ce que toutes les activités liées aux comptes gérés soient exercées convenablement et conformément aux exigences pertinentes de l’OCRCVM.

Hormis les règles en vigueur qui régissent ces ententes particulières, il n’existe pas d’autres règles de l’OCRCVM qui portent directement sur les ententes d’externalisation.

  1. Exigences des ACVM

Lorsque le Règlement 31-103 a été mis en œuvre en septembre 2009, la partie 11 de son Instruction générale instaurait des principes généraux concernant l’établissement et le maintien de systèmes de contrôle interne chez les personnes inscrites. L’Instruction mentionne expressément la nécessité d’adopter des pratiques commerciales prudentes et de procéder à un contrôle diligent lorsqu’on évalue la possibilité d’externaliser ou non.

Les indications de l’Instruction générale précisent que la société inscrite a la responsabilité de toutes les fonctions externalisées. En outre, les fonctions externalisées doivent être énoncées dans un contrat écrit ayant force exécutoire conclu entre la société qui a recours à l’externalisation et le fournisseur de services et énonçant les attentes de chacune des parties à l’entente d’externalisation. Selon les indications, la société inscrite doit effectuer un contrôle diligent des fournisseurs de services tiers éventuels, y compris des membres du même groupe qu’elle. Ce contrôle diligent consiste notamment à évaluer leur réputation, leur stabilité financière, leurs contrôles internes pertinents et leur capacité globale à fournir les services externalisés.

Selon les indications, la société inscrite doit :

  • Vérifier que les fournisseurs de services tiers ont des mesures adéquates de protection de la confidentialité de l’information et, s’il y a lieu, des capacités de reprise après sinistre adéquates;
  • Examiner continuellement la qualité des services externalisés;
  • Élaborer et mettre à l’essai un plan de continuité des activités pour réduire les perturbations causées à ses activités et à ses clients dans l’éventualité où le fournisseur de services tiers n’exécuterait pas son mandat d’une manière satisfaisante;
  • Tenir compte des autres obligations légales applicables, comme celles imposées par les lois sur la protection des renseignements personnels, lorsqu’elle conclut des ententes d’externalisation.

Enfin, toujours selon les indications, la société inscrite, ses auditeurs et l’autorité de réglementation dont elle relève devraient bénéficier du même accès au produit du travail du fournisseur de services tiers que si elle exerçait elle-même les activités. La société devrait veiller à ce que cet accès soit fourni et prévoir une clause à ce sujet dans le contrat conclu avec le fournisseur de services.

  1. Qui est responsable du respect des dispositions des Règles de l’OCRCVM et des lois sur les valeurs mobilières qui ont trait aux activités externalisées?

Le courtier qui externalise des activités à un fournisseur de services en externalisation continue d’assumer la responsabilité de veiller à ce que ces activités soient exercées conformément aux exigences établies dans les Règles de l’OCRCVM et les lois sur les valeurs mobilières applicables, que le fournisseur de services soit lui-même un courtier membre ou non. Afin de s’acquitter de cette responsabilité, les courtiers doivent, à tout le moins, soumettre les activités exercées en leur nom par le fournisseur de services à une surveillance semblable à celle qui serait requise s’ils exerçaient eux-mêmes ces activités.

  1. Quelles activités du courtier ne peuvent pas être externalisées?

Comme les Règles de l’OCRCVM ne traitent pas précisément de l’externalisation, les seules dispositions qui interdisent l’externalisation de certaines activités sont celles qui exigent que certaines fonctions ou activités soient exercées par des personnes autorisées en particulier (se reporter à la définition de « Personne autorisée » de la Règle 1200 de l’OCRCVM).

Étant donné que, hormis les associés, les administrateurs et certains dirigeants, une personne autorisée d’un courtier doit être une personne qui est un employé ou un mandataire de celui-ci, toutes les Règles de l’OCRCVM qui exigent qu’une certaine personne autorisée exerce une certaine activité ou fonction interdisent effectivement l’externalisation de cette activité ou fonction. Du fait de cette restriction (quant aux personnes qui peuvent être des personnes autorisées), les Règles de l’OCRCVM interdisent effectivement l’externalisation de la plupart des activités destinées à la clientèle du courtier (qui sont toutes considérées comme des activités « essentielles »), notamment :

  • l’évaluation par un représentant inscrit des renseignements recueillis auprès du client pour s’assurer qu’ils sont à jour, complets et exacts et qu’ils respectent les exigences relatives à la connaissance du client [articles 3202 à 3209];
  • les évaluations de la convenance effectuées par un représentant inscrit [articles 3402 à 3406];
  • la surveillance du traitement des plaintes des clients par le responsable des plaintes [article 3722];
  • diverses exigences en matière de conformité et de surveillance relatives aux activités destinées à la clientèle qui doivent être exercées par des personnes autorisées du courtier [articles 3216, 3273, 3275, 3277, 3603, 3607, 4133 et 4332, notamment, et diverses dispositions de la Règle 3900].

L’interdiction générale de l’externalisation des activités destinées à la clientèle comporte une exception : l’externalisation de la prise de décisions de placement dans le cas des comptes gérés. Comme il est indiqué précédemment, l’article 3279 autorise expressément l’externalisation de la prise de ces décisions de placement à un gestionnaire de portefeuille externe engagé par le courtier.

  1. En ce qui concerne les activités du courtier qui peuvent être externalisées, quelles activités l’OCRCVM considère-t-il comme les plus importantes?

Les activités du courtier qui peuvent être externalisées en vertu des Règles de l’OCRCVM n’ont pas toutes la même importance ou la même incidence. Certaines ont peu d’importance par rapport aux activités globales du courtier ou ont un caractère plus routinier ou administratif que d’autres. Ces activités font donc courir moins de risques au courtier et à ses clients. En plus de se concentrer sur les ententes d’externalisation importantes, l’OCRCVM appuie la méthode préconisée dans le rapport de l’OICV (qui consiste à établir une distinction entre l’externalisation des activités « essentielles » et celle des activités « non essentielles ») et entend axer ses ressources réglementaires sur l’examen des ententes d’externalisation importantes touchant les activités essentielles. À cette fin, l’OCRCVM a réalisé une analyse générale des activités des courtiers et les a classées :

  • soit comme des activités « essentielles »;
  • soit comme des activités « non essentielles ».
  1. Activités essentielles

Les activités essentielles du courtier qui peuvent être externalisées sont notamment les suivantes :

  • certaines activités qui, en vertu des Règles de l’OCRCVM, n’ont pas à être exercées par un employé ou un mandataire du courtier et qui sont associées aux processus suivants :
    • ouverture des comptes,
    • évaluation de la convenance,
    • traitement des plaintes des clients;
  • la prise de décisions de placement dans le cas des comptes gérés (mentionnée précédemment à la section 2);
  • certaines activités associées aux opérations dans les comptes des clients, par exemple la compensation et le règlement d’opérations de clients;
  • l’administration de prêts sur marge et d’autres prêts consentis à des clients;
  • la préparation des relevés de compte de clients;
  • la préparation des rapports financiers réglementaires;
  • la préparation de rapports non financiers réglementaires;
  • les activités de dépôt liées à l’inscription et de tenue à jour des bases de données;
  • les activités de trésorerie;
  • les activités de financement d’entreprise;
  • la préparation de rapports de recherche et de bulletins de marketing;
  • les activités de commercialisation;
  • le recours à des services professionnels externes pour des activités commerciales du courtier, par exemple des services de comptabilité et d’audit interne;
  • la gestion et la maintenance des systèmes d’information du courtier membre.

