Nouvelles obligations pour les institutions financières en matière d’incidents de sécurité de l’information

Le Règlement sur la gestion et le signalement des incidents de sécurité de l’information (« Règlement ») de l’Autorité des marchés financiers (« AMF ») est entré en vigueur le 23 avril dernier. Ce Règlement crée un régime particulier pour le signalement des incidents de sécurité de l’information (« incident ») des institutions financières.

Champ d’application

Les institutions financières, au sens du Règlement, incluent les entreprises suivantes :

• les assureurs autorisés en vertu de la Loi sur les assureurs et les fédérations de sociétés mutuelles visée par cette loi;
• les fédérations et les caisses qui ne sont pas membres d’une fédération visées par la Loi sur les coopératives de services financiers; 
• les institutions de dépôts autorisées en vertu de la Loi sur les institutions de dépôts et la protection des dépôts; 
• les sociétés de fiducie autorisées en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne; 
• les agents d’évaluation du crédit désignés en vertu de la Loi sur les agents d’évaluation du crédit[1]. 

Un incident, au sens du Règlement, est une « atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes de l’information ou aux informations qu’ils contiennent »[2]. Cette définition est plus large que la définition trouvée dans la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »). Effectivement, la Loi sur le privé exige la notification de la Commission d’accès à l’information uniquement si l’incident de confidentialité présente un risque de préjudice sérieux pour les renseignements personnels[3].

Signalement d’un incident

Une institution financière doit signaler à l’AMF tout incident ayant un risque d’occasionner des répercussions négatives dans les 24 heures suivant son signalement initial aux gestionnaires à l’interne[4]. L’expression « répercussions négatives » n’a pas encore été définie ou interprétée par l’AMF.

L’institution financière doit ensuite faire un suivi auprès de l’AMF tous les trois jours sur le statut de l’incident jusqu’à son règlement, où elle doit finalement transmettre un rapport final à l’AMF au plus tard 30 jours suivant la maîtrise de l’incident[5].

Autres obligations

Le Règlement impose plusieurs autres obligations pour veiller à la bonne gestion des incidents chez les institutions financières :

• Désigner par écrit un responsable de la gestion des incidents[6].
• Adopter une politique de gestion des incidents comportant des procédures et des mécanismes de détection, d’évaluation et de réponse aux incidents. Elle doit aussi comprendre une procédure de signalement des incidents aux dirigeants ou gestionnaires de l’institution financière ainsi qu’aux tiers (les clients, les fournisseurs, les consommateurs, l’AMF et les autres autorités compétentes)[7].
• Tenir à jour un registre confidentiel et sécurisé des incidents[8].
• Coordonner avec d’autres autorités compétentes le signalement d’un incident comme le Bureau du surintendant des institutions financières, la Commission d’accès à l’information ou un corps policier[9].

Sanctions

En cas de manquement aux obligations, le Règlement prévoit des sanctions administratives pécuniaires pouvant aller de 250 $ à 2 500 $[10].

En conformité avec vos obligations?

Notre équipe en Protection de la vie privée et cybersécurité peut vous accompagner pour :

• établir, actualiser et opérationnaliser votre politique de gestion des incidents;
• préparer vos procédures internes de notification;
• établir un registre conforme aux exigences de l’AMF;
• assurer la sensibilisation et formation de vos équipes internes;
• coordonner et gérer vos incidents.