Le 14 janvier 2026, soit près de six mois après une importante violation de données, l’Organisme canadien de réglementation des investissements (OCRI) a publié une déclaration publique à l’attention des quelque 750 000 clients concernés. Même si ces conseils étaient clairement nécessaires, nous nous demandons si les investisseurs auraient pu être informés plus tôt, afin qu’ils puissent prendre des mesures de protection immédiates. De tels retards mettent les investisseurs en danger et érodent la confiance dans un système réglementaire censé les protéger.
Cet incident met également en lumière les préoccupations concernant la manière dont les organismes de réglementation des valeurs mobilières collectent, conservent et stockent les informations personnelles. En effet, ces organismes ont accès aux informations personnelles et financières de tous les investisseurs. Si cet accès est essentiel pour remplir leur mandat réglementaire, toute organisation à laquelle est confiée une telle responsabilité doit respecter les normes et pratiques de cybersécurité les plus strictes.
Cette violation soulève également des questions quant à la surveillance exercée par les Autorités canadiennes en valeurs mobilières (ACVM) sur l’OCRI. En tant qu’organisme d’autoréglementation, l’OCRI exerce ses activités sous l’autorité déléguée par les ACVM. Peu avant la violation, les ACVM ont procédé à un examen des systèmes informatiques de l’OCRI, sans relever de lacune dans ses pratiques de cybersécurité. Même si on ne peut pas raisonnablement s’attendre à ce qu’un tel examen permette de détecter toutes les vulnérabilités et tous les risques, cette violation devrait inciter les ACVM à réexaminer leur approche en matière de surveillance de l’OCRI et à corriger ces faiblesses potentielles.
Afin de rétablir la confiance des investisseurs, nous aimerions connaître la position des ACVM. Nous aimerions savoir si les ACVM surveillent activement la réponse de l’OCRI en ce qui concerne la violation, exigent de cet organisme qu’il mette en œuvre des pratiques améliorées en matière de cybersécurité, examinent et améliorent leurs propres pratiques en la matière, et réévaluent leur programme de surveillance de l’OCRI. Les investisseurs doivent savoir que l’organisme de réglementation principal, responsable devant le public, est pleinement engagé, transparent et prend des mesures décisives pour empêcher que des incidents similaires ne se reproduisent.
FAIR Canada continuera de défendre les droits des investisseurs, de renforcer leur protection et de promouvoir un cadre réglementaire efficace qui place leurs intérêts au premier plan.