Guide de conformité pour l’entrée en service des jeux sur Internet
Introduction
Le présent guide décrit les exigences de conformité pour l’entrée en service des jeux sur Internet auxquelles doivent répondre la plupart des exploitants et des fournisseurs de biens ou de services relatifs au jeu pour intégrer le marché des jeux sur Internet de l’Ontario.
Veuillez noter que l’inscription auprès de la Commission des alcools et des jeux de l’Ontario (CAJO) et le respect des exigences de conformité pour l’entrée en service ne constituent pas une autorisation d’entreprendre des activités de jeu dans le marché des jeux sur Internet de l’Ontario. Cette autorisation relève de Jeux en ligne Ontario, l’organe responsable de mener et de gérer les jeux sur Internet en Ontario, y compris de conclure des ententes d’exploitation avec les exploitants inscrits auprès de la CAJO. Ces ententes prévoient des exigences additionnelles fixées par Jeux en ligne Ontario.
Les exigences de conformité décrites dans le présent guide ont fait l’objet en juin 2021 d’une consultation menée par la CAJO sur l’engagement relatif à la conformité avec les règlements applicables aux jeux sur Internet. Les commentaires recueillis ont ensuite orienté la mise au point des exigences.
Les renseignements contenus dans le guide présentent un intérêt pour l’ensemble des personnes et entités inscrites. Toutefois, certaines de ces exigences s’appliquent à deux types précis de personnes ou d’entités inscrites : a) les exploitants; b) les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux1.
Le présent guide ne contient aucun renseignement sur les exigences et les processus d’entrée en service qui s’appliquent aux laboratoires d’essais indépendants (LEI), puisque les exigences de conformité les concernant leur ont été communiquées directement, et qu’une politique spéciale régit les LEI (voir l’annexe C).
La Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne de la CAJO s’assure que les exploitants et les fournisseurs de biens ou de services relatifs au jeu respectent les exigences de conformité pour l’entrée en service décrites ci-après. La Direction ajoutera au guide du contenu lié aux exigences de conformité et aux processus permanents (qui s’appliqueront après l’entrée en service).
Si vous avez des questions ou souhaitez obtenir des éclaircissements, veuillez communiquer avec la CAJO (vous trouverez les coordonnées plus loin).
Que contient le guide?
Le guide contient cinq sections.
-
Section 1 – Stratégie de conformité de la CAJO : Une description de la stratégie de conformité en matière de jeux en ligne telle qu’elle s’inscrit dans le cadre de réglementation de la CAJO axé sur les risques et les résultats, y compris certaines Normes du registrateur pour les jeux sur Internet hautement prioritaires et d’autres thèmes liés à la conformité qui feront l’objet d’une attention particulière avant et après le lancement du marché des jeux sur Internet de l’Ontario.
-
Section 2 – Confirmation de conformité de la technologie : L’exigence applicable à tous les exploitants et fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux de soumettre à la CAJO une confirmation de conformité de la technologie.
-
Section 3 – Exigences relatives à la matrice des activités de contrôle : L’exigence applicable aux exploitants et fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux de concevoir une matrice des activités de contrôle (MAC), et l’exigence applicable aux exploitants de soumettre leur MAC à la CAJO.
-
Section 4 – Exigences relatives à la certification de la technologie par un LEI inscrit : Un résumé des exigences relatives à la certification par un LEI avant l’entrée en service.
-
Section 5 – Exigences de notification et échange de données sécurisé de la CAJO : Un aperçu des activités et des exigences d’entrée en service liées à la Matrice de notification concernant les jeux sur Internet (« matrice de notification ») de la CAJO et à l’échange de données sécurisé de la CAJO
Le guide contient également trois annexes.
-
Annexe A : Un résumé des exigences de conformité pour l’entrée en service visant quatre types de personnes et entités inscrites.
-
Annexe B : Des précisions permettant de savoir quelles Normes du registrateur pour les jeux sur Internet s’appliquent aux divers types de personnes et entités inscrites.
-
Annexe C : La politique de certification par un LEI de la CAJO.
Pour en savoir plus
Si vous avez besoin de renseignements supplémentaires ou avez des questions au sujet du guide, veuillez communiquer avec la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne (iGamingCompliance@agco.ca).
1 Les systèmes de jeu cruciaux représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Ces systèmes comprennent les jeux certifiés, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet.
Section 1 - Stratégie de conformité de la CAJO
1.1 Normes axées sur les risques et les résultats
Les Normes du registrateur pour les jeux sur Internet (les « Normes ») sont axées sur les risques et les résultats.
Par risques, on entend les risques liés à la réglementation qui sous-tendent les Normes. L’environnement de contrôle d’une personne ou d’une entité inscrite qui respecte les objectifs réglementaires des Normes permet normalement à celle-ci de faire face à ces risques.
En étant axées sur les résultats, les Normes mettent l’accent sur les résultats que les exploitants et les fournisseurs de biens ou de services relatifs au jeu doivent atteindre, plutôt que sur des activités normatives à mener. Il s’ensuit que les exploitants et les fournisseurs de biens ou de services relatifs au jeu doivent disposer d’activités de contrôle efficaces pour atteindre les résultats énoncés dans les Normes.
Les Normes axées sur les risques et les résultats donnent aux exploitants et aux fournisseurs de biens ou de services relatifs au jeu la souplesse nécessaire pour concevoir des activités de contrôle qui cadrent avec leur entreprise, et pour les adapter rapidement et rentablement à mesure que leur entreprise évolue. Cet accent placé sur les risques et les résultats assure la pertinence à long terme du programme de réglementation de la CAJO, même dans les secteurs où les changements s’opèrent rapidement, y compris ceux où la technologie fait partie intégrante de l’exploitation de l’entreprise.
