Rechercher

SearchLoading

Sommaires exécutifs 1 nov. 2024

Obligation en matière de signalement des incidents de sécurité de l’information : l’Autorité des marchés financiers suit la vague et publie un nouveau règlement

Par

Aya Barbach

L’Autorité des marchés financiers (« AMF ») a publié, le 24 octobre dernier, le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement »), dont les dispositions entreront en vigueur le 23 avril 2025.

Ce Règlement introduit un régime particulier en matière de notification en cas « d’incident de sécurité de l’information ». Dans ce bulletin, nous vous expliquons à qui s’applique ce Règlement, quelles sont les obligations qui en découlent et quelle sera sa portée, notamment à la lumière des obligations déjà présentes dans la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») en matière de notification en cas « d’incident de confidentialité ». 

 

Organisations visées par le Règlement 

Le Règlement s’applique aux entreprises suivantes, lesquelles sont déjà visées par la Loi sur le secteur privé : 

Obligations en matière d’incident de sécurité de l’information 

Quant au champ d’application du Règlement, il est important de comprendre à quels types de renseignements celui-ci s’applique. À ce propos, un « incident de sécurité de l’information » est défini dans le Règlement comme étant « une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent ». Le libellé de cette définition est large de telle sorte qu’une panne technique des systèmes d’information empêchant l’accès à ces systèmes pourrait constituer un « incident de sécurité de l’information » assujetti aux règles du Règlement. 

La définition du terme « information » dans ce Règlement a ainsi une portée plus large que le champ d’application de la Loi sur le secteur privé. Autrement dit, un « incident de sécurité de l’information » au sens du Règlement pourrait viser des documents contenant des informations telles que des renseignements financiers appartenant à une entreprise, des renseignements liés à des produits et services, ou des rapports ou des statistiques, par exemple; tandis qu’un « incident de confidentialité » au sens de la Loi sur le secteur privé ne vise que des documents contenant des renseignements personnels.  

Essentiellement, les obligations imposées aux institutions financières et aux agents d’évaluation du crédit introduites par le Règlement sont les suivantes : 

  • Établir et mettre en œuvre une politique de gestion des incidents de sécurité de l’information comprenant, entre autres, des mécanismes permettant de détecter, d’évaluer et de répondre aux incidents de sécurité de l’information.  
  • Nommer un dirigeant ou un gestionnaire qui sera responsable de surveiller et superviser la gestion et le signalement des incidents de sécurité de l’information.
  • Signaler à l’AMF, par un formulaire accessible en ligne, les incidents de sécurité de l’information qui risquent d’avoir des répercussions négatives et ceux qui ont fait l’objet d’un avis à une autorité réglementaire, notamment la Commission d’accès à l’information, et ce, dans un délai d’au plus 24 heures à partir du moment où un dirigeant ou un gestionnaire de l’organisation est informé de l’incident. En plus de l’avis, il est également requis d’effectuer les suivis nécessaires auprès de l’AMF tous les trois jours et, finalement, de transmettre à l’AMF un rapport final au plus tard 30 jours suivant le moment où l’incident est maîtrisé.
  • Tenir à jour un registre des incidents de sécurité de l’information et y conserver les entrées pendant une période d’au moins cinq ans.   

Sanctions prévues

Le Règlement prévoit des sanctions administratives pécuniaires pour tout manquement aux obligations qui y sont contenues.  

 

