Le Bureau du surintendant des institutions financières (BSIF) Canada

À propos du BSIF

Le Bureau de la Surintendant des institutions financières (BSIF) est une agence indépendante du gouvernement du Canada responsable de la réglementation et de la surveillance prudentielles des institutions financières et des régimes de retraite sous réglementation fédérale au Canada.

Dans son rôle de supervision, le BSIF a publié les instructions B-10 pour l’externalisation des activités, fonctions et processus de productivité. Ils ont mis en place des « pratiques, procédures ou normes prudentielles » pour les institutions financières réglementées à l’échelle fédérale pour évaluer et gérer les risques associés à l’externalisation de leurs affaires auprès d’un fournisseur de services. Une note de service subséquente du BSIF, Nouvelles exigences en matière d’externalisation basée sur la technologie, rappelé à ces institutions que les directives B-10 restent à jour et qu'elles doivent répondre aux attentes du BSIF en matière d'ententes d'externalisation importantes.

De plus, l'utilisation des services dans Cloud par les institutions financières doit se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et, dans certains cas, aux lois provinciales en matière de confidentialité des données.

Microsoft et BSIF

Pour guider les institutions financières au Canada qui envisagent d'externaliser des fonctions professionnelles dans le Cloud, Microsoft a publié un guide intitulé Naviguer vers le Cloud : liste de contrôle de la conformité pour les institutions financières au Canada. En examinant et en remplissant la liste de contrôle, les organisations financières peuvent adopter les services cloud d’entreprise Microsoft avec l’assurance qu’elles se conforment aux exigences réglementaires applicables.

Lorsque les institutions financières canadiennes délèguent à l'externe des activités commerciales, elles doivent se conformer aux instructions B-10 sur l'externalisation des activités, fonctions et processus commerciaux publiées par le Bureau du surintendant des institutions financières (BSIF), ainsi qu'aux lois canadiennes en matière de confidentialité, dont la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

La liste de contrôle Microsoft permet aux entreprises financières canadiennes d’effectuer des évaluations de la diligence raisonnable des services cloud entreprises Microsoft et inclut :

• Vue d’ensemble du paysage de la réglementation pour le contexte.
• Liste de contrôle qui signale les problèmes qui doivent être résolus et met en correspondance Microsoft Azure, Microsoft Dynamics 365 et les services Microsoft 365 par rapport aux obligations réglementaires. La liste de contrôle peut être utilisée comme outil pour mesurer la conformité par rapport à un cadre réglementaire et fournir une structure interne pour documenter la conformité, et aider les clients à effectuer leurs propres évaluations des risques des services Cloud entreprise Microsoft.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure
• Dynamics 365
• Microsoft 365

Modalités de mise en œuvre

• Liste de contrôle de conformité : Canada: les entreprises financières peuvent obtenir de l'aide pour évaluer les risques liés aux services cloud entreprise Microsoft.
• Confidentialité dans Cloud Microsoft : Obtenez des informations sur les principes et normes de confidentialité de Microsoft et sur les lois sur la confidentialité spécifiques au Canada.
• Cas d’utilisation industrielle pour Azure : utilisez des aperçus de cas, des didacticiels et d'autres ressources pour créer des solutions Azure pour les services financiers.

Questions fréquentes (FAQ)

L’approbation réglementaire est-elle nécessaire ?

Non. Aucune notification, consultation ou approbation préalable n’est requise. L’utilisation de l’informatique publique en cloud est autorisée, sujet toujours à respecter les exigences de BSIF.

Les instructions B-10 BSIF indiquent que le BSIF s’attend à ce qu’une institution financière conçoive un programme de gestion des risques qui s’applique à l’ensemble de ses arrangements d’externalisation, avec une atténuation des risques proportionnelle aux risques associés. Toutefois, seules les dispositions relatives à l’externalisation des matières doivent être étayées par un contrat écrit qui répond aux critères de sécurité identifiés dans les instructions. La partie 2 de la liste de contrôle Microsoft (page 53) les mappe aux sections des documents contractuels Microsoft où elles sont traitées.

Existe-t-il des conditions impératives devant être incluses dans le contrat avec le fournisseur de services Cloud ?

Oui, mais seulement si l'entente d'externalisation est une externalisation matérielle ou si elle implique un transfert des informations personnelles au fournisseur de services Cloud.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources

• Programme de mise en conformité destiné au secteur des services financiers Microsoft
• Services commerciaux cloud computing et services financiers Microsoft
• Conformité des services financiers dans Azure
• Conformité sur le site Microsoft Trust Center