1.2 Conformité axée sur les risques et les résultats
Le programme de conformité en matière de jeux sur Internet est également axé sur les risques et les résultats, ce qui a d’importantes répercussions pour les exploitants et les fournisseurs de biens ou de services relatifs au jeu. Celles-ci sont décrites ci-dessous.
Obligation de connaître toutes les exigences réglementaires applicables
Les exploitants et les fournisseurs de biens ou de services relatifs au jeu doivent connaître et respecter toutes les exigences de la Loi de 1992 sur la réglementation des jeux et toutes les Normes qui s’appliquent à eux, selon leur type d’entreprise, leur rôle, et les produits et services qu’ils offrent.
Par exemple, presque toutes les Normes s’appliquent aux exploitants de jeux sur Internet et à leurs fournisseurs de plateformes, alors que les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux et les observateurs indépendants de l’intégrité (IIM)2 pour les paris sportifs ou événementiels sont visés par un sous-ensemble des Normes.
Des précisions permettant de savoir quelles Normes s’appliquent aux divers types de personnes et entités inscrites se trouvent à l’annexe B. Cette orientation est générale; il ne s’agit pas de directives de la part de la CAJO. Chaque personne et entité inscrite est différente; il appartient donc à chacune de déterminer les normes et exigences qui lui sont applicables.
Mise en place de contrôles efficaces
Le cadre de réglementation de la CAJO offre beaucoup de souplesse aux personnes et entités régies, mais exige d’elles une reddition de comptes rigoureuse. Les exploitants et les fournisseurs de biens ou de services relatifs au jeu doivent disposer d’environnements de contrôle qui atteignent systématiquement les résultats attendus par la CAJO en matière de réglementation et doivent aussi :
-
évaluer et valider régulièrement l’efficacité de leurs environnements de contrôle au regard des Normes, corriger les problèmes ou les lacunes de façon proactive, et signaler à la CAJO toute modification importante aux environnements de contrôle;
-
évaluer et valider régulièrement la conformité de leur technologie avec les Normes, et fournir à la CAJO les éléments de preuve en conséquence;
-
fournir à la CAJO les indicateurs, les renseignements et les documents dont elle a besoin pour comprendre leur profil de risque;
-
disposer de solides mécanismes internes de surveillance de la conformité et de production de rapports connexes;
-
signaler à la CAJO les incidents en matière de conformité avec célérité et transparence, conformément à sa matrice de notification, et prendre des mesures pour déterminer précisément et traiter rapidement les causes de la non-conformité afin de réduire le risque de récurrence;
-
comprendre qu’ils sont tenus de respecter les Normes, qu’ils aient ou non sous-traité des activités à des tiers;
-
prêter une attention particulière aux grandes priorités en matière de conformité que la CAJO établira au fil du temps (voir « Thèmes et priorités de la conformité pour les jeux sur Internet », ci-dessous).
La stratégie de conformité de la CAJO repose sur la collaboration avec les exploitants et les fournisseurs de biens ou de services relatifs au jeu pour maintenir ou, au besoin, réinstaurer la conformité. Lorsque les attentes en matière de réglementation ne sont pas satisfaites, la CAJO peut mettre en place un éventail de mesures, y compris de la formation, des avertissements, des pénalités financières, des suspensions et, dans les cas plus graves, des révocations. En cas d’incident grave, la CAJO agira en conséquence pour assurer la sécurité du public.
Évaluation des risques liés à la conformité dès le dépôt de la demande d’inscription
Lorsque la CAJO reçoit une demande, elle en évalue les risques. Pour ce faire, elle tient compte de l’expérience opérationnelle et réglementaire dans d’autres territoires, des antécédents relatifs à la conformité, de l’analyse des écarts par rapport aux Normes (voir ci-dessous) de l’auteur de la demande, et des problèmes ou des doutes visant des personnes ou la technologie. Cette évaluation des risques est ensuite intégrée au profil de conformité continue de l’auteur de la demande et servira à orienter les activités de surveillance des équipes de la conformité de la CAJO.
Dans le cadre du processus d’inscription, tous les auteurs d’une demande doivent confirmer qu’ils respecteront les Normes, y compris que les produits, les services et la technologie qui seront déployés par eux ou qui lui seront fournis par des fournisseurs tiers de biens ou de services relatifs au jeu seront conformes.
De plus, comme ils jouent un rôle central, les exploitants doivent à cette étape fournir une analyse de leurs contrôles, de leurs processus et de leur technologie actuels au regard des Normes, déterminer les lacunes et démontrer qu’ils ont élaboré un plan pour les corriger. L’analyse des lacunes est également intégrée au profil de conformité continue de l’auteur de la demande.
Thèmes et priorités de la conformité en matière de jeux sur Internet
Parmi les responsabilités de la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne, citons :
-
Choisir les priorités et les thèmes de la conformité qui feront l’objet d’une attention et d’un intérêt particuliers de la part de la CAJO et de ses équipes de la conformité.
-
Concevoir des activités de conformité et d’atténuation des risques efficaces, ciblées et proactives pour donner suite à ces thèmes et priorités.
