1. À l’échelle de l’entité
Intégrité en matière de gestion
1.1 Un engagement envers la moralité, l’intégrité et les grandes valeurs éthiques est démontré par l’attitude et les actions.
Exigences – À tout le moins :
- On donne suite en temps utile aux questions soulevées dans des lettres de recommandations des vérificateurs internes ou externes et aux questions soulevées par le registrateur.
- On respecte toutes les lois et tous les règlements pertinents.
- Les exploitants et les fournisseurs de biens ou de services relatifs au jeu établissent et suivent un code de conduite qui porte notamment sur les façons de régler les conflits d’intérêts et sur la transparence envers le registrateur. Ce code de conduite est passé en revue régulièrement par la haute direction de l’organisation
Directive : Dans le contexte de cette norme, on entend par direction les dirigeants et les membres de la haute direction qui sont chargés de gérer les activités quotidiennes de l’organisation.
Environnement de contrôle valable
1.2 La description des activités de contrôle officielles est soumise au registrateur, une fois que ces activités ont été évaluées par une personne chargée de la surveillance indépendante qui est acceptable pour le registrateur en vue de déterminer si elles permettent d’assurer la conformité avec les normes et exigences et qu’elles ont été autorisées par le niveau de gestion approprié.
Exigences – À tout le moins :
- Un processus est en place pour examiner périodiquement les activités de contrôle afin de s’assurer qu’elles permettent de faire respecter les normes et exigences et pour consigner les cas où des lacunes sont décelées, y remédier et apporter les modifications qui s’imposent à ces activités.
- Les modifications importantes à l’environnement de contrôle sont communiquées au registrateur en temps utile.
- La CAJO (ou l’entité désignée) peut avoir accès aux activités de contrôle à des fins d’assurance réglementaire.
Directive : Une surveillance indépendante peut être exercée par un service de vérification interne ou un vérificateur externe, selon ce qui est jugé approprié par l’exploitant ou le fournisseur de biens ou de services relatifs au jeu et acceptable pour le registrateur. Le registrateur reconnaît que les pratiques de surveillance peuvent varier d’un exploitant ou fournisseur de biens ou de services relatifs au jeu à l’autre en fonction de la taille, de la structure de propriété, de la portée et de la complexité des activités, et du profil de risque. Quel que soit le cas, la personne chargée de la surveillance indépendante doit vérifier le cadre de gestion de la conformité de l’organisation, repérant, gérant et signalant les risques auxquels l’organisation est ou pourrait être exposée et exerçant une surveillance sans lien de dépendance avec le personnel de gestion opérationnelle. Cette personne doit aussi avoir un accès direct et sans restrictions au conseil.
Directive supplémentaire pour les fournisseurs de biens ou de services relatifs au jeu : Dans le cadre de l’application des normes et exigences à l’échelle de l’entité, on reconnaît que certains fournisseurs de biens ou de services relatifs au jeu, particulièrement les fournisseurs de matériel de jeu, font aussi des affaires ailleurs qu’en Ontario, ce qui peut limiter leur capacité d’élaborer et de mettre en oeuvre des activités de contrôle en se fondant uniquement sur les normes et exigences. On vise à ce que ces normes et exigences s’appliquent aux affaires des fournisseurs de biens ou de services relatifs au jeu qui sont menées en Ontario. À tout le moins, les normes et exigences à l’échelle de l’entité visent à obtenir l’assurance que les fournisseurs de biens ou de services relatifs au jeu, dont les fournisseurs qui font des affaires dans plusieurs territoires, ont des activités de contrôle acceptables en place, qu’un examen périodique est effectué afin de déceler les lacunes de ces activités et que les fournisseurs s’assurent que les activités de contrôle sont respectées lorsqu’elles ont une incidence sur les affaires du fournisseur qui sont menées en Ontario.