Lorsque l’une de ces activités doit être externalisée, notamment à un autre courtier, conformément aux indications de l’Instruction générale relative au Règlement 31-103 :

  • l’OCRCVM s’attend à ce que le courtier détermine en bonne et due forme si le fournisseur de services en externalisation est en tout temps approprié (voir la section 6 de la présente note d’orientation pour de plus amples renseignements);
  • le courtier qui a externalisé des activités précises continue d’assumer la responsabilité de veiller à ce que celles-ci soient exercées convenablement et conformément aux exigences pertinentes de l’OCRCVM.
  1. Activités non essentielles

Certaines activités non essentielles du courtier peuvent être externalisées selon les Règles de l’OCRCVM qui s’appliquent. Il s’agit d’activités qui ne donneraient pas lieu à des préoccupations d’ordre réglementaire si elles étaient externalisées, notamment :

  • les activités de gestion des services administratifs;
  • l’obtention de services-conseils externes;
  • les activités de gestion des ressources humaines.

Comme dans le cas de l’externalisation des activités essentielles, l’OCRCVM s’attend à ce que le courtier détermine en bonne et due forme si le fournisseur de services en externalisation est en tout temps approprié (voir la section 6 du présent avis pour de plus amples renseignements).

  1. Que faut-il évaluer avant de décider d’externaliser ou non une activité?

Comme il est précisé à la section 2, certaines Règles de l’OCRCVM énoncent des exigences détaillées à l’égard d’ententes d’externalisation données, mais n’énoncent pas d’exigences générales à respecter lorsqu’on envisage de conclure une entente d’externalisation. En revanche, à la partie 11 de l’Instruction générale relative au Règlement 31-103, les ACVM fixent des principes généraux concernant l’établissement et le maintien de systèmes de contrôle interne chez les personnes inscrites. L’Instruction mentionne expressément la nécessité d’adopter des pratiques commerciales prudentes et de procéder à un contrôle diligent avant de décider d’externaliser ou non des activités.

Afin de répondre à ces attentes des ACVM, les courtiers devraient adopter des politiques et des procédures de contrôle diligent relatives aux ententes d’externalisation. Afin que leur évaluation des ententes d’externalisation proposées soit plus efficiente, il serait acceptable qu’ils adoptent des politiques et des procédures qui tiennent compte du fait que l’ampleur du contrôle diligent effectué peut être proportionnelle à l’importance des fonctions et des activités qu’on propose d’externaliser ainsi que’au risque lié à celles-ci. Les courtiers sont invités à prendre en compte les principes suivants et, s’il y a lieu, à les inclure dans leurs politiques et procédures de contrôle diligent.

  1. Politique d’externalisation

Le courtier doit disposer d’une politique d’externalisation exhaustive mentionnant le contrôle diligent qui servira de fondement aux décisions concernant l’externalisation ou non de certaines activités et la façon dont ces activités doivent être adéquatement externalisées.

Dans le cadre de cette politique d’externalisation exhaustive, le courtier doit déterminer au départ s’il possède l’expertise interne nécessaire pour réaliser le contrôle diligent et, dans la négative, il doit rechercher cette expertise et l’obtenir auprès de tiers.

  1. Ententes d’externalisation à éviter

Le courtier ne devrait jamais conclure une entente d’externalisation qui :

  • diminue sa capacité de s’acquitter de ses obligations envers ses clients et les autorités de réglementation,
  • empêche une surveillance efficace de la part des autorités de réglementation;
  • concentre indûment ses activités externalisées chez un ou quelques fournisseurs de services,
  • permet au fournisseur de services d’externaliser lui-même une partie ou la totalité des activités externalisées à un tiers à l’insu du courtier membre ou sans conserver la responsabilité des activités externalisées.
  1. Avis à l’OCRCVM

Le courtier doit aviser l’OCRCVM de toute nouvelle entente d’externalisation qu’il a conclue et qui vise ses activités essentielles, conformément au paragraphe 2246(2).

  1. Activités postérieures à l’externalisation

Le courtier qui a externalisé une ou plusieurs activités devrait :

  1. conclure des contrats d’externalisation écrits qui décrivent clairement tous les aspects importants de l’entente d’externalisation, y compris les droits, responsabilités et attentes des parties;
  2. conserver une liste centralisée, ainsi que des exemplaires des ententes connexes, des fournisseurs de services à qui des activités essentielles ont été externalisées;
  3. établir et mettre en œuvre un programme complet de gestion des risques liés à l’externalisation qui sert à surveiller les risques associés :
  • aux activités externalisées,
  • à la relation d’externalisation établie avec le fournisseur de services.

Parmi les risques associés à la relation d’externalisation que le courtier doit gérer, mentionnons les suivants :

  • le risque de préjudice pour le client, soit le risque que le fournisseur de services ne protège pas adéquatement les actifs des comptes de clients et la documentation connexe et n’assure pas un accès en temps utile à ces derniers;
  • le risque d’atteinte à la réputation, soit le risque qu’un piètre service fourni par le fournisseur de services touche la réputation du courtier;
  • le risque lié à la conformité, soit le risque que le fournisseur de services ne respecte pas les exigences ou obligations réglementaires ou autres qui s’appliquent au courtier;
  • le risque lié à la stratégie de sortie, soit le risque que le courtier ne puisse pas reprendre les activités externalisées ou conclure en temps opportun un contrat avec un autre fournisseur de services, parce qu’il dépend trop du fournisseur de services et qu’il dispose d’un personnel sans compétences pertinentes;
  • le risque lié à l’accès aux données, soit le risque que le courtier n’ait pas accès en temps opportun aux données, aux dossiers ou aux actifs;
  • le risque lié à la concentration, soit le risque que le courtier dépende de manière considérable des services offerts par le fournisseur de services en raison du nombre ou de l’importance des activités qui ont été externalisées à ce fournisseur.