Les priorités de la CAJO en matière de conformité seront évaluées et révisées au fur et à mesure. À l’occasion, la CAJO informera les exploitants et les fournisseurs de biens ou de services relatifs au jeu de ses nouveaux domaines d’intérêt et d’attention afin de le mettre au fait de ses priorités opérationnelles.
Les personnes et entités inscrites sont tenues de respecter la Loi de 1992 sur la réglementation des jeux et toutes les Normes applicables. Cela étant, le tableau ci-dessous présente certains domaines prioritaires dans les Normes auxquels la CAJO porte une attention particulière lorsqu’elle évalue les demandes et examine la matrice des activités de contrôle et la confirmation de conformité de la technologie (voir la section 3) d’un exploitant, et lorsqu’elle surveillera la conformité continue une fois que le marché de l’Ontario sera lancé.
Priorité |
Description |
---|---|
Environnement de contrôle interne efficace |
|
Jeu responsable |
|
Conception des jeux et intégrité |
|
Activités suspectes ou criminelles |
|
Mineurs |
|
Sécurité et confidentialité |
|
En plus des éléments prioritaires définis dans le tableau ci-dessus, la CAJO surveillera de près :
- La sortie du marché non réglementé des jeux sur Internet en Ontario
-
La CAJO surveillera la conformité des personnes et des entités inscrites avec les exigences selon lesquelles : a) elles doivent cesser leurs activités sur le marché non réglementé de l’Ontario; b) elles doivent mettre fin à toute association qu’elles pourraient avoir avec une entreprise exerçant des activités sur le marché non réglementé de l’Ontario.
-
- Les activités de publicité, de commercialisation et de promotion, et le risque pour les mineurs
-
La CAJO n’a fixé aucune limite réglementaire ni restriction pour la publicité et la commercialisation en ce qui concerne les quantités, les modes de communication ou les moments choisis pour la diffusion. Cependant, selon ce qu’elle observera dans l’industrie au cours des prochains mois, elle pourrait envisager de mettre en place des mesures supplémentaires.
-
Dans le cadre des partenariats promotionnels, les exploitants de jeux sur Internet et les autres entreprises ne peuvent fournir d’appareils ou de matériel de jeu pour donner accès à un site de jeux sur Internet dans un lieu physique.
-
Sous le régime juridique de l’Ontario, les exploitants de jeux sur Internet ont seulement le droit d’exploiter des sites de jeu qui sont des canaux électroniques. La fourniture de matériel de jeu, comme des appareils permettant d’accéder à un jeu (p. ex. une tablette, une borne), donne lieu à un site de jeu terrestre et n’est pas permise.
-
En Ontario, la Société des loteries et des jeux de l’Ontario mène et gère les loteries offertes dans les sites de jeu terrestres (y compris les casinos, les sites de jeux de bienfaisance et les sites de loterie) et par son propre canal électronique, olg.ca. Jeux en ligne Ontario mène et gère les loteries en ligne qui ne sont pas menées et gérées par la Société des loteries et des jeux de l’Ontario, mais il ne mène ni ne gère des sites de jeu terrestre.
-
-
2Les OII reçoivent et évaluent les alertes de paris inhabituels ou suspects, puis les distribuent aux entités avec lesquelles ils entretiennent une relation d’échange de renseignements, y compris aux exploitants de paris sportifs et événementiels membres, à la CAJO et à l’organe directeur du sport ou de l’événement en question. En outre, conformément aux directives du registrateur, les OII facilitent la collaboration et l’échange de renseignements dans le cadre de l’enquête et de la prise de mesures en réponse à l’activité interdite associée au pari suspect. Les OII peuvent offrir leurs services à des organismes de réglementation, à des exploitants et à des fournisseurs de biens ou de services relatifs au jeu, entre autres, mais ne doivent avoir aucun conflit d’intérêts réel ou perçu dans l’exercice de leur rôle (par exemple, ils ne doivent être ni exploitants ni pronostiqueurs).
Section 2 - Confirmation de conformité de la technologie
Les exploitants et les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent confirmer à la CAJO que leur technologie est conforme aux Normes de la CAJO applicables avant l’entrée en service dans le marché en Ontario.
-
Si vous êtes un exploitant : La confirmation de conformité de la technologie doit porter sur la solution technologique complète qui sera déployée pour les activités de jeux sur Internet en Ontario, y compris la plateforme et l’infrastructure sous-jacente, les périphériques réseau, les systèmes d’exploitation et les bases de données, ainsi que les logiciels de jeu et les autres applications. Si un exploitant utilise la plateforme d’un fournisseur tiers de biens ou de services relatifs au jeu, la confirmation de conformité de la technologie doit également viser cette plateforme. Si un exploitant fait appel à des fournisseurs tiers de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux, sa confirmation de conformité de la technologie ne porte pas sur les technologies de ces fournisseurs. Ces aspects de la solution sont couverts par la confirmation de conformité de la technologie des fournisseurs tiers, sauf pour ce qui est de l’intégration de ces systèmes à la plateforme.
Remarque : Les plateformes représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Les plateformes offrent de nombreuses fonctions, y compris la gestion des comptes des joueurs, les paiements, les portefeuilles des joueurs et les mesures de contrôle pour un jeu responsable, et sont intégrées aux systèmes de jeu cruciaux pour fournir les services du site de jeu.
Les plateformes n’ont pas à être certifiées par un LEI. -
Si vous êtes un fournisseur de biens ou de services relatifs au jeu qui exploite des systèmes de jeu cruciaux (cette catégorie ne comprend pas les plateformes) : La confirmation de conformité de la technologie doit porter sur l’infrastructure (les serveurs de jeux, les systèmes d’exploitation et les bases de données, ainsi que les périphériques réseau) et les jeux (logiciels) utilisés pour l’offre de services en Ontario.