À retenir

  • Le Règlement prévoit un régime qui vient s’ajouter à ce qui est déjà prévu par les lois encadrant la protection des renseignements personnels. Autrement dit, si votre organisation respecte déjà les obligations prévues la Loi sur le secteur privé, elle doit tout de même agir aujourd’hui afin de se conformer aux règles explicites prévues par le Règlement
  • Un incident de sécurité de l’information tel que défini dans le Règlement pourrait également impliquer des renseignements personnels. Ainsi, face à un même incident, une organisation pourrait devoir agir selon les obligations prévues au Règlement, de même que celles édictées par la Loi sur le secteur privé.
  • Les organisations assujetties doivent mettre en place une politique de gestion des incidents de sécurité de l’information comportant notamment des procédures et mécanismes qui permettent de détecter, d’évaluer et de répondre aux incidents. 
  • Les organisations visées par le Règlement doivent également tenir un registre des incidents de sécurité de l’information, lequel doit contenir la date et l’heure de l’incident, sa localisation, sa nature, une description détaillée de l’incident, les préjudices que celui-ci a causés, les tiers concernés par l’incident, les actions prises par l’organisation, les raisons menant à l’acceptation ou non du risque, les actions prévues et la date de clôture de l’incident. 
  • Notons que face à un incident de sécurité de l’information tel que défini dans le Règlement, les avis à rendre à l’AMF sont plus nombreux que ceux à transmettre à la Commission d’accès à l’information en vertu de la Loi sur le secteur privé en cas d’incident de confidentialité. En effet, en plus de la déclaration de l’incident de sécurité de l’information, le Règlement prévoit également l’envoi de mises à jour à l’AMF, puis la transmission d’un rapport final. 
  • Les organisations assujetties devraient s’assurer que les contrats avec leurs fournisseurs de services, notamment ceux qui hébergent leurs systèmes d’information pour leur compte, contiennent une clause imposant au fournisseur de leur signaler tout « incident de sécurité de l’information » qui impacteraient leurs informations. Autrement dit, l’obligation contractuelle de notification imposée aux fournisseurs de services auprès des organisations co-contractantes devrait viser tant les incidents de confidentialité au sens de la Loi sur le secteur privé que les « incidents de sécurité de l’information » au sens du Règlement. 

Pour toute question ou tout conseil sur la mise en place de ces pratiques, n’hésitez pas à contacter l’équipe Protection des données, vie privée et cybersécurité de BCF. 

  

Vous aimeriez aussi

Sommaires exécutifs 2 déc. 2024

Projet de loi 82 : un pas de plus vers l’identité numérique nationale (et modifications à d’autres dispositions!)

Nouvelles du cabinet 21 nov. 2024
Forum Repreneuriat

Forum Repreneuriat : Vision 2025
Sommaires exécutifs 6 nov. 2024

La protection de la vie privée dans le sport : N’attendez pas d’être mis en échec!

Sommaires exécutifs 18 oct. 2024

Droit à la portabilité : votre organisation est-elle prête?

Nouvelles du cabinet 9 oct. 2024
Forum Tech 360

Forum Tech 360 : croissance et points d’inflexion
Nouvelles du cabinet 3 juin 2024

Prospera – Baromètre économique du Québec
Communiqués de presse 14 mai 2024

Sociétés les mieux gérées au Canada : BCF reconnue pour une 17e année consécutive
Communiqués de presse 2 avr. 2024

BCF renforce son expertise en intelligence artificielle
Communiqués de presse 10 janv. 2024
nouveaux-associes-2024-fr

BCF nomme trois nouveaux associés
Nouvelles du cabinet 1 déc. 2023

Who’s Who Legal : 5 professionnels de BCF nommés dans le Guide
Communiqués de presse 1 déc. 2023

BCF poursuit son partenariat avec l’Association des avocats noirs du Canada pour une troisième année
Sommaires exécutifs 23 nov. 2023

Démystifier les Évaluations des facteurs relatifs à la vie privée (EFVP)
Sommaires exécutifs 21 nov. 2023

Le contrat de traitement de renseignements personnels : un incontournable à implanter
Sommaires exécutifs 15 nov. 2023
camera-on-a-wall

Le plan de réponse aux incidents : la base d’une gestion de crise efficace
Formations et événements 7 nov. 2023
forum-privacy

Forum stratégique sur la protection des données d’entreprise
Nouvelles du cabinet 28 sept. 2023

Chambers Canada : cinq de nos avocats se démarquent
Communiqués de presse 11 sept. 2023
Photo de Julie Doré

Julie Doré prend la direction du cabinet BCF avocats d’affaires
Nouvelles du cabinet 13 juil. 2023

