Avis sur le cadre de l’OCRI relatif à la garde des actifs numériques

1. Contexte

À l'heure actuelle, les règles de l'OCRI ne prévoient aucun cadre permanent régissant la garde, par les courtiers en placement, des actifs numériques, notamment les cryptoactifs et les actifs jetonisés comme les cryptomonnaies stables. Bien que les règles de l'OCRI existantes traitent de la garde, du dépôt fiduciaire et des obligations en matière de capital pour les titres et les dérivés, elles n'ont pas été conçues pour réduire les risques technologiques, opérationnels et juridiques propres aux actifs numériques, risques qui comprennent :

• les pertes irréversibles découlant de la compromission ou de la mauvaise gestion des clés cryptographiques;
• l'exposition accrue aux cyberattaques;
• la dépendance opérationnelle à l'égard des piles technologiques complexes et des fournisseurs de services tiers;
• l'incertitude juridique d'un territoire à un autre, particulièrement en cas d'insolvabilité;
• le risque de concentration lié à la dépendance envers un petit nombre de dépositaires de cryptoactifs.

Les défaillances passées dans le secteur des cryptoactifs, notamment les pertes dues au piratage, à la fraude, à une gouvernance déficiente et à l'insolvabilité, ont démontré que les conventions de garde constituent un point névralgique de vulnérabilité pour les investisseurs.

En l'absence de règles officielles adaptées à la garde des cryptoactifs, nous avons imposé des exigences applicables aux courtiers membres exploitant des PNC dans le cadre des conditions d'adhésion. Cette approche nous permet de réagir plus rapidement aux risques émergents, d'adapter les exigences à des modèles d'affaires et à des profils de risque précis, et d'assurer une clarté réglementaire ainsi qu'une protection des investisseurs, tout en poursuivant les travaux de politique générale.

Ces conditions sont conçues pour fonctionner comme un cadre réglementaire provisoire et ne représentent pas un ensemble définitif ou exhaustif d'exigences. Nous prévoyons qu'au fil du temps, certains éléments de ce cadre pourront soutenir l'élaboration de règles permanentes ou d'instruments réglementaires harmonisés à mesure que les marchés des cryptoactifs arriveront à maturité.

2. Élaboration et approbation du cadre

Le cadre relatif à la garde des actifs numériques a été élaboré selon un processus itératif et consultatif comprenant :

• la collaboration avec des courtiers membres et des courtiers d'exercice restreint exploitant des PNC;
• des consultations avec leurs dépositaires de cryptoactifs et fournisseurs de liquidités;
• la prise en compte de l'évolution de la réglementation et des pratiques du marché à l'échelle internationale.

Ce cadre reflète une approche proportionnée et fondée sur les risques visant à concilier la protection des investisseurs avec l'innovation et la concurrence sur le marché.

Le cadre et les conditions qui y sont associées ont été approuvés par le conseil d'administration de l'OCRI.

3. Aperçu du cadre

Selon les conditions applicables et sous réserve des limites et modalités prévues, les courtiers membres doivent s'assurer que les actifs numériques sont détenus :

• soit auprès d'un ou de plusieurs dépositaires approuvés d'actifs numériques;
• soit à l'interne, au moyen d'une technologie jugée satisfaisante.

L'approbation d'un dépositaire d'actifs numériques par l'OCRI constitue une décision distincte et indépendante de la reconnaissance d'un lieu agréé de dépôt de titres conformément aux règles de l'OCRI. Bien que certains dépositaires puissent remplir les critères des deux régimes, l'approbation de la garde des titres n'établit pas, à elle seule, la pertinence de la garde d'actifs numériques.

3.1 Maintien des exigences relatives à la garde des titres traditionnels

La garde des titres traditionnels s'inscrit dans un cadre juridique bien établi, les relations fondées sur une fiducie d'origine législative, un prête-nom ou le nom d'un client, ainsi que les droits de dépôt fiduciaire, étant clairement définis et confirmés par la jurisprudence. Cela donne aux tribunaux et aux investisseurs un fondement fiable pour protéger les actifs des clients en cas d'insolvabilité. En revanche, la garde des cryptoactifs ne bénéficie pas encore d'une certitude juridique comparable; le cadre doit donc être compensé par des mesures de protection technologiques, opérationnelles et de gouvernance.

Les dépositaires de titres traditionnels évoluent également dans une infrastructure de marché bien établie où les titres des clients sont en définitive enregistrés, compensés et réglés par des sociétés émettrices réglementées ou des dépositaires centraux soumis à une surveillance réglementaire (services bancaires, paiements et valeurs mobilières). Le fait que les intermédiaires de garde des titres traditionnels exercent leurs activités dans cet écosystème très réglementé, qui comprend des règles robustes sur l'irrévocabilité du règlement et le dépôt fiduciaire ainsi que des principes établis de protection des créanciers, atténue grandement les risques liés au dépôt fiduciaire des actifs, à la perte de contrôle et au recouvrement en cas d'insolvabilité.

Pour ces raisons, nous ne modifions pas les exigences relatives à la garde des titres traditionnels, qui continuent d'offrir un niveau approprié de protection des investisseurs et de résilience systémique et demeurent pleinement en vigueur.

3.2 Cryptoactifs et actifs jetonisés

Le cadre vise à distinguer la garde des cryptoactifs de celle des versions jetonisées des instruments financiers traditionnels afin de tenir compte de leurs diverses caractéristiques juridiques et opérationnelles et de leurs risques distincts. Cette distinction constitue non pas une définition universelle, mais plutôt une classification aux fins de la garde qui est nécessaire pour s'assurer que les courtiers membres appliquent les mesures de protection appropriées en fonction de la nature de l'actif.

Les cryptoactifs désignent l'ensemble des actifs numériques qui ne représentent pas des actifs financiers traditionnels ou qui ne confèrent pas de droits équivalents. Ils comprennent notamment les cryptomonnaies, les jetons fondés sur des protocoles ainsi que tout jeton numérique rattaché à des actifs non financiers.