Remarque : Les systèmes de jeu cruciaux représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Ces systèmes comprennent les jeux, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet. Tous ces types de technologie doivent être certifiés par un LEI.
La confirmation de conformité de la technologie doit être fournie à la CAJO avant l’entrée en service et comprendre :
-
Une lettre adressée à la CAJO et signée par le président de l’entité inscrite (ou l’équivalent) et le directeur de la conformité (ou l’équivalent) qui contient une déclaration selon laquelle la technologie qui sera utilisée pour offrir les produits et les services dans le marché de l’Ontario est conforme à toutes les Normes applicables. Cette lettre doit également confirmer que tous les jeux qui seront offerts en Ontario seront certifiés par un LEI inscrit par la CAJO ou approuvés par le registrateur avant leur mise en œuvre en Ontario, et seront offerts par un fournisseur inscrit auprès de la CAJO.
Les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent inclure dans leur lettre une déclaration selon laquelle ils ont mis en place une MAC qui répond à toutes les Normes applicables.
-
Une annexe contenant les éléments de preuve ci-dessous (selon les produits et les services offerts) doit être fournie à la CAJO avant l’entrée en service :
-
Si vous êtes un exploitant : Un aperçu de la solution technologique complète du site de jeu, y compris la liste de tous les fournisseurs de biens ou de services relatifs au jeu, et des compléments technologiques de tiers intégrés au site de jeu.
-
Les résultats des évaluations de la sécurité et des vulnérabilités, ainsi que les résultats des tests de pénétration interne et externe des infrastructures et des applications produites en Ontario, ces évaluations et tests étant effectués par une entreprise de sécurité indépendante et qualifiée.
-
La direction devra fournir une description de l’évaluation des risques ainsi que des mesures et des contrôles correctifs mis en place par l’entreprise à la lumière des résultats.
-
Les mesures correctives devront être proportionnelles aux risques, et les risques de sécurité graves devront être éliminés avant l’entrée en service des systèmes de jeu en Ontario.
-
Par exemple, un exploitant peut choisir de corriger en 30 jours une vulnérabilité ayant une note de 7 selon le Système commun de notation des vulnérabilités de la National Vulnerability Database (NVD CVSS) et de corriger en 90 jours une vulnérabilité ayant une note de 4.
-
-
Une autre analyse doit être effectuée à la suite de l’application des mesures correctives.
-
-
Une description de l’utilisation prévue de centres de données ou de services infonuagiques de fournisseurs tiers, y compris le nom des fournisseurs, une description du type de modèle de service et les derniers rapports SOC 2 Type II du Service Organization Control ou la certification ISO 27001 pour chaque fournisseur.
-
Si vous êtes un exploitant : Une explication de la façon dont les contrôles mis en œuvre pour respecter la norme 3.02 (selon laquelle les joueurs doivent se trouver en Ontario) ont été vérifiés pour garantir :
-
leur exactitude et leur efficacité sur la majorité des appareils de jeu et des types de connexion réseau prévus, y compris :
-
la conformité avec l’exigence 1 de la norme 3.02 concernant la surveillance dynamique de l’emplacement des joueurs;
-
la conformité avec l’exigence 2 de la norme 3.02 concernant la détection et la prévention des mécanismes capables de contourner les contrôles.
-
-
-
Une description des mécanismes mis en place pour respecter l’exigence 1 de la norme 5.17 (vérifier que le logiciel installé est certifié par un LEI) et la norme 5.62 (vérifier l’intégrité des logiciels déployés).
-
Les personnes et entités inscrites doivent s’assurer que les mesures qu’elles jugent nécessaires pour appuyer leur confirmation sont mises en place de façon satisfaisante. Pour ce faire, elles peuvent faire appel à un tiers pour mener des essais. Les personnes et entités inscrites doivent également conserver tous les documents et éléments de preuve à l’appui de leur confirmation de conformité de la technologie, et les fournir à la CAJO à sa demande.
Section 3 - Exigences relatives à la matrice des activités de contrôle (MAC)
3.1 Exigences relatives à la MAC pour les exploitants
Tous les exploitants doivent concevoir et mettre en œuvre des activités de contrôle afin de se conformer aux Normes du registrateur. Les exploitants doivent avoir instauré ces contrôles avant l’entrée en service dans le marché des jeux sur Internet de l’Ontario. Toute exception doit faire l’objet de discussions au cas par cas avec la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne de la CAJO. Ces processus et contrôles doivent être résumés dans une MAC. Chaque MAC doit être vérifiée de façon indépendante pour confirmer que les contrôles respectent les Normes du registrateur, puis être soumise à la CAJO à des fins d’examen selon l’échéancier décrit ci-après.La MAC des exploitants doit faire un résumé des contrôles liés au site de jeu, compte tenu de ce qui suit :
-
Étant donné que les principaux contrôles liés à la technologie sont contenus dans les plateformes de jeux sur Internet, la CAJO s’attend à ce que les exploitants collaborent avec leurs fournisseurs de plateformes tiers, s’il y a lieu, pour veiller à ce que la MAC reflète l’ensemble des contrôles en place afin de répondre aux Normes du registrateur pour les jeux sur Internet.