Se reporter à l’annexe B pour obtenir une liste plus détaillée des risques clés associés à l’externalisation et des principales préoccupations suscitées par ces risques;

  1. Soumettre les ententes d’externalisation à un examen afin de s’assurer que les activités externalisées visées par chaque entente sont exercées conformément au niveau de service prévu dans l’entente sans faire courir de risque excessif au courtier;
  2. Déterminer le moment et la fréquence des examens des ententes d’externalisation en établissant et en tenant à jour un calendrier d’examen fondé sur les risques;
  3. Dans la mesure du possible, obtenir et fournir à l’OCRCVM un rapport sur le caractère adéquat des contrôles internes pour chaque entente d’externalisation se rapportant à une activité essentielle du courtier (par exemple les rapports spéciaux préparés régulièrement par les auditeurs externes pour les fournisseurs de services en externalisation6 );
  4. Préparer, dans le cadre de sa planification de la continuité des activités, des plans qui prévoient le scénario où un ou plusieurs des principaux fournisseurs de services subissent une perturbation des activités.
  1. Les ententes d’externalisation visant les membres du même groupe sont-elles assujetties à la présente note d’orientation?

Les indications énoncées dans le présent avis visent les ententes d’externalisation avec des fournisseurs qui ont ou non un lien de dépendance avec le courtier. De plus, dans le cas des ententes d’externalisation avec un fournisseur avec lien de dépendance, comme celles faisant intervenir des membres du même groupe, les courtiers doivent tenir compte du risque lié à l’accès aux données découlant du fait que les parties sont membres du même groupe. Plus précisément, les courtiers doivent veiller à ce que l’entente d’externalisation conclue avec un membre de leur groupe prévoie des procédures visant à limiter l’accès aux données, aux dossiers et aux actifs du courtier et des comptes des clients du courtier par les employés du membre du groupe et les employés cumulant des postes chez le courtier et chez un membre du même groupe, de même que le contrôle qu’ils peuvent exercer sur ces données, dossiers et actifs.

En l’absence de telles procédures, les employés agissant dans l’intérêt de leur employeur qui est membre du même groupe pourraient apporter des modifications importantes aux données et aux dossiers du courtier ou déplacer les actifs du courtier et de comptes de clients sans agir au mieux des intérêts du courtier et de ses clients.

  1. Dispositions applicables

La présente note d’orientation se rapporte aux dispositions suivantes des Règles de l’OCRCVM :

  • Règle 1200;
  • paragraphe 2246(2);
  • Règle 2300;
  • Règle 2400;
  • Règle 3100;
  • Règle 3200;
  • Règle 3400;
  • Règle 3600;
  • Règle 3700;
  • Règle 3900;
  • Règle 4100;
  • Règle 4300.
  1. Note d’orientation antérieure

La présente note d’orientation remplace l’Avis sur les règles de l’OCRCVM 14-0012 – Ententes d’impartition.

  1. Document connexe

La présente note d’orientation est aussi publiée dans l’Avis 21-0190 - Règles de l’OCRCVM, Formulaire 1 et notes d'orientation.

  1. Annexes

  • Annexe A – Principes relatifs à l’externalisation des services financiers par les intermédiaires du marché 
  • Annexe B – Principaux risques associés à l’externalisation

Annexe A – Principes relatifs à l’externalisation des services financiers par les intermédiaires du marché 

Extraits du rapport intitulé « Principles on Outsourcing of Financial Services for Market Intermediaries » publié par le Comité sur la réglementation des intermédiaires de marché du Comité technique de l’Organisation internationale des commissions de valeurs (OICV) (sous-comité permanent 3) en février 2005

...

[TRADUCTION]

III. Principes d’externalisation

Thème 1 : Contrôle diligent dans la sélection du fournisseur de services et la surveillance de son rendement

Principe : La société qui a recours à l’externalisation doit procéder au contrôle diligent qui s’impose pour le choix d’un fournisseur de services tiers et la surveillance de son rendement continu.

...

Moyens de mise en œuvre

Les sociétés qui externalisent des activités sont censées mettre en œuvre des moyens appropriés, tels que ceux énumérés ci-dessous, pour choisir des fournisseurs de services compétents et surveiller convenablement ces derniers, eu égard aux services qu’ils fournissent :

  • Consigner par écrit les processus et procédures qui permettent à la société d’évaluer, avant d’arrêter son choix, la capacité du fournisseur de services tiers d’exécuter les activités externalisées de façon efficace et fiable et selon des normes rigoureuses, y compris les capacités techniques et financières et les ressources humaines du fournisseur de services tiers, ainsi que tout facteur de risque potentiel associé au recours à un fournisseur de services tiers particulier.
  • Consigner par écrit les processus et procédures qui permettent à la société de surveiller le rendement du fournisseur de services tiers et le respect par celui-ci de ses obligations contractuelles, y compris les processus et procédures qui :
  • définissent clairement les paramètres permettant de mesurer le niveau de service et précisent les niveaux de service requis;
  • établissent des mesures pour repérer et signaler les cas où le rendement fourni à la société est non conforme ou insatisfaisant et qui permettent d’évaluer régulièrement la qualité des services rendus par le fournisseur de services (se reporter également au thème 2).
  • Mettre en œuvre des processus et procédures conçus pour garantir que le fournisseur de services respecte les lois et exigences réglementaires applicables dans son territoire et qu’advenant que les tâches ne soient pas exercées conformément aux lois ou aux règlements, la société signalera, dans la mesure permise par les lois ou les règlements, le manquement à l’autorité de réglementation ou à l’organisme d’autoréglementation dont elle relève et prendra des mesures correctives7 . Ces procédures peuvent comprendre :
    • le recours à des rapports sur la prestation des services et à des auditeurs internes et externes pour surveiller et évaluer le rendement et en faire rapport à la société qui a recours à l’externalisation;
    • le recours à des ententes de niveau de service écrites ou l’ajout de dispositions particulières concernant les niveaux de service afin de fixer des cibles et des mesures de rendement claires à l’intention des fournisseurs de services tiers.
  • Pour déterminer si le recours à un fournisseur de services étranger est indiqué, la société qui a recours à l’externalisation pourrait, relativement aux fonctions qui sont importantes pour elle, devoir procéder à un contrôle diligent plus poussé axé sur les risques particuliers liés à la conformité, afin notamment de surveiller efficacement le fournisseur de services étranger, de protéger la confidentialité des renseignements concernant la société et ses clients, et de mettre en œuvre des plans d’urgence et des stratégies de sortie lorsque les services sont rendus à l’étranger.

Thème 2 : Contrat avec un fournisseur de services

Principe : La société qui a recours à l’externalisation et chaque fournisseur de services tiers doivent conclure un contrat écrit ayant force exécutoire, dont la nature et le niveau de détail doivent cadrer avec l’importance de l’activité externalisée pour ses affaires courantes.