Quant aux actifs financiers jetonisés, ils désignent uniquement les actifs numériques qui représentent des instruments financiers traditionnels et qui confèrent des droits équivalant à ceux des actifs sous-jacents, tels que les actions, les titres de créance, les dépôts et d'autres actifs et instruments financiers. Leurs caractéristiques juridiques et économiques continuent d'être régies par les lois et les règles existantes, notamment celles qui portent sur les valeurs mobilières, les services bancaires et les systèmes de paiement. L'enveloppe numérique ne modifie ni la structure de propriété sous-jacente, ni les droits aux flux de trésorerie, ni la priorité en cas d'insolvabilité, ni le traitement prévu par la législation actuelle sur la garde.

Pour cette raison, nous avons déterminé que les actifs jetonisés doivent être détenus auprès d'entités reconnues comme des lieux agréés de dépôt de titres, conformément au cadre traditionnel. Toutefois, puisque la garde s'effectue par une infrastructure d'actifs numériques, les dépositaires d'actifs jetonisés doivent également respecter certaines mesures de protection numérique applicables aux dépositaires de cryptoactifs.

Cette double application des exigences garantit que les instruments jetonisés, qui conservent les protections juridiques de leur forme traditionnelle, bénéficient aussi des protections opérationnelles requises pour la garde numérique. Elle élimine également tout risque d'arbitrage, car les règles existantes sur la garde des titres et des espèces pourraient être contournées simplement par leur émission sous forme jetonisée.

Cette approche maintient le traitement de la garde des actifs traditionnels sous forme jetonisée, évite l'arbitrage réglementaire entre instruments jetonisés et non jetonisés, et favorise l'innovation sur le marché en permettant aux émetteurs et aux intermédiaires réglementés existants, y compris les courtiers et les gestionnaires de fonds d'investissement, de participer de manière significative aux marchés des actifs jetonisés sans compromettre les protections établies pour les investisseurs.

3.3 Harmonisation avec les travaux des Autorités canadiennes en valeurs mobilières (ACVM) sur la jetonisation

Les classifications aux fins de la garde et les exigences connexes prévues par les présentes conditions visent uniquement à répondre aux besoins opérationnels et de surveillance actuels des courtiers membres de l'OCRI et ne visent pas à préjuger des politiques des ACVM ni à en déterminer à l'avance l'orientation.

L'OCRI examinera et modifiera, au besoin, les présentes conditions à mesure que les travaux des ACVM effectués dans le cadre du Projet jetonisation progresseront, et ce, afin de maintenir une harmonisation réglementaire complète et d'éviter toute exigence incohérente ou redondante.

4. Qu'entend-on par garde numérique?

La garde numérique suppose la protection et le contrôle des cryptoactifs et des actifs jetonisés. En pratique, cela comprend les mesures suivantes :

• la création, le stockage et la gouvernance des clés cryptographiques privées;
• les contrôles à l'égard de l'autorisation et de l'exécution des opérations;
• les processus de rapprochement et de gouvernance des adresses;
• la cybersécurité, la surveillance, les interventions en cas d'incident et la reprise après sinistre.

Contrairement aux titres traditionnels, la perte de clés privées ou l'exécution d'opérations non autorisées peuvent entraîner la perte permanente d'actifs. Ces caractéristiques justifient l'accent que nous mettons sur les contrôles technologiques, les rapports d'assurance, le dépôt fiduciaire et la gouvernance.

5. Dépositaires acceptables de cryptoactifs et niveaux d'exigences

5.1 Pourquoi utilisons-nous un modèle à plusieurs niveaux?

Nous avons examiné la possibilité d'adopter un ensemble unique et uniforme d'exigences en matière de garde de cryptoactifs. Nous avons conclu qu'une telle approche pourrait exclure inutilement des dépositaires de cryptoactifs compétents, accentuer le risque de concentration et réduire la concurrence, y compris parmi les fournisseurs de services canadiens. Par ailleurs, nous avons déterminé que le recours exclusif aux seuils de capital est insuffisant pour réduire les risques liés à la garde des cryptoactifs.

Par conséquent, le cadre à plusieurs niveaux :

• établit des exigences de base applicables à tous les dépositaires acceptables de cryptoactifs;
• impose des exigences renforcées aux dépositaires de cryptoactifs autorisés à détenir une proportion plus importante d'actifs des clients;
• associe directement les limites de garde à la capacité et au profil de risque du dépositaire de cryptoactifs.

Lorsqu'un dépositaire de cryptoactifs est autorisé à détenir une grande proportion des cryptoactifs des courtiers membres, les conséquences d'une défaillance sont proportionnellement plus importantes. Nous avons donc déterminé que les limites de détention doivent être modifiées en fonction de la capacité démontrée du dépositaire à gérer les risques liés à la garde.

Selon le cadre :

• les dépositaires de cryptoactifs de niveau 1 respectent les normes les plus élevées en matière de capital et ont mis en œuvre des contrôles renforcés concernant la surveillance réglementaire, la certification de la technologie, l'assurance contre les détournements des actifs gardés et la résilience opérationnelle. Ils peuvent détenir jusqu'à 100 % des cryptoactifs d'un courtier membre;
• les dépositaires de cryptoactifs de niveau 2 ont des exigences moins élevées en matière de capital, mais respectent les normes les plus strictes en matière de surveillance réglementaire, d'assurance et de résilience opérationnelle. Ils peuvent détenir jusqu'à 100 % des cryptoactifs d'un courtier membre;
• Les dépositaires de cryptoactifs de niveau 3 respectent des exigences strictes, mais comparativement moins élevées que celles des dépositaires de niveau 2. Ils ne sont pas tenus de respecter certaines normes de certification de la technologie renforcées propres aux cryptoactifs ni de prouver l'existence de garanties externes en matière de cybersécurité et de résilience opérationnelle. Ils peuvent détenir jusqu'à 75 % des cryptoactifs d'un courtier membre;
• les dépositaires de cryptoactifs de niveau 4 respectent des exigences de base appropriées à un risque limité en matière de garde. Ils peuvent détenir jusqu'à 40 % des cryptoactifs d'un courtier membre. Ils servent également de référence pour l'équivalence en matière de garde interne.