1.2.1 Supprimé en mars 2022.
1.3 Supprimé en septembre 2020.
1.4 Supprimé en septembre 2020.
1.5 Supprimé en septembre 2020.
1.6 Supprimé en septembre 2020.
1.7 Toute dérogation par le personnel de gestion aux activités de contrôle est clairement consignée et mise à la disposition du registrateur sur demande.
Exigences – À tout le moins :
- Au moins deux membres de la haute direction autorisent toute dérogation à une activité de contrôle, et le conseil, ou toute autre structure de gouvernance lorsqu’il n’existe pas de conseil, en est avisé.
Directive : Cette norme vise à permettre à la haute direction de déroger de façon ponctuelle à des activités de contrôle si des circonstances l’exigent et de s’assurer que les documents appropriés sont conservés à des fins de vérification. Cette norme n’a pas trait à des modifications permanentes à l’environnement de contrôle.
1.8 Les exploitants établissent, mettent en oeuvre et gèrent des contrôles pour appuyer la préparation de rapports financiers qui sont conformes à toutes les normes comptables, les règles et les pratiques exemplaires pertinentes
Structure organisationnelle et capacités
1.9 Les employés ont les compétences, les aptitudes, l’expérience et la formation nécessaires pour exécuter les activités de contrôle qui se rapportent à leurs responsabilités.
Exigences – À tout le moins :
- Les employés prenant part à l’exécution des activités de contrôle sont formés et connaissent bien l’environnement de contrôle de l’organisation, les risques liés à la réglementation que les contrôles sont censés atténuer et les objectifs réglementaires visés par les normes et exigences.
1.10 La structure organisationnelle est conçue de façon à favoriser un environnement de contrôle valable et une bonne répartition des tâches, pour réduire au minimum les possibilités de collusion ou encore d’activités illégales ou non autorisées.
Exigences – À tout le moins :
- Les employés ont l’autorité et la responsabilité voulues et établies pour s’acquitter de leurs fonctions professionnelles, sous supervision.
- Le groupe de vérification interne de l’organisation ou une personne chargée de la surveillance indépendante acceptable pour le registrateur vérifie régulièrement si la répartition des tâches est adéquate en ce qui a trait à la protection des joueurs, à l’intégrité des jeux et à la protection des actifs.
- Les exploitants tiennent un organigramme à jour indiquant les principaux liens qui existent au sein de l’organisation et les mettre à la disposition du registrateur sur demande.
1.11 Le personnel de gestion comprend bien sa responsabilité et son autorité à l’égard de l’environnement de contrôle.
Exigences – À tout le moins :
- Le personnel de gestion est formé et connaît bien l’environnement de contrôle de l’organisation, les risques liés à la réglementation que les contrôles sont censés atténuer et les objectifs réglementaires visés par les normes et exigences.
1.12 Les renseignements, y compris les registres, sur les cas de non-conformité avec la loi, les normes et exigences ou les activités de contrôle sont conservés pendant au moins trois (3) ans, sauf indication contraire.
1.13 Tous les enregistrements de surveillance sont conservés pendant la période minimale précisée par le registrateur.
Surveillance
1.14 La conformité avec les normes et exigences est consignée de façon bien organisée afin que les renseignements puissent être examinés et vérifiés par une personne chargée de la surveillance indépendante.
Exigences – À tout le moins :
- Les documents sont examinés et analysés pour vérifier la conformité avec les normes et exigences et sont approuvés par le personnel de gestion.
- Les vérificateurs internes et externes ont accès à tous les systèmes, documents (dont ceux portant sur les activités de contrôle) et ressources utiles à la tenue d’une vérification.
- Sur demande, les exploitants et les fournisseurs de services ou de biens relatifs au jeu retiennent les services d’un vérificateur indépendant que le registrateur juge acceptable pour qu’il effectue les vérifications exigées et qu’il lui fournisse une copie des rapports de vérification.