-
Les exploitants n’ont pas à inclure dans la MAC les contrôles mis en place par des fournisseurs tiers de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux ou par des fournisseurs de jeux qui développent des jeux. Ceux-ci ont leurs propres exigences relatives à la MAC, comme il est décrit ci-après.
Vérification indépendante
L’exploitant doit soumettre la MAC à une vérification indépendante. Cette vérification doit être effectuée par une unité ou une personne au sein de l’organisation de l’exploitant qui n’a pas participé à l’élaboration de la MAC, comme un vérificateur interne ou un vérificateur externe désigné. Les résultats de la vérification qui attestent la conformité doivent être compris dans la soumission de la MAC de l’exploitant.
Échéancier applicable à la soumission de la MAC
L’échéancier applicable à la soumission de la MAC variera selon le niveau de risque évalué pendant le processus d’inscription auprès de la CAJO.
-
Exploitants qui sont évalués pendant l’examen d’admissibilité comme présentant potentiellement un risque élevé
Les exploitants pourraient devoir soumettre la MAC dans le cadre de leur demande d’inscription avant que leur certificat d’inscription soit délivré.
-
La détermination d’un risque élevé peut se fonder sur divers facteurs, par exemple, les nouveaux exploitants de jeux sur Internet ayant peu ou pas d’expérience, les exploitants qui ne possèdent pas de permis ou de certificat d’inscription dans d’autres territoires, les exploitants qui ont des antécédents de non-conformité et les exploitants dont l’analyse des écarts démontre une mauvaise compréhension des Normes ou contient des écarts importants par rapport aux Normes.
-
Exploitants qui ne présentent pas de risque élevé
Les exploitants devront soumettre une MAC dans les trois mois suivant leur date d’entrée en service dans le marché de l’Ontario. Le processus de soumission visant ces exploitants sera précisé au moyen d’ajouts au présent guide concernant les exigences et les processus permanents (qui s’appliqueront après l’entrée en service).
Les exploitants sont encouragés à prioriser l’élaboration et la vérification indépendante de leur MAC pour prévenir les retards d’inscription. La CAJO les informera par écrit des échéanciers applicables pour la soumission de la MAC.
3.2 Exigences relatives à la MAC pour les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux
Avant d’entrer en service dans le marché de l’Ontario, les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent confirmer à la CAJO qu’ils disposent d’une MAC qui répond à toutes les Normes applicables.
Rappelons que les systèmes de jeu cruciaux représentent un sous-ensemble du « matériel » de jeu, qui est défini dans la Loi de 1992 sur la réglementation des jeux. Ces systèmes comprennent les jeux certifiés, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet.
Cette confirmation doit faire partie de la lettre de confirmation liée à la technologie dont il est question dans la section 2.
Ces fournisseurs de biens ou de services relatifs au jeu ne sont pas tenus de soumettre la MAC à la CAJO à des fins d’examen. Cependant, la CAJO peut demander de voir la MAC à tout moment après avoir identifié des risques ou simplement à des fins de conformité.
3.3 Exigences relatives à la MAC pour les autres types de fournisseurs de biens ou de services relatifs au jeu
Les autres fournisseurs de biens ou de services relatifs au jeu ne sont pas tenus de préparer une MAC ou d’en soumettre une à la CAJO à des fins d’examen. Toutefois, ces fournisseurs doivent avoir en place des activités de contrôle efficaces et posséder les documents connexes. À tout moment, la CAJO peut demander aux fournisseurs de biens ou de services relatifs au jeu de fournir des éléments de preuve concernant ces activités.
Section 4 - Exigences relatives à la certification de la technologie par un LEI inscrit
Avant de pouvoir déployer une technologie applicable dans le marché de l’Ontario, les exploitants et les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux doivent veiller à ce que les types de technologie suivants aient été certifiés au regard des Normes applicables par un LEI inscrit par la CAJO :
-
les jeux, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet, y compris les machines à sous, les jeux de table, les paris sportifs et événementiels, le poker et les autres jeux de cartes.
Dans certaines situations qui présentent un faible risque et au cas par cas, le registrateur envisagera d’approuver temporairement les systèmes de jeu cruciaux des fournisseurs de biens ou de services relatifs au jeu pour faciliter les opérations au moment du lancement. Les demandes d’approbation temporaire doivent faire l’objet de discussions au cas par cas avec la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne de la CAJO.
Étant donné que les LEI inscrits peuvent avoir testé de nombreux éléments pour une utilisation dans d’autres territoires réglementés, les LEI peuvent prendre en compte ces essais antérieurs pour déterminer si les composants testés répondent aux Normes de la CAJO. Ils doivent cependant s’assurer que les essais antérieurs étaient applicables aux Normes de la CAJO.
Ces mêmes types de technologie doivent être recertifiés par un LEI inscrit lorsque des modifications subséquentes invalident la certification, y compris des modifications qui touchent le jeu responsable ainsi que l’intégrité, l’équité et la sécurité des jeux. Voir l’annexe C : Politique de certification par un laboratoire d’essai indépendant (LEI).
Les essais et la certification peuvent se faire à tout moment, y compris avant qu’un exploitant ou un fournisseur de biens ou de services relatifs au jeu reçoive un certificat d’inscription de la CAJO. Cependant, les LEI ne peuvent pas délivrer de certifications avant :
-
d’avoir effectué une inscription complète auprès de la CAJO en tant que fournisseur de biens ou de services relatifs au jeu;
-
d’avoir soumis une confirmation, telle qu’une vérification indépendante, que leur méthodologie d’essai a été configurée selon les Normes du registrateur pour les jeux sur Internet.