Cette approche par paliers permet aux courtiers membres de diversifier les modalités de garde tout en évitant une surconcentration auprès des dépositaires de cryptoactifs dont la capacité à prendre des risques est plus limitée.

Reportez-vous au tableau de l'annexe A pour un résumé des exigences propres à chaque niveau.

6. Explication des principales exigences relatives aux dépositaires

6.1 Capital minimum

Les exigences relatives au capital minimum visent à garantir une résilience financière face aux stress opérationnels et de marché ainsi qu'à soutenir la capacité du dépositaire à investir dans des systèmes, des contrôles et du personnel.

Pour les dépositaires de cryptoactifs, ces exigences varient selon qu'ils sont établis au Canada ou à l'étranger. Pour les organisations établies au Canada, les exigences relatives au capital minimum sont inférieures à celles établies à l'extérieur du Canada. Ces seuils plus bas sont attribuables à une combinaison de facteurs, tels que la surveillance réglementaire, la proximité des mécanismes disciplinaires et les facteurs de risque liés au territoire. Les dépositaires de cryptoactifs étrangers peuvent être soumis à des régimes d'insolvabilité différents, à une incertitude concernant le traitement des cryptoactifs gardés en dépôt fiduciaire, et à des restrictions potentielles quant à la capacité de l'OCRI à obtenir des informations ou à appliquer des solutions. Des exigences plus strictes en matière de capital pour les dépositaires de cryptoactifs étrangers servent de tampon contre ces incertitudes supplémentaires. De plus, des seuils de capital différenciés favorisent la concurrence et la résilience sur le marché canadien de la garde de cryptoactifs tout en maintenant la protection des investisseurs.

En conséquence, nous nous attendons à ce que le capital du dépositaire de cryptoactifs, selon ses états financiers audités les plus récents préparés conformément aux IFRS ou aux PCGR des États-Unis, soit au moins égal à la somme indiquée dans le tableau ci-dessous.

6.2 Infrastructure de calibre institutionnel

Nous avons imposé des exigences en matière d'infrastructure de calibre institutionnel et d'assurance compte tenu des risques liés à la technologie inhérents à la garde de cryptoactifs. Contrairement à la garde de titres traditionnels, la garde de cryptoactifs dépend presque entièrement de l'intégrité des systèmes technologiques, y compris la génération et le stockage des clés, les contrôles d'autorisation des opérations et les défenses de cybersécurité. Toute défaillance de ces systèmes risque d'entraîner une perte irréversible de cryptoactifs, des transferts non autorisés qui ne peuvent être annulés et des interruptions de service prolongées, ce qui pourrait nuire de manière significative aux investisseurs et à la confiance dans les marchés. Nous avons donc déterminé que des contrôles technologiques robustes, vérifiés de manière indépendante, constituent une exigence fondamentale pour tout dépositaire à qui on a confié des cryptoactifs.

Nous nous appuyons fortement sur l'assurance indépendante pour évaluer les contrôles liés à la garde. Les rapports SOC 2 et ISAE 3000 (type 2) sont des cadres largement reconnus pour évaluer les contrôles internes à l'égard de la technologie et des opérations. Cependant, nous reconnaissons que l'ampleur et le caractère approfondi des rapports SOC ne sont pas tous équivalents, et que les rapports SOC traditionnels n'ont pas été conçus pour les risques liés aux cryptoactifs. Par conséquent, le cadre exige une assurance améliorée ou propre aux cryptoactifs pour certains niveaux ainsi que des tests de pénétration indépendants.

Les exigences relatives aux infrastructures de calibre institutionnel sont énumérées dans les sections suivantes.

a) Rapports SOC 2 - Sécurité et disponibilité

Tous les dépositaires acceptables de cryptoactifs doivent fournir un rapport SOC 2 ou ISAE 3000 (type 2) fondé sur les critères relatifs aux services fiduciaires pertinents pour la sécurité et la disponibilité.

• Le critère de sécurité met l'accent sur la protection des systèmes et des données contre tout accès ou toute communication non autorisés ou contre les dommages. Cela inclut des contrôles d'accès logiques et physiques, des mécanismes d'authentification ainsi qu'une surveillance pour prévenir et détecter les incidents de sécurité.
• Le critère de disponibilité permet d'évaluer si les systèmes peuvent être exploités et utilisés conformément aux engagements et aux ententes. Cela comprend des mesures de résilience de base et des capacités de reprise après sinistre ainsi que la surveillance des performances du système.

Un rapport SOC 2 de type 2 est l'attestation d'un auditeur indépendant confirmant que les contrôles du dépositaire relatifs à ces critères ont été conçus de manière appropriée et ont fonctionné efficacement sur une période donnée.

Nous considérons que l'assurance en matière de sécurité et de disponibilité constitue la norme minimale que tout dépositaire détenant des cryptoactifs doit respecter.

b) Rapport SOC 2 - Confidentialité et intégrité du traitement

Les dépositaires de cryptoactifs autorisés à détenir une plus grande proportion d'actifs de clients, en particulier les dépositaires de cryptoactifs de niveau 1 et 2, doivent fournir une assurance couvrant la confidentialité et l'intégrité du traitement.

• Le critère de confidentialité permet d'évaluer si les informations désignées comme confidentielles sont protégées conformément aux engagements et aux ententes.
• Le critère d'intégrité du traitement permet de déterminer si les systèmes produisent comme prévu des opérations et des résultats précis, complets, autorisés et en temps voulu.

Ces critères supplémentaires de service fiduciaire visent la protection des informations sensibles, l'exactitude, l'exhaustivité et l'autorisation des opérations ainsi que les contrôles empêchant un traitement non autorisé ou erroné.