...

Moyens de mise en œuvre

Une société qui a recours à l’externalisation est censée conclure avec le fournisseur de services tiers un contrat écrit ayant force exécutoire qui cadre avec l’importance de l’activité externalisée pour ses affaires courantes. Selon le cas, le contrat peut comprendre des dispositions concernant les aspects suivants :

  • les restrictions ou conditions, le cas échéant, applicables à la capacité du fournisseur de services de sous-traiter les activités externalisées et, dans la mesure où la sous-traitance est permise, toute obligation qui en découle;
  • la confidentialité des renseignements sur la société et ses clients (se reporter également au thème 4);
  • la définition des responsabilités de la société, du fournisseur de services et des sous-traitants et la façon dont ces responsabilités seront surveillées;
  • les responsabilités concernant la sécurité des technologies de l’information (TI) (se reporter également au thème 3);
  • les ententes de paiement;
  • la responsabilité du fournisseur de services envers la société en cas de rendement insatisfaisant ou d’une autre violation de l’entente;
  • les garanties et indemnités;
  • l’obligation du fournisseur de services de fournir sur demande à la société, à ses auditeurs ou aux autorités de réglementation les dossiers, les renseignements ou de l’aide concernant les activités externalisées (se reporter au thème 7);
  • les mécanismes de règlement des différends pouvant découler de l’entente d’externalisation;
  • les dispositions concernant la continuité des activités (se reporter au thème 3);
  • dans le cas où les fonctions sont externalisées à un fournisseur étranger, le choix des dispositions légales applicables;
  • la résiliation du contrat, le transfert des renseignements et les stratégies de sortie (se reporter également au thème 6).

Thème 3 : Sécurité des technologies de l’information et continuité des activités de la société qui a recours à l’externalisation

Principe : La société qui a recours à l’externalisation doit prendre des mesures appropriées pour s’assurer que :

  1. des procédures ont été mises en place pour protéger les renseignements et logiciels exclusifs et ceux liés à la clientèle de la société;
  2. ses fournisseurs de services établissent et maintiennent des procédures d’urgence et un plan de reprise des activités après sinistre prévoyant un contrôle régulier des capacités de sauvegarde.

...

Moyens de mise en œuvre

Lorsque l’importance de la fonction externalisée le justifie, la société qui a recours à l’externalisation est censée prendre des mesures appropriées pour obliger les fournisseurs de services à se doter d’un programme complet de sécurité des TI. Ces mesures peuvent comprendre les suivantes :

  • La définition des exigences en matière de sécurité des systèmes automatisés qui seront utilisés par le fournisseur de services, y compris les mesures techniques et organisationnelles qui seront prises pour protéger les données liées à la société et à sa clientèle. On devra tout particulièrement veiller à ce que la sécurité des TI garantisse la protection des renseignements personnels des clients de la société, comme l’exige la loi;
  • L’obligation pour le fournisseur de services de prendre des mesures appropriées pour assurer la sécurité des logiciels de la société et de tout logiciel développé par le fournisseur de services à l’usage de la société;
  • La description des droits de chaque partie de modifier ou d’exiger que soient modifiées les procédures et exigences en matière de sécurité ainsi que des situations dans lesquelles cela pourrait se produire;
  • Les dispositions visant les procédures d’urgence et les plans de mesures d’urgence et de reprise après sinistre du fournisseur de services, ainsi que tout problème particulier qui pourrait devoir être pris en compte lorsque la société recourt à un fournisseur de services étranger. Selon le cas, cela peut comprendre la responsabilité du fournisseur de services de sauvegarder ou de protéger les fichiers de programmes et de données, ainsi que les rapports réglementaires;
  • Le cas échéant, les modalités du recours à des sous-traitants en ce qui concerne la sécurité des TI et les mesures appropriées pour réduire les risques qui en découlent;
  • Le cas échéant, l’obligation pour le fournisseur de services de contrôler périodiquement ses systèmes essentiels et ses capacités de sauvegarde afin d’examiner sa capacité à fournir un rendement acceptable même lorsque la société, le fournisseur de services ou les deux doivent faire face à des conditions matérielles ou à une conjoncture de marché inhabituelles, et de déterminer si la capacité existante est suffisante dans toutes les situations pertinentes;
  • L’obligation pour le fournisseur de services de communiquer les atteintes à la sécurité découlant d’intrusions non autorisées (qu’elles soient délibérées ou accidentelles et confirmées ou non) qui pourraient toucher la société ou ses clients, notamment en fournissant un rapport sur les mesures correctives prises;
  • L’inclusion, dans les plans de mesures d’urgence de la société, de dispositions visant les situations dans lesquelles un ou plusieurs des fournisseurs de services manquent à leurs obligations contractuelles. Selon le cas, cela peut comprendre la communication de renseignements par la société à l’autorité de réglementation. Pour s’acquitter de cette obligation, la société pourrait devoir exiger par contrat du fournisseur de services qu’il lui fournisse des renseignements.

Thème 4 : Questions de confidentialité touchant les clients

Principe : La société qui a recours à l’externalisation doit prendre des mesures appropriées pour exiger que les fournisseurs de services protègent ses renseignements confidentiels, exclusifs et autres, ainsi que ceux de ses clients contre une communication intentionnelle ou involontaire à des personnes non autorisées.

...

Moyens de mise en œuvre

Les sociétés réglementées qui ont recours à l’externalisation doivent prendre des mesures appropriées pour s’assurer que leurs renseignements confidentiels et ceux de leurs clients ne sont pas utilisés à mauvais escient ou détournés. Ces mesures peuvent comprendre l’inclusion, dans le contrat avec le fournisseur de services :

  • de dispositions qui interdisent au fournisseur de services et à ses mandataires d’utiliser ou de communiquer les renseignements exclusifs de la société ou de ses clients, sauf dans la mesure nécessaire à la prestation des services visés par le contrat;
  • s’il y a lieu, de modalités régissant le recours à des sous-traitants eu égard à la confidentialité des renseignements de la société et de ses clients.

Les sociétés qui ont recours à l’externalisation doivent aussi se demander s’il y a lieu d’informer leurs clients que leurs données peuvent être transmises à un fournisseur de services, compte tenu des dispositions réglementaires ou législatives applicables.

Les autorités de réglementation doivent s’efforcer de vérifier si les sociétés ayant recours à l’externalisation situées dans leur territoire prennent des mesures appropriées pour surveiller leurs relations avec les fournisseurs de services, eu égard à la protection des renseignements confidentiels de la société et de ses clients.

Thème 5 : Concentration des fonctions d’externalisation

Principe : Les autorités de réglementation devraient être conscientes des risques qui découlent de la prestation par un seul fournisseur de services de services en externalisation à plusieurs entités réglementées.