Remarque : Même si les fournisseurs de biens ou de services relatifs au jeu qui fabriquent les jeux seront probablement les entités qui obtiennent la certification, c’est aux exploitants et aux fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux qu’incombe de confirmer la certification des jeux à la CAJO.
Section 5 - Exigences de notification et échange de données sécurisé de la CAJO
La Matrice de notification concernant les jeux sur Internet de la CAJO définit trois catégories de renseignements que doivent fournir sur une base régulière les personnes et entités inscrites, à savoir :
-
les notifications d’incidents;
-
les rapports récurrents sur divers indicateurs de données;
-
d’autres soumissions réglementaires.
Les exploitants et les fournisseurs de biens ou de services relatifs au jeu utiliseront deux mécanismes d’échange de données sécurisé pour fournir les renseignements décrits dans la matrice de notification :
-
Le portail iCAJO sera utilisé pour les notifications d’incidents et les soumissions réglementaires concernant les jeux sur Internet. iCAJO est le système Web qui est utilisé par les exploitants et les fournisseurs de biens ou de services relatifs au jeu pour soumettre leur demande d’inscription et qui sera utilisé pour les renouvellements et les modifications aux renseignements sur l’inscription.
-
L’échange de données SFTP (Secure File Transfer Protocol) pour les jeux sur Internet de la CAJO sera utilisé pour les autres données réglementaires (indicateurs de données continus, copies de documents et de rapports à production obligatoire, etc.).
Les renseignements fournis par les personnes et entités inscrites au moyen de ces deux mécanismes seront utilisés pour éclairer les activités de planification et de surveillance de la conformité de la CAJO.
Avant l’entrée en service dans le marché de l’Ontario :
-
Les personnes et entités inscrites doivent s’assurer de comprendre parfaitement les exigences de la CAJO concernant les notifications d’incidents et les soumissions réglementaires, telles que présentées dans la matrice de notification.
-
La CAJO créera des comptes dans le portail iCAJO et l’échange de données SFTP pour les personnes et entités inscrites.
-
La CAJO offrira de la formation aux exploitants et aux fournisseurs de biens ou de services relatifs au jeu concernant la matrice de notification et l’utilisation du mécanisme d’échange de données.
Annexe A : Exigences relatives à la conformité pour l’entrée en service par type de personnes et entités inscrites
Exploitants |
|
---|---|
Fournisseurs de biens ou de services relatifs au jeu qui fournissent des plateformes |
|
Fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux
Ces systèmes comprennent les jeux certifiés, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris et des mises des joueurs, et qui affichent et consignent des renseignements à ce sujet. Tous ces types de technologie doivent être certifiés par un LEI.
|
|
Autres fournisseurs de biens ou de services relatifs au jeu |
|
Annexe B : Précisions permettant de savoir quelles Normes sont normalement applicables à certains types de personnes et entités inscrites
Les précisions suivantes visent à fournir une orientation pour l’application habituelle des Normes du registrateur pour les jeux sur Internet en ce qui concerne quatre types de personnes et entités inscrites qui jouent un rôle essentiel dans la prestation des jeux en Ontario.
Cette orientation est générale; il ne s’agit pas de directives de la part de la CAJO.
Chaque personne et entité inscrite est différente; il appartient donc à chacune de déterminer les normes et exigences qui lui sont applicables.
Type de personnes et entités inscrites |
Normes sur les jeux sur Internet applicables |
---|---|
Exploitants et leurs fournisseurs de plateformes |
De manière générale, l’ensemble des Normes sur les jeux sur Internet s’appliquent aux exploitants et à leurs fournisseurs de plateformes. |
Fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux |
Les fournisseurs de biens ou de services relatifs au jeu qui exploitent des systèmes de jeu cruciaux sont responsables de veiller à ce que la technologie liée aux jeux fonctionne de façon conforme aux Normes.