Directive : Cette exigence vise à permettre au registrateur d’exiger des vérifications par des tierces parties lorsqu’il le juge nécessaire à des fins d’assurance réglementaire. Dans ces cas, l’exploitant ou le fournisseur de biens ou de services relatifs au jeu aura recours aux services du vérificateur, mais celui-ci relèvera directement du registrateur. - Lorsque les vérificateurs internes et externes examinent les activités de contrôle pour en déterminer la conformité avec les normes et exigences, ils tiennent compte des attentes du registrateur, telles qu’elles sont énoncées dans le présent document.
1.15 Le conseil, ou toute autre structure de gouvernance lorsqu’il n’existe pas de conseil, est responsable de la conformité, et il y a des preuves que le conseil, ou toute autre structure de gouvernance, s’est acquitté(e) de cette responsabilité.
Exigences – À tout le moins :
- On confie à une personne la tâche de surveiller la conformité des activités autres que celles dont il assure la surveillance.
Directive : La responsabilité générale de surveiller la conformité devrait idéalement incomber à un directeur de la conformité ou, si ce poste n’existe pas, à un membre de la haute direction. - On confie à une personne la tâche d’effectuer des vérifications internes. Cette personne vérifie régulièrement l’environnement de contrôle de l’organisation et le cadre de gestion de la conformité et exerce une surveillance sans lien de dépendance avec le personnel de gestion opérationnelle. La personne chargée de la vérification interne est habilitée à examiner de façon indépendante tout aspect du fonctionnement de l’organisation.
Directive : S’il n’est pas possible de confier cette fonction à une personne en raison de la taille ou de la structure de l’organisation, des vérifications devraient être effectuées par une autre personne chargée de la surveillance indépendante. - La personne chargée de la surveillance de la conformité et de la vérification interne ou une autre personne chargée de la surveillance indépendante a un accès direct et sans restrictions au conseil, ou à toute autre structure de gouvernance, et signale, régulièrement ou au besoin, toutes les questions importantes concernant la conformité.
- Le conseil, ou à toute autre structure de gouvernance, établit un ou des comités pour superviser les personnes chargées de la surveillance de la conformité de l’organisation et de la vérification. Le mandat porte sur la composition et la reddition de comptes.
- Les membres du conseil, ou à toute autre structure de gouvernance, et de tout comité établi pour superviser les personnes chargées de la surveillance de la conformité de l’organisation et de la vérification comprennent bien les activités, les initiatives et les principales opérations de l’entreprise et ont les aptitudes, la formation, l’expérience et l’indépendance nécessaires pour s’acquitter de leurs responsabilités fiduciaires.
1.16 Il existe un processus indépendant pour que soient déclarés de façon anonyme les lacunes de l’environnement de contrôle, ainsi que les cas de non-conformité possible avec les contrôles, les normes et exigences ou la loi.
Exigences – À tout le moins :
- On se penche sur les points soulevés dans le cadre du processus de déclaration anonyme, et ces points sont communiqués au conseil en temps utile.
1.17 Les personnes inscrites ont une relation transparente avec le registrateur.
Exigences – À tout le moins, les exploitants :
- signalent, conformément à la matrice d’avis établie, tout incident pouvant avoir un effet sur l’intégrité des jeux ou la confiance du public, dont toute mesure prise pour éviter que des incidents similaires ne se reproduisent;
- signalent, conformément à la matrice d’avis établie, tout incident de non-conformité avec a loi, les normes et exigences ou les activités de contrôle, dont toute mesure prise pour éliminer la cause de la non-conformité;
- [Supprimé en septembre 2020]
- mettent à la disposition du registrateur les données, les renseignements et les documents qu’il demande;
- [Supprimé en septembre 2020.]
Technologie de l’information
1.18 On se sert d’un cadre standard reconnu de l’industrie pour gérer l’environnement de contrôle de la technologie de l’information en vue de favoriser la conformité avec les normes et exigences.
Gestion de la sécurité
1.19 Les utilisateurs ont accès au système de jeu en fonction des besoins de l’entreprise.
Exigences – À tout le moins :
- Des privilèges d’accès sont accordés, modifiés ou révoqués selon l’emploi occupé et les exigences du poste, et toutes les activités associées à ces privilèges sont consignées.