...

Moyens de mise en œuvre

Les autorités de réglementation doivent envisager de mettre en œuvre les moyens suivants afin de réduire le risque de concentration :

  • Des mesures permettant de repérer les cas où une proportion importante des entités qu’elles réglementent dépendent d’un seul fournisseur de services pour ce qui est de l’exécution de fonctions essentielles. Il peut s’agir, selon le cas, d’un programme de surveillance ou d’une méthode d’évaluation des risques, et de la collecte des renseignements habituels concernant les ententes d’externalisation auprès des sociétés qui ont recours à l’externalisation ou des fournisseurs de services. À cet égard, les autorités de réglementation ne doivent pas oublier que l’octroi en sous-traitance d’une fonction particulière par un fournisseur de services peut lui-même entraîner un risque de concentration;
  • L’adaptation de leurs programmes d’inspection ou des activités connexes en fonction de la concentration des activités d’externalisation.

Lorsqu’une autorité de réglementation découvre une source possible de risque de concentration, les sociétés qui ont recours à l’externalisation doivent prendre des mesures pour s’assurer, dans la mesure du possible, que le fournisseur de services a des moyens suffisants pour répondre aux besoins de toutes les sociétés qui ont recours à l’externalisation, tant dans le cadre des opérations habituelles qu’en cas d’événement inhabituel (p. ex. activité inhabituelle du marché, sinistre matériel).

Thème 6 : Procédures de résiliation

Principe : L’externalisation à des fournisseurs de services tiers doit comprendre des dispositions contractuelles concernant la résiliation du contrat et des stratégies de sortie appropriées.

...

Moyens de mise en œuvre

Les sociétés qui ont recours à l’externalisation sont censées prendre des mesures appropriées pour gérer la résiliation des ententes d’externalisation. Ces mesures peuvent comprendre l’inclusion de dispositions telles que les suivantes dans les contrats conclus avec les fournisseurs de services :

  • Les droits de résiliation, p. ex. en cas d’insolvabilité, de liquidation ou de mise sous séquestre, de changement de propriétaire, de manquement aux exigences réglementaires, ou de rendement médiocre;
  • Les délais minimaux à respecter avant qu’une résiliation annoncée puisse prendre effet, pour permettre le transfert ordonné des activités à un autre fournisseur ou à la société elle-même, et pour assurer la restitution des données liées aux clients et de toute autre ressource;
  • La délimitation claire du titre de propriété intellectuelle après la résiliation du contrat, et les dispositions concernant la rétrocession des renseignements à la société qui a eu recours à l’externalisation.

Thème 7 : Accès aux livres et dossiers par les autorités de réglementation et les intermédiaires, y compris le droit de consultation

Principe : L’autorité de réglementation, la société qui a recours à l’externalisation et ses auditeurs doivent avoir accès aux livres et dossiers des fournisseurs de services qui ont trait aux activités externalisées, et l’autorité de réglementation doit pouvoir obtenir rapidement, sur demande, les renseignements concernant les activités qui sont pertinents pour la surveillance réglementaire.

...

Moyens de mise en œuvre

Les sociétés qui ont recours à l’externalisation sont censées prendre des mesures pour s’assurer qu’elles et leurs autorités de réglementation ont accès aux livres et dossiers des fournisseurs de services concernant les activités externalisées, et que leurs autorités de réglementation ont le droit d’obtenir, sur demande, les renseignements concernant les activités externalisées. Ces mesures peuvent comprendre les suivantes :

  • Des dispositions contractuelles qui accordent à la société (y compris son auditeur) l’accès aux livres et dossiers du fournisseur de services se rapportant aux activités externalisées, ainsi qu’un droit de consultation de ceux-ci, et un accès semblable aux livres et dossiers des sous-traitants. S’il y a lieu, cela peut comprendre l’inspection matérielle des locaux du fournisseur de services, la remise des livres et dossiers ou de copies de ces derniers à la société ou à son auditeur, ou des inspections effectuées par des moyens électroniques (inspections « virtuelles »);
  • Des dispositions contractuelles selon lesquelles le fournisseur de services est tenu de mettre à la disposition de l’autorité de réglementation, dès qu’il en reçoit la demande, les livres, dossiers et autres renseignements sur les activités réglementées qui lui ont été externalisées, et de fournir à l’autorité de réglementation les rapports périodiques exigés, le cas échéant, dans le territoire de la société qui a recours à l’externalisation.

Les autorités de réglementation doivent envisager de prendre des mesures appropriées conçues pour favoriser l’accès aux livres, dossiers et renseignements du fournisseur de services sur le rendement des activités réglementées. Ces mesures peuvent comprendre les suivantes :

  • S’il y a lieu, prendre des mesures contre les sociétés ayant recours à l’externalisation qui omettent de fournir les livres et dossiers requis dans le territoire concerné, peu importe que l’entité réglementée ait ou non transféré la possession des livres et dossiers requis à un ou plusieurs de ses fournisseurs de services;
  • Imposer des exigences particulières concernant l’accès aux livres et dossiers qui sont détenus par un fournisseur de services et dont l’autorité a besoin pour exercer ses fonctions de surveillance à l’égard des entités réglementées situées dans son territoire. L’autorité de réglementation pourrait donc exiger que les livres et dossiers soient conservés dans son territoire, qu’un droit d’inspection soit accordé, ou que le fournisseur de services convienne de transmettre sur demande les originaux ou des copies des livres et dossiers dans son territoire.

Annexe B – Principaux risques associés à l’externalisation

Quoique l’externalisation de certaines activités puisse être avantageuse pour une organisation de services financiers, elle peut engendrer des risques qui doivent être gérés de manière efficace. 

RISQUE

Principales préoccupations

Risque de préjudice pour le client

  • Les contrôles exercés par le fournisseur de services tiers sont insuffisants pour protéger adéquatement les actifs des comptes des clients et les dossiers connexes et permettre aux clients d’accéder en temps utile à ces derniers.

Risque stratégique

  • Le fournisseur de services tiers peut exercer des activités pour son propre compte qui sont incompatibles avec les objectifs stratégiques globaux de l’entité réglementée.
  • Le fournisseur de services ne met pas en œuvre une surveillance convenable.
  • Il n’y a pas d’expertise interne convenable pour surveiller le fournisseur de services.

Risque d’atteinte à la réputation

  • Le fournisseur de services tiers fournit des services de piètre qualité.
  • L’interaction avec les clients n’est pas conforme aux normes globales de l’entité réglementée.
  • Les pratiques du fournisseur de services tiers ne cadrent pas avec les pratiques (déontologiques ou autres) de l’entité réglementée.