À l’échelle de l’entité 1.01, 1.02.3, 1.03, 1.05, 1.06, 1.07, 1.08, 1.09, 1.10, 1.11, 1.12, 1.13, 1.14, 1.18, 1.20 Jeu responsable 2.15.3, 2.15.5, 2.16.2 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.01, 4.02, 4.03, 4.04, 4.06, 4.07, 4.08, 4.09, 4.11, 4.12, 4.14, 4.15, 4.16, 4.21, 4.23, 4.24, 4.25, 4.27, 4.28, 4.29, 4.35 Sécurité publique et protection des actifs 5.01, 5.02, 5.03, 5.04, 5.05, 5.06, 5.07, 5.08, 5.09, 5.10, 5.11, 5.12, 5.13, 5.14, 5.15, 5.16, 5.17, 5.18, 5.19, 5.20, 5.21, 5.22, 5.23, 5.24, 5.25, 5.26, 5.27, 5.28, 5.29, 5.30, 5.31, 5.32, 5.33, 5.34, 5.35, 5.36, 5.37, 5.38, 5.39, 5.40, 5.41, 5.42, 5.43, 5.44, 5.45, 5.46, 5.47, 5.48, 5.58, 5.60, 5.62, 5.63, 5.64, 5.65, 5.66, 5.68
|
Fournisseurs de biens ou de services relatifs au jeu qui développent des systèmes de jeu cruciaux mais qui n’en exploitent pas |
À l’échelle de l’entité 1.01, 1.02.3, 1.05, 1.06, 1.07, 1.08, 1.09, 1.10, 1.12, 1.13, 1.18, 1.20 Jeu responsable 2.15, 2.16, 2.17, 2.18, 2.19, 2.20, 2.24.2 Accès interdit à des groupes désignés et gestion des comptes des joueurs 3.15.3 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.01, 4.02, 4.05, 4.06, 4.07, 4.08, 4.09.2, 4.09.6, 4.12, 4.14, 4.15, 4.16, 4.21, 4.24, 4.25, 4.26, 4.27, 4.28, 4.29, 4.31, 4.35 Sécurité publique et protection des actifs 5.05, 5.13, 5.14, 5.15, 5.16, 5.19, 5.20, 5.25, 5.27, 5.39, 5.40, 5.41, 5.49, 5.50, 5.51, 5.52, 5.53, 5.54, 5.55, 5.56, 5.57, 5.59, 5.61, 5.64, 5.65, 5.66, 5.67
|
Fournisseurs de biens ou de services relatifs au jeu inscrits en tant qu’observateurs indépendants de l’intégrité
|
À l’échelle de l’entité 1.01, 1.02.3, 1.05, 1.06, 1.07, 1.08, 1.09, 1.10, 1.12, 1.13, 1.18, 1.20 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.32 Sécurité publique et protection des actifs 5.01, 5.02, 5.03, 5.04, 5.05, 5.09, 5.10, 5.11, 5.12, 5.24, 5.25, 5.26, 5.28
|
Normes propres aux paris sportifs et événementiels
De façon générale, les Normes du registrateur pour les jeux sur Internet s’appliquent aux exploitants et aux fournisseurs de biens ou de services relatifs au jeu qui participent à l’offre de paris sportifs et événementiels dans le marché des jeux sur Internet de l’Ontario.
À des fins de clarification, le tableau suivant présente les quelques Normes qui : a) s’appliquent uniquement aux paris sportifs et événementiels; b) concernent l’ensemble des jeux sur Internet, mais qui contiennent une ou plusieurs mentions des paris sportifs et événementiels; c) ne s’appliquent pas aux paris sportifs et événementiels.
|
Jeu responsable 2.15.1, 2.15.2, 2.15.3 Accès interdit à des groupes désignés et gestion des comptes des joueurs 3.01.1 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.25.1, 4.25.2, 4.25.3, 4.32, 4.33, 4.34 |
---|---|
|
Accès interdit à des groupes désignés et gestion des comptes des joueurs 3.15 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.01, 4.06, 4.10, 4.12, 4.13, 4.24, 4.28 Sécurité publique et protection des actifs 5.75 |
|
Jeu responsable 2.15 Garantie de l’intégrité des jeux et sensibilisation des joueurs 4.26, 4.27 |
Annexe C : Politique de certification par un laboratoire d’essai indépendant (LEI)
Qu’est‑ce qu’une certification par un LEI?
-
Il s’agit d’une forme d’assurance écrite délivrée par un LEI inscrit pour indiquer qu’il a testé les types de technologie visés par la politique et qu’il confirme leur conformité avec les Normes du registrateur pour les jeux sur Internet de la CAJO (les « Normes »). En outre, pour les jeux avec croupier en direct dans le domaine des jeux sur Internet uniquement, les « Normes techniques minimales concernant les appareils et les systèmes de jeu de casino électroniques » sont également applicables.
-
Les certifications destinées au marché des jeux sur Internet de l’Ontario peuvent seulement être délivrées par un LEI inscrit auprès de la CAJO.
-
La certification par un LEI fournit à la CAJO une assurance raisonnable quant à la conformité de la technologie testée avec les Normes applicables.
Quels types de technologie doivent faire l’objet d’une certification?
-
Les types de technologies qui doivent être certifiés par un LEI inscrit sont :
- les jeux, les générateurs de nombres aléatoires et les composants des systèmes de jeux sur Internet qui acceptent, traitent et déterminent les résultats des paris des joueurs, et qui affichent et consignent des renseignements à ce sujet, y compris les machines à sous, les jeux de table, les paris sportifs et événementiels, le poker et les autres jeux de cartes. Pour les jeux avec croupiers en direct, l'exigence de technologie certifiée s'étend aux générateurs de nombres aléatoires physiques avec des éléments électroniques et aux équipements physiques similaires avec des éléments électroniques utilisés pour déterminer le résultat du jeu. Cela inclut, mais sans s'y limiter, les roues physiques (roulette), les tables de dés physiques et les mélangeurs de cartes qui ont des composants électroniques.
Que faut-il pour qu’une certification soit reconnue par le registrateur?
-
Les types de technologie énumérés ci-dessus doivent être certifiés par un LEI inscrit avant d’être déployés dans le marché de l’Ontario. Comme mentionné à la section 4, dans certaines situations qui présentent un faible risque et au cas par cas, le registrateur envisagera d’approuver temporairement les systèmes de jeu cruciaux des fournisseurs de biens ou de services relatifs au jeu pour faciliter les opérations au moment du lancement du marché. Les demandes d’approbation temporaire doivent faire l’objet de discussions au cas par cas avec la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne de la CAJO.
-
La CAJO ne détermine pas quelle entité (l’exploitant, le fabricant du jeu, etc.) doit demander une certification par un LEI, mais le plus souvent, il devrait s’agir du fournisseur du jeu.
-
Une certification qui contient une restriction à l’usage que peut en faire le registrateur ou qui prétend en nier l’usage au registrateur ne sera pas reconnue par celui-ci.
Les technologies certifiées qui ont été modifiées doivent‑elles faire l’objet d’une recertification?