Nous avons déterminé que ces contrôles sont particulièrement importants lorsque les dépositaires sont autorisés à détenir une part considérable de cryptoactifs, car toute défaillance pourrait avoir des répercussions généralisées.

c) Rapport SOC 2 - Assurance propre aux cryptoactifs

Nous reconnaissons que même des rapports SOC améliorés peuvent ne pas saisir pleinement les risques uniques liés à la garde de cryptoactifs. En conséquence, les dépositaires de cryptoactifs de niveau 2 doivent également prouver un niveau d'assurance adapté aux risques liés aux cryptoactifs, qui couvre notamment :

• la gestion du cycle de vie des clés cryptographiques;
• les structures d'autorisation basées sur le quorum et les rôles;
• la gouvernance de la création et de l'utilisation des adresses des portefeuilles;
• les mesures de protection liées à la signature et à l'exécution des opérations;
• les mesures de surveillance, d'intervention en cas d'incident et de reprise des activités à la suite d'événements touchant les cryptoactifs.

Nous permettons une certaine flexibilité quant à la manière dont ce niveau d'assurance est fourni; il peut notamment prendre l'une des formes suivantes :

• rapports SOC 2 ou ISAE 3000 intégrant ces objectifs de contrôle propres aux cryptoactifs;
• rapports autonomes préparés par des professionnels indépendants qualifiés.

d) Technologie de garde

Les dépositaires de cryptoactifs de niveau 3 utilisant une technologie de garde tierce doivent recevoir chaque année un rapport SOC 2 ou ISAE 3000 (type 2) portant au minimum sur les critères des services fiduciaires relatifs à la sécurité et à la disponibilité pour chaque fournisseur de technologie externalisé. Ils doivent également avoir mis en place des politiques et des procédures portant sur les contrôles de l'utilisateur final décrits dans ce rapport comme étant nécessaires pour atteindre les objectifs de contrôle.

Les dépositaires de cryptoactifs de niveau 3 qui utilisent une solution exclusive pour administrer, stocker et transférer des cryptoactifs doivent remplir les critères de la section Rapports SOC 2 - Assurance propre aux cryptoactifs ci-dessus.

Cela garantit que les dépositaires de cryptoactifs autorisés à détenir une proportion accrue des cryptoactifs des courtiers membres utilisent une technologie testée de manière indépendante pour des contrôles adaptés aux risques liés aux cryptoactifs.

e) Tests de pénétration indépendants

Des tests de pénétration indépendants sont requis à tous les niveaux (sauf pour les dépositaires de cryptoactifs de niveau 1) afin d'évaluer la résilience face à l'évolution des menaces.

Nous considérons les tests de pénétration comme un complément nécessaire des rapports de type SOC, car ils simulent des scénarios d'attaque réels et peuvent repérer des vulnérabilités non détectées par les évaluations fondées sur les contrôles, tout en fournissant un aperçu de l'efficacité des mécanismes de détection et d'intervention.

Nous nous attendons à ce qu'un professionnel indépendant reconnu et qualifié effectue des tests de pénétration au moins une fois par an.

f) Assurance externe à l'égard des contrôles de cybersécurité

Les dépositaires de cryptoactifs de niveau 2 doivent fournir une assurance externe supplémentaire à l'égard des contrôles de cybersécurité.

Cette exigence reflète notre attente selon laquelle les dépositaires de cryptoactifs autorisés à détenir une proportion très grande de cryptoactifs, tout en ne respectant pas les normes les plus élevées en matière de capital, doivent démontrer l'existence de contrôles de sécurité supplémentaires, y compris la gouvernance des risques de cybersécurité et la validation indépendante des pratiques de gestion des cyberrisques.

6.3 Assurance et contrôles internes

Nous avons imposé des exigences en matière d'assurance ainsi que des politiques et des procédures pour garantir que les dépositaires de cryptoactifs maintiennent des contrôles préventifs solides et atténuent les conséquences financières des problèmes de garde qui pourraient survenir malgré ces contrôles.

Les exigences en matière d'assurance sont conçues pour compléter, et non remplacer, les autres mesures de protection liées à la garde et visent à atténuer les pertes résultant du vol ou de la destruction de cryptoactifs, d'une inconduite de la part d'employés ou d'initiés, de défaillances de l'infrastructure et de l'exploitation de vulnérabilités en matière de sécurité. L'assurance offre une couche de protection supplémentaire en permettant une reprise dans les situations où les dispositifs de protection opérationnels, techniques ou juridiques échouent. Nous considérons donc l'assurance comme un élément nécessaire d'un cadre complet de gestion des risques liés à la garde.

Les exigences en matière d'assurance s'appliquent parallèlement aux attentes concernant la gestion des risques liés aux tiers et la continuité des activités.

De nombreux dépositaires de cryptoactifs s'appuient sur des fournisseurs de technologies tiers, y compris des solutions de garde, des fournisseurs de services infonuagiques, des services de gestion ou de signature de clés, ou encore des fournisseurs de services de sécurité et de surveillance.

Nous nous attendons à ce que les dépositaires de cryptoactifs, en particulier ceux des niveaux supérieurs :

• déterminent et gèrent les risques liés aux tiers;
• tiennent à jour des ententes consignées concernant la continuité des activités et la reprise après sinistre;
• s'assurent que la couverture d'assurance reflète de manière appropriée les dépendances externalisées.