Risque lié à la conformité

  • Les lois sur la protection des renseignements personnels ne sont pas respectées.
  • Les lois sur la protection des consommateurs et les règles de prudence ne sont pas adéquatement respectées.
  • Le fournisseur de services a des systèmes et des contrôles insuffisants en matière de conformité.

Risque opérationnel

  • La technologie peut faire l’objet d’une défaillance.
  • Une capacité financière insuffisante ne permet pas de respecter les obligations ou de fournir des mesures de redressement. 
  • Des contrôles internes insuffisants donnent lieu à des erreurs ou à des actes de fraude non dépistés.
  • Il est difficile ou coûteux pour la société d’effectuer l’inspection des activités du fournisseur de services.

Risque lié à la stratégie de sortie

  • Il n’y a pas de stratégies de sortie appropriées. Cela peut découler d’une trop grande dépendance envers un même fournisseur, de la perte de compétences pertinentes au sein de la société même, ce qui empêche celle-ci de rapatrier l’activité à l’interne, et de contrats qui font en sorte qu’une sortie en temps opportun entraîne des coûts prohibitifs.
  • La capacité de rapatrier les services au sein de la société est restreinte en raison d’un manque de personnel ou de la perte de connaissances à l’échelle de la société.

Risque lié aux contreparties

  • Les évaluations des conventions de placement ou de la solvabilité sont insuffisantes.
  • La qualité des débiteurs peut diminuer.

Risque lié au pays

  • Le climat politique, social et juridique peut accroître le risque.
  • La planification de la continuité des activités est plus compliquée.

Risque contractuel

  • La capacité de faire appliquer les contrats est restreinte.
  • Dans le cas d’ententes d’externalisation extraterritoriales, le choix du régime de droit est important.

Risque lié à l’accès aux données

  • L’entente d’externalisation entrave la capacité de l’entité réglementée de fournir des données et d’autres renseignements en temps opportun aux autorités de réglementation.
  • Un degré de difficulté supplémentaire découle de la nécessité pour l’autorité de réglementation de comprendre les activités du fournisseur de services.

Risque lié à la concentration pour la société

  • Le courtier membre dépend de manière considérable des services offerts par le fournisseur de services tiers en raison du nombre ou de l’importance des activités qui ont été externalisées à ce fournisseur.

Risque systémique et risque lié à la concentration pour le secteur

  • Le secteur dans son ensemble est fortement dépendant du fournisseur de services en externalisation. Ce risque de concentration revêt plusieurs aspects, notamment :
    • l’absence de contrôle par les diverses sociétés à l’égard du fournisseur;
    • le risque systémique auquel s’expose le secteur dans son ensemble.
  • 2Source : Principles on Outsourcing of Financial Services for Market Intermediaries [en anglais seulement], section 1 – Comité technique de l’Organisation internationale des commissions de valeurs (OICV), février 2005.
  • 3Les Règles prévoient un cinquième type d’accord entre remisier et courtier chargé de comptes pouvant être conclu par un courtier de l’OCRCVM et un courtier étranger membre du même groupe.
  • 4Pour chacun des quatre types d’arrangements entre remisiers et courtiers chargés de comptes, la Règle 2400 exige que le courtier chargé de comptes traite les clients qui lui sont présentés de la même manière que ses propres clients afin de veiller à exécuter les fonctions externalisées conformément à toutes les règles applicables de l’OCRCVM.
  • 5Les exigences en matière de capital selon les états financiers que le lieu de dépôt doit respecter et les modalités minimales de l’entente de garde sont fixées dans la définition du terme « lieux agréés de dépôt de titres » figurant dans les Directives générales et définitions du Formulaire 1.
  • 6Les rapports comme celui produit en vertu du chapitre 5970 du Manuel de l’ICCA (remplacé par la NCMC 3416) ou du SAS 70 (remplacé par le SSAE 16) fournissent l’assurance que le système de contrôles internes du fournisseur de services est adéquat et peut réduire ou éliminer la nécessité pour le courtier d’effectuer sa propre évaluation de ce système dans le cadre de son contrôle diligent d’une entente d’externalisation proposée.
  • 7Cette exigence cadre avec les règlements de bon nombre d’organismes membres de l’OICV qui exigent qu’une société prévienne l’autorité de réglementation dont elle relève de toute contravention à la loi qui pourrait avoir été commise.

Annexe :

Extraits du rapport intitulé « Principles on Outsourcing of Financial Services for Market Intermediaries » publié par le Comité sur la réglementation des intermédiaires de marché du Comité technique de l’Organisation internationale des commissions de valeurs (OICV) (sous-comité permanent 3) en février 2005

...

[TRADUCTION]

III. Principes d’externalisation

Thème 1 : Contrôle diligent dans la sélection du fournisseur de services et la surveillance de son rendement

Principe : La société qui a recours à l’externalisation doit procéder au contrôle diligent qui s’impose pour le choix d’un fournisseur de services tiers et la surveillance de son rendement continu.

...

Moyens de mise en œuvre

Les sociétés qui externalisent des activités sont censées mettre en œuvre des moyens appropriés, tels que ceux énumérés ci-dessous, pour choisir des fournisseurs de services compétents et surveiller convenablement ces derniers, eu égard aux services qu’ils fournissent :

  • Consigner par écrit les processus et procédures qui permettent à la société d’évaluer, avant d’arrêter son choix, la capacité du fournisseur de services tiers d’exécuter les activités externalisées de façon efficace et fiable et selon des normes rigoureuses, y compris les capacités techniques et financières et les ressources humaines du fournisseur de services tiers, ainsi que tout facteur de risque potentiel associé au recours à un fournisseur de services tiers particulier.
  • Consigner par écrit les processus et procédures qui permettent à la société de surveiller le rendement du fournisseur de services tiers et le respect par celui-ci de ses obligations contractuelles, y compris les processus et procédures qui :
  • définissent clairement les paramètres permettant de mesurer le niveau de service et précisent les niveaux de service requis;
  • établissent des mesures pour repérer et signaler les cas où le rendement fourni à la société est non conforme ou insatisfaisant et qui permettent d’évaluer régulièrement la qualité des services rendus par le fournisseur de services (se reporter également au thème 2).
  • Mettre en œuvre des processus et procédures conçus pour garantir que le fournisseur de services respecte les lois et exigences réglementaires applicables dans son territoire et qu’advenant que les tâches ne soient pas exercées conformément aux lois ou aux règlements, la société signalera, dans la mesure permise par les lois ou les règlements, le manquement à l’autorité de réglementation ou à l’organisme d’autoréglementation dont elle relève et prendra des mesures correctives7 . Ces procédures peuvent comprendre :
    • le recours à des rapports sur la prestation des services et à des auditeurs internes et externes pour surveiller et évaluer le rendement et en faire rapport à la société qui a recours à l’externalisation;
    • le recours à des ententes de niveau de service écrites ou l’ajout de dispositions particulières concernant les niveaux de service afin de fixer des cibles et des mesures de rendement claires à l’intention des fournisseurs de services tiers.
  • Pour déterminer si le recours à un fournisseur de services étranger est indiqué, la société qui a recours à l’externalisation pourrait, relativement aux fonctions qui sont importantes pour elle, devoir procéder à un contrôle diligent plus poussé axé sur les risques particuliers liés à la conformité, afin notamment de surveiller efficacement le fournisseur de services étranger, de protéger la confidentialité des renseignements concernant la société et ses clients, et de mettre en œuvre des plans d’urgence et des stratégies de sortie lorsque les services sont rendus à l’étranger.