- La recertification d’une technologie est requise lorsqu’on y apporte une modification ou que l’on découvre ultérieurement un problème non détecté qui compromet l’intégrité, l’équité ou la sécurité des systèmes de jeu cruciaux ou la conformité avec la Loi de 1992 sur la réglementation des jeux, son règlement ou les Normes. La modification ou le problème détecté rendent la certification antérieure invalide.
- Il incombe au fournisseur de biens ou de services relatifs au jeu de veiller à ce que les certifications requises soient obtenues de la part des LEI inscrits de la CAJO. Le fournisseur de biens ou de services relatifs au jeu classe l’ensemble des modifications (apportées dans le logiciel mis à jour par rapport au logiciel précédemment certifié) selon trois catégories. Tous les dossiers de cette classification doivent être tenus à jour et mis à la disposition de la CAJO sur demande. Selon la catégorie de modifications, le fournisseur pourrait être tenu de recertifier le logiciel auprès d’un LEI.
Voici les trois catégories de modifications :
- Modifications non réglementaires : Les modifications qui ne concernent pas la conformité avec les Normes (p. ex. bogues mineurs qui peuvent gêner l’expérience utilisateur, changements esthétiques, ajout d’une nouvelle langue qui n’est pas utilisée par l’Ontario).
Approche : Pour ces modifications, une recertification n’est pas nécessaire. Le fournisseur peut utiliser la certification antérieure et confirmer que les modifications apportées ne sont pas de nature réglementaire, et donc que la certification antérieure est toujours valide et qu’elle s’applique à la technologie modifiée. - Modifications réglementaires : les modifications qui concernent la conformité avec les Normes (p. ex. modification à la conception d’un jeu qui pourrait aussi influer sur la conformité avec une norme) OU les modifications qui visent des questions réglementaires, mais qui n’ont pas à être apportées immédiatement (p. ex. la version antérieure n’est pas en ligne ou le problème est réglé par d’autres contrôles ou mesures).
Approche : Pour ces modifications, une certification doit être obtenue avant le déploiement. - Correction de nature réglementaire (correction d’urgence) : Les modifications qui répondent à des préoccupations d’ordre réglementaire et qui doivent être apportées sur-le-champ pour corriger un problème en ligne (p. ex. incidence importante relative aux Normes qui compromet l’intégrité du jeu).
Approche : Pour ces corrections, le déploiement peut avoir lieu avant l’obtention de la certification. La technologie corrigée peut être déployée sur-le-champ, mais doit être envoyée à un LEI à des fins de certification dans les 5 jours ouvrables suivant la mise en ligne.
Au regard de quelles Normes la certification doit‑elle s’appuyer?
-
La certification ne porte pas sur toutes les Normes, mais bien sur celles qui s’appliquent aux jeux, aux générateurs de nombres aléatoires, aux serveurs de jeux à distance et aux systèmes de paris sportifs et événementiels testés.
-
Pour les jeux avec croupier en direct uniquement, les « Normes techniques minimales concernant les appareils et les systèmes de jeu de casino électroniques » sont également applicables.
-
Chaque technologie est différente; la CAJO ne peut donc pas fournir de directives qui s’appliqueraient à toutes les situations. Cependant, la Direction de la réglementation en matière de technologie et de la conformité en matière de jeux en ligne de la CAJO oriente les LEI inscrits quant aux Normes qui pourraient présenter un intérêt pour le registrateur. Cette orientation ne saurait être définitive avant un examen substantiel du logiciel de matériel de jeu à des fins de certification.
La CAJO permettra-t‑elle aux LEI de délivrer des certifications « conditionnelles »?
-
Comme mentionné ci-dessus, la technologie visée par cette politique ne peut être déployée dans le marché de l’Ontario sans certification préalable par un LEI.
-
À des fins réglementaires, les LEI ne peuvent délivrer de certification qui serait conditionnelle à l’apport de changements ultérieurs à la technologie.
-
Les LEI peuvent toutefois délivrer une certification qui nomme une ou plusieurs fonctions qui devront être désactivées pour que la technologie soit conforme aux Normes applicables.
Quels renseignements doit contenir un document de certification par un LEI?
Voici les renseignements que doit contenir un document de certification par un LEI pour démontrer que les Normes applicables ont été respectées :
-
le nom du LEI inscrit par la CAJO qui a effectué la certification;
-
le nom de l’exploitant ou du fournisseur de biens ou de services relatifs au jeu inscrit auprès de la CAJO qui a demandé la certification;
-
la date à laquelle la certification a été délivrée;
-
une forme d’identifiant unique qui permettra à la CAJO de suivre la certification et d’y donner suite auprès de l’exploitant, du fournisseur de biens ou de services relatifs au jeu ou du LEI;
-
le nom du produit, le numéro de version et le fabricant;
-
la liste des Normes au regard desquelles la technologie a été certifiée;
-
la mention (le cas échéant) qu’une partie de la certification s’appuyait sur des essais antérieurs effectués pour répondre à des exigences réglementaires dans un autre territoire;
-
en cas de recertification, une description générale des principales modifications apportées au produit.
Sur demande, les renseignements suivants doivent être fournis à la CAJO par le LEI inscrit :
-
les résultats des essais antérieurs effectués sur un même produit pour la même personne ou entité inscrite, y compris les lacunes alors décelées au regard des Normes;
-
les réponses aux questions de la CAJO au sujet de l’environnement d’essai, des essais portant sur la configuration du produit et de certains aspects de la méthodologie d’essai.