Pour les dépositaires de cryptoactifs de niveau 2, nous nous attendons à une assurance externe à l'égard de ces contrôles.

a) Procédures relatives à la technologie de garde des cryptoactifs et aux contrôles de sécurité

Cette exigence s'applique à tous les dépositaires de cryptoactifs. Ces derniers doivent déclarer qu'ils tiennent à jour des politiques et des procédures décrivant leurs méthodes et leurs pratiques pour sécuriser les cryptoactifs, notamment les contrôles sur les clés privées, les mécanismes de signature, la gestion des portefeuilles, les pratiques de stockage, les flux d'autorisation des opérations et les surfaces d'attaque technique.

b) Procédures de gestion des risques liés aux tiers et de continuité des activités

Tous les dépositaires de cryptoactifs doivent disposer de politiques et de procédures pour atténuer les risques liés à la dépendance envers des tiers et aux interruptions importantes des activités. Les critères relatifs aux services fiduciaires des rapports SOC 2 pertinents pour la sécurité et la disponibilité décrivent les contrôles de base; nous n'imposons donc pas d'exigences supplémentaires aux dépositaires de cryptoactifs de niveau 4.

Les dépositaires de cryptoactifs des niveaux 2 et 3, autorisés à conserver des pourcentages plus importants de cryptoactifs, doivent maintenir des contrôles encore plus stricts. Alors que les dépositaires de cryptoactifs de niveau 3 doivent déclarer qu'ils respectent des cadres reconnus pour la gestion des risques liés aux tiers et la continuité des activités, les dépositaires de niveau 2 doivent en apporter la preuve.

Les dépositaires de cryptoactifs de niveau 2 peuvent respecter cette exigence de l'une ou l'autre des manières suivantes :

• en étant supervisés par un organisme de réglementation qui a défini des exigences minimales publiques concernant la gestion des risques liés aux tiers et la continuité des activités;
• en fournissant des rapports d'assurance préparés par des professionnels indépendants qualifiés qui évaluent les contrôles du dépositaire conformes à des cadres reconnus pour la gestion des risques liés aux tiers et la continuité des activités.

c) Assurance - Détournements et espèces

Nous nous attendons à ce que tous les dépositaires de cryptoactifs souscrivent une assurance de biens et une assurance contre les détournements qui correspond à la taille et au type d'actifs qu'ils gèrent.

L'assurance contre les vols et les détournements ou l'assurance des institutions financières a pour but d'offrir une protection contre les pertes résultant de vols, de fraudes ou d'actes malhonnêtes commis par des employés ou des initiés, de piratage psychologique et d'autres formes de tromperie, ainsi que de certains actes criminels externes.

L'assurance d'espèces a pour but d'offrir une protection contre les pertes ou les dommages aux actifs stockés hors ligne, y compris la destruction physique, le vol ou le détournement de fonds, ainsi que certaines défaillances opérationnelles.

Les polices d'assurance doivent :

• couvrir un large éventail de risques et protéger contre des événements tels que :
  • la destruction ou la perte d'actifs,
  • l'inconduite des employés ou des initiés,
  • les accidents causés par des défaillances de l'infrastructure,
  • l'exploitation de vulnérabilités opérationnelles ou en matière de sécurité;
• éviter les définitions ou exclusions restrictives;
• ne pas inclure de mentions qui limitent injustement la couverture d'une manière qui n'est pas standard pour le secteur.

Nous exigeons que tous les dépositaires de cryptoactifs souscrivent une assurance contre les détournements sous la forme d'une police d'assurance contre les vols ou d'une assurance des institutions financières, ou encore d'une police équivalente adaptée aux entités actives sur les marchés des cryptoactifs. Les assurances contre les détournements des dépositaires de cryptoactifs de niveaux 1 et 2 s'appliquent à tous les lieux de stockage, peu importe l'endroit où les actifs sont stockés physiquement ou logiquement, ou si les actifs sont conservés en stockage en ligne, hors ligne ou hybride. Cette exigence reflète notre attente selon laquelle les dépositaires de cryptoactifs détenant une proportion importante des actifs des clients prouvent qu'ils ont une couverture complète et évitent toute lacune structurelle dans la protection d'assurance.

Les dépositaires de cryptoactifs des niveaux 3 et 4 peuvent sinon assurer les cryptoactifs stockés hors ligne par le truchement d'une assurance d'espèces. Cette souplesse limitée reflète l'état des marchés d'assurance où la couverture contre les détournements peut ne pas être disponible pour certains dépositaires de cryptoactifs, ainsi que la reconnaissance que le risque de perte est considérablement réduit lorsque les cryptoactifs sont stockés hors ligne.

6.4 Contrôles juridiques et territoriaux

Nous avons imposé des obligations juridiques et territoriales pour réduire les risques qui surviennent lorsque des cryptoactifs sont détenus :

• en dehors des cadres de garde traditionnels;
• dans des territoires dont les régimes d'insolvabilité, de fiducie et disciplinaires diffèrent;
• dans le cadre d'ententes contractuelles qui ne protègent pas clairement les actifs des clients dans des scénarios défavorables.

Contrairement à la garde des titres, où les principes juridiques et les protections législatives sont bien établis, la garde des cryptoactifs repose souvent largement sur les droits contractuels et les lois locales sur l'insolvabilité. Nous avons donc déterminé que la clarté de la force exécutoire, la surveillance réglementaire et les mesures de protection applicables à un territoire sont essentielles pour protéger les cryptoactifs.

Nous avons observé plusieurs facteurs de risque récurrents dans l'écosystème de la garde des cryptoactifs :

• de nombreux dépositaires de cryptoactifs sont établis à l'extérieur du Canada;
• certains territoires n'assurent pas un traitement juridique clair des actifs numériques gardés en dépôt fiduciaire;
• les régimes d'insolvabilité peuvent ne pas reconnaître la propriété des clients ou un traitement de type fiducie pour les cryptoactifs gardés en dépôt fiduciaire;
• la surveillance réglementaire des dépositaires de cryptoactifs varie selon les territoires.

Ces facteurs augmentent le risque que, en cas de difficultés ou de défaillance d'un dépositaire, les cryptoactifs des clients soient gelés par les autorités locales et soient considérés comme faisant partie du patrimoine général du dépositaire, ou fassent l'objet d'une incertitude juridique prolongée.