Prospera – Baromètre économique du Québec
Couverture médiatique 19 juin 2023

Julien Tricart, membre du « Meritas Sports Law Group »
Nouvelles du cabinet 1 juin 2023

Mois de la fierté : créons un futur inclusif
Nouvelles du cabinet 10 mai 2023

Sociétés les mieux gérées au Canada : BCF reconnue pour une 16e année consécutive
Sommaires exécutifs 30 mars 2023

Nouvelles exigences applicables en matière de protection des renseignements personnels : votre entreprise est-elle conforme?
Nouvelles du cabinet 8 mars 2023

Chaque femme compte
Formations et événements 27 févr. 2023

Forum stratégique sur le rôle des entreprises dans la lutte aux changements climatiques
Communiqués de presse 27 févr. 2023

BCF s’associe avec l’Association des avocats noirs du Canada pour encourager la diversité dans les facultés de droit du Québec
Communiqués de presse 14 févr. 2023

Virage plus inclusif pour BCF : bonification du congé de parentalité
Communiqués de presse 8 févr. 2023

Shaun E. Finn nommé Juge à la Cour supérieure du Québec
Grands dossiers 3 févr. 2023

Comment assurer une relève d’entreprise?
Sommaires exécutifs 24 janv. 2023
Cahiers noirs avec feuilles

Projet de loi 78 sur la transparence des entreprises : êtes-vous prêts?

Formations et événements 17 janv. 2023

Forum stratégique sur la consolidation de marché et la relève d’entreprise
Communiqués de presse 5 déc. 2022

BCF s’associe à la Clinique Juridique de Saint-Michel pour favoriser l’accès aux études en droit auprès des jeunes issus de la diversité
Sommaires exécutifs 2 nov. 2022

Quelles sont les pratiques à adopter pour bien gérer les incidents de confidentialité?
Nouvelles du cabinet 20 oct. 2022

Shaun E. Finn, co-auteur de l’ouvrage In the Public Eye: Privacy, Personal Information, and High Stakes Litigation in the Canadian Public Sector
Sommaires exécutifs 14 oct. 2022

S’approprier des renseignements personnels sans consentement peut-il justifier l’autorisation d’une action collective?
Nouvelles du cabinet 29 sept. 2022

Cinq de nos avocats s’illustrent dans l’édition 2023 du classement Chambers Canada
Sommaires exécutifs 19 sept. 2022

Projet de loi C-27 : une loi attendue en matière de cybersécurité et vie privée au Canada
Sommaires exécutifs 16 sept. 2022

La perte de renseignements personnels est-elle suffisante pour justifier le succès d'une action collective au fond?
Sommaires exécutifs 16 sept. 2022

Projet de loi C-26 : le gouvernement fédéral se penche sur la cybersécurité et la vie privée

Sommaires exécutifs 1 sept. 2022

Jocelyn Poirier, chef de la protection des renseignements personnels de BCF
Nouvelles du cabinet 25 août 2022

43 professionnels de BCF se distinguent avec 78 nominations dans les éditions 2023 de Best Lawyers in Canada et Ones to Watch
Nouvelles du cabinet 21 juil. 2022

Sept nouveaux avocats se joignent à BCF
Grands dossiers 14 juin 2022

Adoption du projet de loi no. 96 : soyez prêts
Nouvelles du cabinet 1 juin 2022

Mois de la fierté : la richesse de la diversité
Communiqués de presse 16 mai 2022

BCF, 3e plus grand cabinet juridique au Québec
Communiqués de presse 11 mai 2022

Sociétés les mieux gérées au Canada : BCF reconnue pour une 15e année consécutive
Nouvelles du cabinet 22 nov. 2021

BCF est reconnue par le Globe and Mail comme l’un des meilleurs cabinets d’avocats au Canada
Nouvelles du cabinet 20 sept. 2021

Chambers Canada 2022 : BCF s’est classée au premier rang au Québec en droit corporatif et commercial
Nouvelles du cabinet 20 août 2021