- Les privilèges d’accès sont examinés et confirmés de façon indépendante périodiquement.
1.20 L’accès aux systèmes d’information sur les jeux est surveillé, consigné et rattaché à une personne en particulier.
Exigences – À tout le moins :
- Chaque compte d’utilisateur professionnel est attribué à une seule personne.
- L’accès aux comptes du système (ou aux autres comptes auxquels sont rattachés des privilèges équivalents) est réservé au personnel qui fournit un soutien informatique, et des mécanismes sont en place pour sécuriser ces comptes et en surveiller l’utilisation.
1.21 Des processus sont en place pour s’assurer que seules les personnes autorisées sont en mesure d’ouvrir des comptes du système.
1.22 Autant que possible, on se sert de composants, tant matériels que logiciels, qui sont acceptés par l’industrie.
1.23 Toute connexion ou interface entre le système de jeu et un autre système, interne ou d’une tierce partie externe, est surveillée, renforcée et évaluée régulièrement pour assurer l’intégrité et la sécurité du système de jeu.
1.24 Des mécanismes sont en place pour assurer la fiabilité, l’intégrité et la disponibilité du système de jeu.
1.25 Un environnement physique sûr convenable est en place pour prévenir les accès non autorisés au système de jeu et assurer la protection des actifs.
1.26 Les systèmes de jeu, l’infrastructure, les données, les registres des activités et tous les autres composants connexes sont protégés contre les menaces, les vulnérabilités, les attaques et les intrusions.
Exigences – À tout le moins :
- Tous les utilisateurs sont authentifiés.
- Avant que les composants entrent en service ou soient modifiés, ils sont renforcés conformément aux pratiques exemplaires de l’industrie et à celles liées à la technologie.
- On évalue régulièrement si des mesures appropriées et efficaces ont été prises pour renforcer les composants technologiques.
- Les correctifs visant à remédier à tout risque de sécurité sont mis à niveau régulièrement.
1.27 Les activités de sécurité sont consignées de façon à pouvoir être vérifiées, elles sont surveillées et promptement analysées, un rapport est préparé, et des mesures de renforcement sont prises au besoin.
Exigences – À tout le moins :
- Si les composants du système de jeu font l’objet de tentatives d’attaque, d’intrusion et d’accès sans autorisation, des mesures appropriées sont prises en temps utile.
- Les tentatives d’intrusion sont détectées activement, et, si possible, des mesures sont prises pour éviter qu’elles ne causent l’interruption ou une panne du système de jeu.
- On consigne adéquatement les renseignements de façon à déceler et à surveiller les tentatives d’attaque, d’intrusion et d’accès sans autorisation à l’égard des composants du système de jeu. Une procédure de renforcement appropriée est en place.
1.28 Des évaluations indépendantes sont effectuées régulièrement par une personne qualifiée afin de vérifier si la sécurité du système de jeu et de tous ses composants connexes est adéquate.
1.29 Les exploitants et les fournisseurs de services ou de biens relatifs au jeu se tiennent au courant des tendances, des problèmes et des solutions en ce qui a trait à la sécurité.
Gestion du changement
1.30 Un cycle de développement du système tenant compte de la sécurité et de l’intégrité du traitement est en place pour la technologie mise au point à l’interne pour le système de jeu.
1.31 On exerce une diligence raisonnable à l’égard de toute technologie liée au système de jeu dont on fait l’acquisition en vue de s’assurer que les exigences relatives à la sécurité et à l’intégrité du traitement sont respectées.
1.32 Une stratégie de mise à l’essai est en place pour les changements technologiques afin de s’assurer que les systèmes de jeu fonctionnent correctement.
1.33 Tous les changements au système de jeu sont consignés de façon appropriée, uniforme et claire, examinés, mis à l’essai et approuvés.