Les obligations juridiques et territoriales sont donc conçues pour atténuer ces risques et établir les protections fondamentales nécessaires pour garantir que les dépositaires auxquels sont confiés des cryptoactifs exercent leurs activités dans un environnement réglementaire robuste et digne de confiance. Ces exigences établissent des attentes minimales dans cinq aspects clés.

a) Inscription

Nous nous attendons à ce que tous les dépositaires de cryptoactifs soient bien réglementés et en règle. Ces exigences s'appliquent aux dépositaires de cryptoactifs de tous les niveaux :

b) Convention de garde acceptable

La convention de garde est un mécanisme central de protection des investisseurs. Nous nous attendons à ce que les conventions de garde établissent clairement ce qui suit :

c) Statut de fiduciaire en cas d'insolvabilité

Pour les dépositaires de cryptoactifs établis à l'extérieur du Canada, nous nous sommes concentrés sur la question de savoir si le cadre juridique applicable soutient un traitement similaire à celui d'une fiducie pour les cryptoactifs des clients gardés en dépôt fiduciaire.

Nous nous attendons à ce que :

• les contrats de garde aient force exécutoire dans le territoire concerné;
• les actifs des clients gardés en dépôt fiduciaire soient préservés du patrimoine insolvable du dépositaire.

Lorsque ces questions demeurent incertaines, nous pouvons exiger des renseignements supplémentaires, une analyse juridique ou des preuves propres au territoire afin d'évaluer si les actifs des clients seraient protégés en cas d'insolvabilité du dépositaire de cryptoactifs ou du courtier membre.

d) Surveillance réglementaire

Pour les dépositaires de cryptoactifs des niveaux 1, 2 et 3 autorisés à conserver une proportion plus importante des cryptoactifs des courtiers membres, nous exigeons qu'ils soient supervisés par un organisme de réglementation qui délivre des permis pour les activités de garde, exerce une surveillance prudentielle et dispose de pouvoirs coercitifs.

e) Protocole d'entente

De plus, nous nous attendons à ce que des mécanismes officiels d'échange d'information, tels qu'un protocole d'entente (PE), soient mis en place entre l'OCRI (ou un organisme provincial de réglementation des valeurs mobilières) et l'autorité principale de réglementation du dépositaire de cryptoactifs, ou entre un organisme fédéral canadien de réglementation prudentielle et l'autorité principale de réglementation du dépositaire de cryptoactifs lorsque cette autorité a conclu un accord bilatéral avec l'OCRI ou un organisme provincial de réglementation des valeurs mobilières.

Ces mécanismes nous permettent d'obtenir rapidement des renseignements concernant des mesures disciplinaires ou des situations de difficulté financière et de prendre les mesures appropriées pour protéger les actifs des clients détenus par des membres de l'OCRI.

Cette exigence s'applique à tous les dépositaires de cryptoactifs, sauf ceux de niveau 4.

7. Lieux agréés de garde des actifs jetonisés

Les attentes de base en matière de garde applicables aux actifs jetonisés demeurent ancrées dans les exigences existantes de l'OCRI relatives aux lieux agréés de dépôt de titres, des attentes supplémentaires en matière de garde numérique étant ajoutées pour tenir compte des risques technologiques particuliers introduits lorsque ces actifs sont inscrits et transférés au moyen de la technologie des registres distribués ou de technologies similaires.

Par conséquent, l'objectif des exigences décrites ci-dessous est non pas de recréer le cadre de garde des cryptoactifs, mais bien de préserver la base traditionnelle de garde qui s'applique déjà aux instruments financiers, tout en veillant à ce que les entités détenant des actifs jetonisés pour des courtiers membres puissent gérer adéquatement les risques liés à la garde numérique associés aux formats jetonisés, aux portefeuilles, à la gestion des clés, aux transferts numériques et au caractère définitif des registres.

En conséquence, les dépositaires acceptables d'actifs jetonisés doivent satisfaire à toutes les exigences suivantes :

a) Se qualifier comme lieu agréé de dépôt de titres, conformément à la Règle 4342 des Règles CPPC ainsi qu'aux Directives générales et définitions du Formulaire 1

Le dépositaire doit d'abord remplir les obligations juridiques et réglementaires applicables à la garde de ces instruments et s'assurer qu'il se qualifie comme lieu agréé de dépôt de titres, conformément à la Règle 4342 des Règles visant les courtiers en placement et règles partiellement consolidées (Règles CPPC) ainsi qu'aux Directives générales et définitions du Formulaire 1. Cela garantit la continuité des règles de protection des actifs des clients, des attentes en matière de dépôt fiduciaire et du traitement en cas d'insolvabilité qui existaient avant la jetonisation. L'exigence relative au lieu agréé de dépôt de titres évite l'arbitrage réglementaire entre les formes traditionnelles et jetonisées d'un même actif et empêche que la garde des actifs jetonisés devienne une solution de rechange de moindre niveau par rapport aux obligations traditionnelles de garde.

b) Politiques et procédures visant à sécuriser les actifs numériques

Bien que le statut de lieu agréé de dépôt de titres préserve la base traditionnelle en matière de garde, les représentations fondées sur la technologie des registres distribués introduisent des risques opérationnels, de sécurité et de gestion des clés qui ne sont pas pris en compte dans le cadre général des lieux agréés de dépôt de titres. Les dépositaires doivent donc déclarer qu'ils tiennent à jour des politiques et des procédures visant à sécuriser les actifs jetonisés.

c) Rapports d'assurance SOC 2 ou ISAE 3000 couvrant la sécurité, la disponibilité, la confidentialité et l'intégrité du traitement

La jetonisation introduit des intermédiaires numériques et des infrastructures techniques susceptibles d'influer sur les droits de propriété. Un rapport d'assurance SOC 2 ou ISAE 3000 couvrant la sécurité, la disponibilité, la confidentialité et l'intégrité du traitement garantit que les dépositaires disposent de contrôles adéquats pour sécuriser les actifs jetonisés sous forme numérique et exploiter la technologie de garde conformément aux attentes en matière de protection des investisseurs.

d) Convention de garde ayant force exécutoire dans le territoire du dépositaire, avec des protections propres aux actifs numériques

Bien que les actifs jetonisés soient soumis à des cadres juridiques traditionnels, la convention de garde entre le courtier membre et le dépositaire d'actifs jetonisés constitue un lien nécessaire et exécutoire. Elle doit définir clairement les responsabilités et les attentes en matière de sous-garde, comme il est exigé de tous les dépositaires acceptables de cryptoactifs.

e) Couverture d'assurance

Les attentes en matière d'assurance permettent de maintenir l'harmonisation avec la garde traditionnelle tout en tenant compte de nouveaux vecteurs de pertes opérationnelles et technologiques associés aux actifs jetonisés détenus dans des environnements numériques. Par conséquent, les dépositaires d'actifs jetonisés doivent disposer d'une couverture d'assurance applicable à un dépositaire de cryptoactifs de niveau 1.