Sept avocats de la relève se joignent à BCF
Formations et événements 3 mai 2021

L’action collective en matière de protection de la vie privée et des données
Couverture médiatique 26 avr. 2021

Une action collective pour atteinte à la vie privée rejetée sur le fond : une première au pays
Nouvelles du cabinet 22 mars 2021

BCF accueille sept nouveaux avocats parmi ses rangs
Sommaires exécutifs 15 déc. 2020

Collaboration à l’ère de la COVID-19 : considérations juridiques pour des partenariats réussis entre l'IA et les soins de santé
Nouvelles du cabinet 30 sept. 2020

Shaun E. Finn et Danielle Miller Olofsson publient un ouvrage de référence sur les actions collectives en matière de protection de la vie privée et des données
Sommaires exécutifs 24 juil. 2020

Quelles sont les implications de la décision invalidant le Bouclier de protection des données UE-États-Unis sur votre entreprise?
Couverture médiatique 30 juin 2020

Enquête sur une application de Tim Hortons
Sommaires exécutifs 18 juin 2020

Le projet de loi 64 du Québec modifiant la loi sur la protection des données : un projet de loi qui a du mordant?
Couverture médiatique 6 mai 2020

L’utilisation de caméras thermiques dans les commerces est-elle conforme aux lois de protection de la vie privée?
Grands dossiers 30 avr. 2020

COVID-19 : des solutions pour faire face à la situation
Sommaires exécutifs 27 avr. 2020

COVID-19 : enfin une boîte à outils pour les développeurs d’applications de géolocalisation
Couverture médiatique 3 avr. 2020

Traquer la pandémie de la COVID-19 grâce aux cellulaires
Sommaires exécutifs 13 mars 2020

COVID-19: n'oubliez pas la protection des données dans votre stratégie de réponse face à la crise
Communiqués de presse 30 janv. 2020

BCF se classe de nouveau parmi les meilleurs employeurs à Montréal
Nouvelles du cabinet 13 janv. 2020

BCF nomme 16 nouveaux associés pour son 25e anniversaire
Sommaires exécutifs 11 déc. 2019

Le contrôle conjoint et les risques liés à l’utilisation des modules de site Web
Sommaires exécutifs 25 oct. 2019

Êtes-vous précurseur ou suiveur?Résultats du sondage sur l’innovation
Nouvelles du cabinet 1 oct. 2019

Chambers Canada 2020: BCF reconnue en droit corporatif et commercial
Formations et événements 20 sept. 2019

Forum stratégique sur l'innovation
Sommaires exécutifs 16 sept. 2019

Les différentes approches législatives face au 5G
Grands dossiers 9 sept. 2019

Innover pour survivre: êtes-vous précurseur ou suiveur?
Sommaires exécutifs 27 août 2019

Vous implantez un nouveau système technologique en entreprise? Pensez à protéger vos données
Sommaires exécutifs 26 août 2019

La technologie 5G est à nos portes: à quoi faut-il s’attendre?
Sommaires exécutifs 22 août 2019

Les enjeux juridiques de la révolution industrielle 4.0
Sommaires exécutifs 22 août 2019

Qu’advient-il des actions collectives québécoises en matière de vie privée?
Sommaires exécutifs 21 févr. 2019

Faire la lumière sur le Cloud Act
Sommaires exécutifs 30 janv. 2019

Google et la CNIL, une affaire de consentements mal obtenus
Sommaires exécutifs 4 juin 2018

Pratiques à adopter pour les entreprises québécoises recevant des données européennes
Sommaires exécutifs 23 mai 2018

L’anonymisation ? En êtes-vous certains ?
Sommaires exécutifs 20 avr. 2018

Le Deep Web et le Dark Web démystifiés pour les entreprises
Sommaires exécutifs 17 avr. 2018

RGPD: comment vous y préparer
Couverture médiatique 9 avr. 2018

Nouvelles mesures de l'Union européenne en matière de protection des données
Sommaires exécutifs 6 avr. 2018

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien ?
Découvrez notre intelligence d'affaires