Exigences – À tout le moins :
- Tous les composants technologiques du système de jeu sont installés et entretenus conformément aux procédures de gestion du changement appropriées.
- Les demandes de changement et d’entretien du système de jeu sont normalisées et assujetties aux procédures de gestion du changement.
- Les changements d’urgence sont approuvés, mis à l’essai, consignés et surveillés.
- Les procédures de gestion du changement tiennent compte de la répartition des tâches entre les équipes de développement et de production.
- Les changements ne peuvent être apportés qu’à l’aide de comptes réservés à cet effet.
1.34 Le système de jeu peut détecter des changements non autorisés.
Gouvernance des données
1.35 Des mesures de gouvernance des données sont en place pour veiller à l’intégrité du traitement des données et à la protection des données sensibles.
1.36 Les données sensibles, dont les renseignements sur les joueurs et les données permettant de déterminer les résultats des jeux, sont sécurisées et protégées en tout temps contre un accès ou un usage non autorisé.
Exigences – À tout le moins :
- Le système de jeu permet de sauvegarder les données de façon appropriée pour qu’elles puissent être récupérées intégralement et avec exactitude.
- Les fichiers de sauvegarde des données sont entreposés à un endroit sûr à l’extérieur des lieux et conformément aux politiques et aux lois pertinentes.
1.37 Les renseignements sur les joueurs sont protégés, et leur utilisation est contrôlée par l’OLG.
Exigences – À tout le moins :
- Les exigences relatives à la protection des données en ce qui a trait aux renseignements personnels sur les joueurs sont conformes à celles de la Loi sur l’accès à l’information et la protection de la vie privée.
- Les renseignements sur les joueurs ne servent qu’aux activités de l’OLG, sauf si elle a accordé son autorisation préalable.
1.38 Supprimé janvier 2022.
1.39 La communication de données sensibles sur le jeu est protégée à des fins d’intégrité.
1.40 Des procédures sont établies et consignées pour la gestion des opérations et des incidents liés à la technologie de l’information, dont la gestion et la surveillance d’événements touchant la sécurité et l’intégrité du traitement, ainsi que les mesures prises par la suite.
Exigences – À tout le moins :
- Des mesures proactives de surveillance et de détection des erreurs au sein du système de jeu et des composants connexes sont en place. Des mesures sont prises immédiatement pour remédier aux incidents de non-conformité avec les normes et exigences ou les activités de contrôle.
- La date et l’heure de l’environnement du système de jeu et des composants connexes sont synchronisées.
- Les données sur les événements sont conservées de façon à disposer de renseignements et de registres en ordre chronologique permettant la reconstitution et l’examen de séquences temporelles du traitement.
1.41 Les applications de jeu sur tous les appareils portatifs sont sécurisées de façon appropriée.
Directive : Cette norme ne cible pas les joueurs en train de se servir de leurs propres appareils portatifs, tels que leur téléphone intelligent. Le but est de prendre sur le fait les employés ou les joueurs qui utilisent ces appareils pour accéder au système de jeu de l’exploitant.
Gestion liée à des tierces parties
1.42 Les exploitants et les fournisseurs de biens ou de services relatifs au jeu ne signent des contrats qu’avec des fournisseurs fiables.
1.43 Supprimé en septembre 2020.
1.44 Les exploitants et les fournisseurs de biens ou de services relatifs au jeu fournissent au registrateur la liste des fournisseurs qui leur procurent des biens ou des services relatifs aux loteries et s’assurent de garder cette liste à jour.
Conformité avec les normes techniques
1.45 Les exploitants et les fournisseurs de biens ou de services relatifs au jeu se conforment aux normes techniques pertinentes établies par le registrateur.
Conformité avec les politiques et les procédures de l’OLG
1.46 Toutes les personnes inscrites et tous les fournisseurs de biens ou de services non relatifs au jeu qui sont dispensés de l’inscription respectent toutes les politiques et procédures pertinentes de l’OLG, pourvu qu’elles soient conformes aux présentes normes et exigences.