7.1 Pouvoir discrétionnaire d'exiger des mesures de garde renforcées

Selon les règles de l'OCRI, les entités peuvent se qualifier comme lieux agréés de dépôt de titres en fonction de divers critères, notamment la situation réglementaire, le type d'entité et les seuils de capital. Ces critères ont été élaborés pour des ententes de garde traditionnelles, qui établissent que les actifs sont détenus par des systèmes centralisés, des intermédiaires bien connus et des cadres juridiques établis de longue date régissant la propriété, le dépôt fiduciaire et le traitement en cas d'insolvabilité.

La jetonisation des instruments financiers introduit des dimensions supplémentaires de risque qui varient considérablement selon la manière dont l'actif jetonisé est structuré, émis, transféré et gardé. Bien que de nombreux lieux agréés de dépôt de titres disposent de ressources importantes et soient soumis à une surveillance rigoureuse, d'autres peuvent exercer des activités liées aux actifs jetonisés qui sont nouvelles, très techniques ou complexes sur le plan opérationnel par rapport à leurs modèles d'affaires traditionnels. Dans ces cas, les exigences de base énoncées ci-dessus peuvent ne pas offrir une assurance suffisante que les actifs jetonisés sont protégés de manière appropriée.

Pour cette raison, l'OCRI disposera du pouvoir discrétionnaire d'exiger d'autres mesures renforcées de garde numérique dans les cas où il détermine que la nature, l'étendue, la complexité ou le profil de risque d'une entente particulière de garde d'actifs jetonisés justifie des contrôles améliorés.

Il convient de noter que ce pouvoir discrétionnaire est limité : toute exigence supplémentaire imposée ne dépassera pas les normes de garde numérique applicables aux dépositaires de cryptoactifs de niveau 2. Cela garantit que les exigences demeurent proportionnées et prévisibles et qu'elles s'alignent sur les points de comparaison existants.

8. Dépôt fiduciaire

Le dépôt fiduciaire est un concept fondamental de protection des investisseurs et garantit que les actifs des clients sont identifiables et traçables, qu'ils ne peuvent pas être utilisés pour satisfaire les réclamations des créanciers ordinaires et qu'ils peuvent être récupérés en cas d'insolvabilité.

Nous n'avons pas prescrit de mécanismes de dépôt fiduciaire pour les actifs numériques. Étant donné l'absence de norme juridique et opérationnelle établie pour la garde des cryptoactifs qui permettrait de soutenir des règles prescriptives de dépôt fiduciaire applicables à tous les modèles de garde, nous nous sommes concentrés sur les résultats requis plutôt que sur des mécanismes précis. Par conséquent, nous nous attendons à ce que les courtiers membres et les dépositaires d'actifs numériques veillent à ce que les actifs des clients entièrement payés soient détenus de manière à offrir une protection efficace contre les réclamations des créanciers et à préserver les droits de propriété des clients en cas d'insolvabilité ou de procédures similaires. À cette fin, nous pouvons exiger des avis juridiques ou d'autres assurances démontrant que les actifs numériques détenus chez le dépositaire ne peuvent pas être utilisés pour satisfaire les réclamations de ses créanciers et seraient exclus du patrimoine en cas de faillite, sauf pour satisfaire les réclamations des clients concernant ces actifs. L'avis devrait porter sur le régime d'insolvabilité applicable dans le territoire du dépositaire et confirmer que les modalités de garde et de dépôt fiduciaire utilisées par le dépositaire permettent juridiquement d'atteindre ce résultat.

8.1 Garde interne

Un courtier membre peut assurer la garde autonome d'un maximum de 20 % de la valeur des cryptoactifs qu'il détient pour ses clients et pour son propre compte. Les courtiers membres peuvent exclure de ce total les positions qu'ils détiennent pour compte propre pour lesquelles ils ont prévu une provision dans leur capital régularisé en fonction du risque.

La garde interne représente un risque technologique important, et nous exigeons que les solutions de garde interne des courtiers membres respectent les exigences en matière de rapports SOC et les exigences propres aux dépositaires de cryptoactifs de niveau 4. Les courtiers membres doivent consigner la manière dont ces contrôles sont respectés.

8.1.1 Garde autonome des actifs jetonisés

Comme les courtiers membres sont eux-mêmes habilités à agir à titre de lieux agréés de dépôt de titres pour les instruments de titres traditionnels en vertu de la Règle 4342 des Règles CPPC ainsi que des Directives générales et définitions du Formulaire 1, ils peuvent assurer la garde autonome des actifs jetonisés, à condition d'avoir obtenu l'approbation à titre de lieu agréé de dépôt d'actifs jetonisés.

Nous n'imposons également aucune limite de garde pour les actifs jetonisés détenus par ces courtiers membres autorisés, car l'imposition de limites distinctes pour les cryptoactifs jetonisés créerait une asymétrie réglementaire inutile, étant donné que l'instrument financier sous-jacent peut déjà être gardé par des lieux agréés de dépôt de titres sans limites de garde, conformément aux exigences existantes des Règles CPPC.