Thème 2 : Contrat avec un fournisseur de services

Principe : La société qui a recours à l’externalisation et chaque fournisseur de services tiers doivent conclure un contrat écrit ayant force exécutoire, dont la nature et le niveau de détail doivent cadrer avec l’importance de l’activité externalisée pour ses affaires courantes.

...

Moyens de mise en œuvre

Une société qui a recours à l’externalisation est censée conclure avec le fournisseur de services tiers un contrat écrit ayant force exécutoire qui cadre avec l’importance de l’activité externalisée pour ses affaires courantes. Selon le cas, le contrat peut comprendre des dispositions concernant les aspects suivants :

  • les restrictions ou conditions, le cas échéant, applicables à la capacité du fournisseur de services de sous-traiter les activités externalisées et, dans la mesure où la sous-traitance est permise, toute obligation qui en découle;
  • la confidentialité des renseignements sur la société et ses clients (se reporter également au thème 4);
  • la définition des responsabilités de la société, du fournisseur de services et des sous-traitants et la façon dont ces responsabilités seront surveillées;
  • les responsabilités concernant la sécurité des technologies de l’information (TI) (se reporter également au thème 3);
  • les ententes de paiement;
  • la responsabilité du fournisseur de services envers la société en cas de rendement insatisfaisant ou d’une autre violation de l’entente;
  • les garanties et indemnités;
  • l’obligation du fournisseur de services de fournir sur demande à la société, à ses auditeurs ou aux autorités de réglementation les dossiers, les renseignements ou de l’aide concernant les activités externalisées (se reporter au thème 7);
  • les mécanismes de règlement des différends pouvant découler de l’entente d’externalisation;
  • les dispositions concernant la continuité des activités (se reporter au thème 3);
  • dans le cas où les fonctions sont externalisées à un fournisseur étranger, le choix des dispositions légales applicables;
  • la résiliation du contrat, le transfert des renseignements et les stratégies de sortie (se reporter également au thème 6).

Thème 3 : Sécurité des technologies de l’information et continuité des activités de la société qui a recours à l’externalisation

Principe : La société qui a recours à l’externalisation doit prendre des mesures appropriées pour s’assurer que :

  1. des procédures ont été mises en place pour protéger les renseignements et logiciels exclusifs et ceux liés à la clientèle de la société;
  2. ses fournisseurs de services établissent et maintiennent des procédures d’urgence et un plan de reprise des activités après sinistre prévoyant un contrôle régulier des capacités de sauvegarde.

...

Moyens de mise en œuvre

Lorsque l’importance de la fonction externalisée le justifie, la société qui a recours à l’externalisation est censée prendre des mesures appropriées pour obliger les fournisseurs de services à se doter d’un programme complet de sécurité des TI. Ces mesures peuvent comprendre les suivantes :

  • La définition des exigences en matière de sécurité des systèmes automatisés qui seront utilisés par le fournisseur de services, y compris les mesures techniques et organisationnelles qui seront prises pour protéger les données liées à la société et à sa clientèle. On devra tout particulièrement veiller à ce que la sécurité des TI garantisse la protection des renseignements personnels des clients de la société, comme l’exige la loi;
  • L’obligation pour le fournisseur de services de prendre des mesures appropriées pour assurer la sécurité des logiciels de la société et de tout logiciel développé par le fournisseur de services à l’usage de la société;
  • La description des droits de chaque partie de modifier ou d’exiger que soient modifiées les procédures et exigences en matière de sécurité ainsi que des situations dans lesquelles cela pourrait se produire;
  • Les dispositions visant les procédures d’urgence et les plans de mesures d’urgence et de reprise après sinistre du fournisseur de services, ainsi que tout problème particulier qui pourrait devoir être pris en compte lorsque la société recourt à un fournisseur de services étranger. Selon le cas, cela peut comprendre la responsabilité du fournisseur de services de sauvegarder ou de protéger les fichiers de programmes et de données, ainsi que les rapports réglementaires;
  • Le cas échéant, les modalités du recours à des sous-traitants en ce qui concerne la sécurité des TI et les mesures appropriées pour réduire les risques qui en découlent;
  • Le cas échéant, l’obligation pour le fournisseur de services de contrôler périodiquement ses systèmes essentiels et ses capacités de sauvegarde afin d’examiner sa capacité à fournir un rendement acceptable même lorsque la société, le fournisseur de services ou les deux doivent faire face à des conditions matérielles ou à une conjoncture de marché inhabituelles, et de déterminer si la capacité existante est suffisante dans toutes les situations pertinentes;
  • L’obligation pour le fournisseur de services de communiquer les atteintes à la sécurité découlant d’intrusions non autorisées (qu’elles soient délibérées ou accidentelles et confirmées ou non) qui pourraient toucher la société ou ses clients, notamment en fournissant un rapport sur les mesures correctives prises;
  • L’inclusion, dans les plans de mesures d’urgence de la société, de dispositions visant les situations dans lesquelles un ou plusieurs des fournisseurs de services manquent à leurs obligations contractuelles. Selon le cas, cela peut comprendre la communication de renseignements par la société à l’autorité de réglementation. Pour s’acquitter de cette obligation, la société pourrait devoir exiger par contrat du fournisseur de services qu’il lui fournisse des renseignements.

Thème 4 : Questions de confidentialité touchant les clients

Principe : La société qui a recours à l’externalisation doit prendre des mesures appropriées pour exiger que les fournisseurs de services protègent ses renseignements confidentiels, exclusifs et autres, ainsi que ceux de ses clients contre une communication intentionnelle ou involontaire à des personnes non autorisées.

...

Moyens de mise en œuvre

Les sociétés réglementées qui ont recours à l’externalisation doivent prendre des mesures appropriées pour s’assurer que leurs renseignements confidentiels et ceux de leurs clients ne sont pas utilisés à mauvais escient ou détournés. Ces mesures peuvent comprendre l’inclusion, dans le contrat avec le fournisseur de services :

  • de dispositions qui interdisent au fournisseur de services et à ses mandataires d’utiliser ou de communiquer les renseignements exclusifs de la société ou de ses clients, sauf dans la mesure nécessaire à la prestation des services visés par le contrat;
  • s’il y a lieu, de modalités régissant le recours à des sous-traitants eu égard à la confidentialité des renseignements de la société et de ses clients.