8.2 Détermination et correction des lacunes liées au dépôt fiduciaire et au regroupement des actifs

Nous nous attendons à ce que les courtiers membres calculent quotidiennement le nombre de titres détenus en dépôt fiduciaire et corrigent rapidement les lacunes. Le courtier membre doit démontrer qu'il applique des pratiques de dépôt fiduciaire en temps opportun.

Les modèles opérationnels de regroupement d'actifs de clients et de la société sont parfois inévitables dans les activités réalisées sur des chaînes de blocs, mais ils augmentent les risques juridiques et opérationnels. Nous nous attendons donc à ce que les courtiers membres réduisent au minimum ce regroupement et justifient la présence d'actifs détenus pour compte propre dans des lieux de dépôt fiduciaire par une nécessité opérationnelle dûment consignée.

Nous nous attendons également à ce que les courtiers membres désignent clairement les lieux de dépôt fiduciaire et s'engagent à corriger toute lacune non comblée dans un délai de cinq jours.

9. Conformité, surveillance et interventions de surveillance

9.1 Politiques et procédures

Nous avons imposé des exigences en matière de politiques et de procédures afin de garantir que les obligations liées à la garde des cryptoactifs et des actifs jetonisés soient remplies, adaptées aux activités propres à chaque courtier membre, appliquées de manière uniforme et intégrées aux cadres de gouvernance et de contrôle. Nous considérons que des politiques et procédures écrites constituent un contrôle fondamental de la conformité avec toutes les exigences.

9.2 Surveillance des limites

Nous avons imposé des exigences en matière de surveillance afin de garantir que les courtiers membres repèrent rapidement les risques émergents liés à la garde et prennent les mesures correctives qui s'imposent avant que des problèmes ne causent un préjudice aux investisseurs.

La valeur des cryptoactifs peut fluctuer considérablement et rapidement; une surveillance proactive et périodique est donc essentielle à une gestion efficace des risques liés à la garde. Sans surveillance régulière, les courtiers membres peuvent dépasser à leur insu les limites permises pour la garde ou la garde interne.

Nous nous attendons à ce que les courtiers membres surveillent leur conformité avec les limites de garde au moins une fois par semaine et prennent rapidement des mesures pour corriger tout manquement.

9.3 Rapports à l'OCRI et interventions de surveillance

Nous avons imposé des exigences en matière de déclaration afin d'assurer la visibilité réglementaire des pratiques de garde et de permettre des interventions de surveillance en temps opportun lorsque cela se révèle nécessaire.

Les courtiers membres doivent déclarer :

• selon les modalités et la fréquence précisées par l'OCRI, la quantité et la valeur des actifs numériques détenus ainsi que les lieux de dépôt où ces actifs sont conservés;
• tout manquement aux limites applicables à un dépositaire de cryptoactifs ou à la garde interne, y compris une description du manquement, les mesures prises pour y remédier et un plan clair de correction lorsque le manquement ne peut être corrigé dans un délai d'un jour.

Les manquements répétés ou non résolus peuvent entraîner des mesures disciplinaires ou de surveillance, notamment des restrictions aux conventions de garde. En vertu de la Règle 4134 des Règles CPPC, nous pouvons également classer un courtier membre au niveau 2 du signal précurseur s'il a enfreint plus d'une fois la limite applicable à son ou ses portefeuilles internes ou à un dépositaire tiers. Outre les sanctions habituelles, nous pouvons, conformément aux articles 4135 et 4136 des Règles CPPC, imposer une réduction du pourcentage limite applicable à ce lieu. Cette restriction est assujettie aux dispositions de notification et de révision prévues aux paragraphes 4136(2) et (3) des Règles CPPC.

10. Mise en œuvre

Comme il est mentionné à la section 1, ce cadre est imposé aux courtiers membres exploitant des PNC dans le cadre de leur autorisation d'exercer des activités liées aux cryptoactifs. Le personnel de l'OCRI déterminera au cas par cas les modalités de transition appropriées pour les courtiers membres exploitant des PNC en tenant compte de la proportionnalité, des ententes de garde existantes ainsi que de la nature, de l'ampleur et du profil de risque des activités du membre liées aux cryptoactifs.

Il convient de noter que les exigences en matière de garde des actifs jetonisés s'appliqueraient à tous les courtiers membres qui détiennent ou offrent des actifs jetonisés à leurs clients, qu'ils exploitent ou non une PNC.

L'offre d'actifs jetonisés, qu'ils soient détenus pour les clients ou pour le compte du courtier membre, tel qu'elle est décrite dans le présent avis, implique le déploiement de nouvelles technologies de garde numérique, une dépendance à l'égard des infrastructures de registres distribués internes ou tierces, ainsi que des risques juridiques et opérationnels nouveaux qui diffèrent sensiblement des modalités traditionnelles de garde de titres ou de monnaie fiduciaire. Compte tenu de ce profil de risque, l'introduction ou l'expansion d'offres d'actifs jetonisés peut avoir une incidence importante sur l'exposition au risque du courtier membre, son empreinte technologique et sa résilience opérationnelle. Par conséquent, l'OCRI s'attend à ce que les courtiers membres fournissent un avis de changement important conformément à la Règle 2246 des Règles CPPC avant d'entreprendre ou détendre de manière significative toute activité ayant trait à des actifs jetonisés.

11. Conclusion

Le cadre relatif à la garde des cryptoactifs reflète l'approche fondée sur les risques adoptée par l'OCRI pour réglementer les marchés des cryptoactifs. En combinant des normes minimales claires, des exigences à plusieurs niveaux et des attentes détaillées concernant les conventions de garde, le dépôt fiduciaire et la gouvernance, l'OCRI vise à protéger les investisseurs tout en favorisant l'innovation et la concurrence.

Nous encourageons les courtiers membres et les parties prenantes à communiquer avec le personnel de l'OCRI s'ils ont des questions concernant l'application de ces exigences.

12. Annexe

Tableau comparatif - Critères pour les dépositaires d'actifs numériques