Les sociétés qui ont recours à l’externalisation doivent aussi se demander s’il y a lieu d’informer leurs clients que leurs données peuvent être transmises à un fournisseur de services, compte tenu des dispositions réglementaires ou législatives applicables.

Les autorités de réglementation doivent s’efforcer de vérifier si les sociétés ayant recours à l’externalisation situées dans leur territoire prennent des mesures appropriées pour surveiller leurs relations avec les fournisseurs de services, eu égard à la protection des renseignements confidentiels de la société et de ses clients.

Thème 5 : Concentration des fonctions d’externalisation

Principe : Les autorités de réglementation devraient être conscientes des risques qui découlent de la prestation par un seul fournisseur de services de services en externalisation à plusieurs entités réglementées.

...

Moyens de mise en œuvre

Les autorités de réglementation doivent envisager de mettre en œuvre les moyens suivants afin de réduire le risque de concentration :

  • Des mesures permettant de repérer les cas où une proportion importante des entités qu’elles réglementent dépendent d’un seul fournisseur de services pour ce qui est de l’exécution de fonctions essentielles. Il peut s’agir, selon le cas, d’un programme de surveillance ou d’une méthode d’évaluation des risques, et de la collecte des renseignements habituels concernant les ententes d’externalisation auprès des sociétés qui ont recours à l’externalisation ou des fournisseurs de services. À cet égard, les autorités de réglementation ne doivent pas oublier que l’octroi en sous-traitance d’une fonction particulière par un fournisseur de services peut lui-même entraîner un risque de concentration;
  • L’adaptation de leurs programmes d’inspection ou des activités connexes en fonction de la concentration des activités d’externalisation.

Lorsqu’une autorité de réglementation découvre une source possible de risque de concentration, les sociétés qui ont recours à l’externalisation doivent prendre des mesures pour s’assurer, dans la mesure du possible, que le fournisseur de services a des moyens suffisants pour répondre aux besoins de toutes les sociétés qui ont recours à l’externalisation, tant dans le cadre des opérations habituelles qu’en cas d’événement inhabituel (p. ex. activité inhabituelle du marché, sinistre matériel).

Thème 6 : Procédures de résiliation

Principe : L’externalisation à des fournisseurs de services tiers doit comprendre des dispositions contractuelles concernant la résiliation du contrat et des stratégies de sortie appropriées.

...

Moyens de mise en œuvre

Les sociétés qui ont recours à l’externalisation sont censées prendre des mesures appropriées pour gérer la résiliation des ententes d’externalisation. Ces mesures peuvent comprendre l’inclusion de dispositions telles que les suivantes dans les contrats conclus avec les fournisseurs de services :

  • Les droits de résiliation, p. ex. en cas d’insolvabilité, de liquidation ou de mise sous séquestre, de changement de propriétaire, de manquement aux exigences réglementaires, ou de rendement médiocre;
  • Les délais minimaux à respecter avant qu’une résiliation annoncée puisse prendre effet, pour permettre le transfert ordonné des activités à un autre fournisseur ou à la société elle-même, et pour assurer la restitution des données liées aux clients et de toute autre ressource;
  • La délimitation claire du titre de propriété intellectuelle après la résiliation du contrat, et les dispositions concernant la rétrocession des renseignements à la société qui a eu recours à l’externalisation.

Thème 7 : Accès aux livres et dossiers par les autorités de réglementation et les intermédiaires, y compris le droit de consultation

Principe : L’autorité de réglementation, la société qui a recours à l’externalisation et ses auditeurs doivent avoir accès aux livres et dossiers des fournisseurs de services qui ont trait aux activités externalisées, et l’autorité de réglementation doit pouvoir obtenir rapidement, sur demande, les renseignements concernant les activités qui sont pertinents pour la surveillance réglementaire.

...

Moyens de mise en œuvre

Les sociétés qui ont recours à l’externalisation sont censées prendre des mesures pour s’assurer qu’elles et leurs autorités de réglementation ont accès aux livres et dossiers des fournisseurs de services concernant les activités externalisées, et que leurs autorités de réglementation ont le droit d’obtenir, sur demande, les renseignements concernant les activités externalisées. Ces mesures peuvent comprendre les suivantes :

  • Des dispositions contractuelles qui accordent à la société (y compris son auditeur) l’accès aux livres et dossiers du fournisseur de services se rapportant aux activités externalisées, ainsi qu’un droit de consultation de ceux-ci, et un accès semblable aux livres et dossiers des sous-traitants. S’il y a lieu, cela peut comprendre l’inspection matérielle des locaux du fournisseur de services, la remise des livres et dossiers ou de copies de ces derniers à la société ou à son auditeur, ou des inspections effectuées par des moyens électroniques (inspections « virtuelles »);
  • Des dispositions contractuelles selon lesquelles le fournisseur de services est tenu de mettre à la disposition de l’autorité de réglementation, dès qu’il en reçoit la demande, les livres, dossiers et autres renseignements sur les activités réglementées qui lui ont été externalisées, et de fournir à l’autorité de réglementation les rapports périodiques exigés, le cas échéant, dans le territoire de la société qui a recours à l’externalisation.

Les autorités de réglementation doivent envisager de prendre des mesures appropriées conçues pour favoriser l’accès aux livres, dossiers et renseignements du fournisseur de services sur le rendement des activités réglementées. Ces mesures peuvent comprendre les suivantes :

  • S’il y a lieu, prendre des mesures contre les sociétés ayant recours à l’externalisation qui omettent de fournir les livres et dossiers requis dans le territoire concerné, peu importe que l’entité réglementée ait ou non transféré la possession des livres et dossiers requis à un ou plusieurs de ses fournisseurs de services;
  • Imposer des exigences particulières concernant l’accès aux livres et dossiers qui sont détenus par un fournisseur de services et dont l’autorité a besoin pour exercer ses fonctions de surveillance à l’égard des entités réglementées situées dans son territoire. L’autorité de réglementation pourrait donc exiger que les livres et dossiers soient conservés dans son territoire, qu’un droit d’inspection soit accordé, ou que le fournisseur de services convienne de transmettre sur demande les originaux ou des copies des livres et dossiers dans son territoire.
  • 7Cette exigence cadre avec les règlements de bon nombre d’organismes membres de l’OICV qui exigent qu’une société prévienne l’autorité de réglementation dont elle relève de toute contravention à la loi qui pourrait avoir été commise.