Sommaires exécutifs 1 nov. 2024

Obligation en matière de signalement des incidents de sécurité de l’information : l’Autorité des marchés financiers suit la vague et publie un nouveau règlement

L’Autorité des marchés financiers (« AMF ») a publié, le 24 octobre dernier, le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement »), dont les dispositions entreront en vigueur le 23 avril 2025.

Ce Règlement introduit un régime particulier en matière de notification en cas « d’incident de sécurité de l’information ». Dans ce bulletin, nous vous expliquons à qui s’applique ce Règlement, quelles sont les obligations qui en découlent et quelle sera sa portée, notamment à la lumière des obligations déjà présentes dans la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») en matière de notification en cas « d’incident de confidentialité ». 

 

Organisations visées par le Règlement 

Le Règlement s’applique aux entreprises suivantes, lesquelles sont déjà visées par la Loi sur le secteur privé : 

Obligations en matière d’incident de sécurité de l’information 

Quant au champ d’application du Règlement, il est important de comprendre à quels types de renseignements celui-ci s’applique. À ce propos, un « incident de sécurité de l’information » est défini dans le Règlement comme étant « une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent ». Le libellé de cette définition est large de telle sorte qu’une panne technique des systèmes d’information empêchant l’accès à ces systèmes pourrait constituer un « incident de sécurité de l’information » assujetti aux règles du Règlement. 

La définition du terme « information » dans ce Règlement a ainsi une portée plus large que le champ d’application de la Loi sur le secteur privé. Autrement dit, un « incident de sécurité de l’information » au sens du Règlement pourrait viser des documents contenant des informations telles que des renseignements financiers appartenant à une entreprise, des renseignements liés à des produits et services, ou des rapports ou des statistiques, par exemple; tandis qu’un « incident de confidentialité » au sens de la Loi sur le secteur privé ne vise que des documents contenant des renseignements personnels.  

Essentiellement, les obligations imposées aux institutions financières et aux agents d’évaluation du crédit introduites par le Règlement sont les suivantes : 

  • Établir et mettre en œuvre une politique de gestion des incidents de sécurité de l’information comprenant, entre autres, des mécanismes permettant de détecter, d’évaluer et de répondre aux incidents de sécurité de l’information.  
  • Nommer un dirigeant ou un gestionnaire qui sera responsable de surveiller et superviser la gestion et le signalement des incidents de sécurité de l’information.
  • Signaler à l’AMF, par un formulaire accessible en ligne, les incidents de sécurité de l’information qui risquent d’avoir des répercussions négatives et ceux qui ont fait l’objet d’un avis à une autorité réglementaire, notamment la Commission d’accès à l’information, et ce, dans un délai d’au plus 24 heures à partir du moment où un dirigeant ou un gestionnaire de l’organisation est informé de l’incident. En plus de l’avis, il est également requis d’effectuer les suivis nécessaires auprès de l’AMF tous les trois jours et, finalement, de transmettre à l’AMF un rapport final au plus tard 30 jours suivant le moment où l’incident est maîtrisé.
  • Tenir à jour un registre des incidents de sécurité de l’information et y conserver les entrées pendant une période d’au moins cinq ans.   

Sanctions prévues

Le Règlement prévoit des sanctions administratives pécuniaires pour tout manquement aux obligations qui y sont contenues.  

 

À retenir

  • Le Règlement prévoit un régime qui vient s’ajouter à ce qui est déjà prévu par les lois encadrant la protection des renseignements personnels. Autrement dit, si votre organisation respecte déjà les obligations prévues la Loi sur le secteur privé, elle doit tout de même agir aujourd’hui afin de se conformer aux règles explicites prévues par le Règlement
  • Un incident de sécurité de l’information tel que défini dans le Règlement pourrait également impliquer des renseignements personnels. Ainsi, face à un même incident, une organisation pourrait devoir agir selon les obligations prévues au Règlement, de même que celles édictées par la Loi sur le secteur privé.
  • Les organisations assujetties doivent mettre en place une politique de gestion des incidents de sécurité de l’information comportant notamment des procédures et mécanismes qui permettent de détecter, d’évaluer et de répondre aux incidents. 
  • Les organisations visées par le Règlement doivent également tenir un registre des incidents de sécurité de l’information, lequel doit contenir la date et l’heure de l’incident, sa localisation, sa nature, une description détaillée de l’incident, les préjudices que celui-ci a causés, les tiers concernés par l’incident, les actions prises par l’organisation, les raisons menant à l’acceptation ou non du risque, les actions prévues et la date de clôture de l’incident. 
  • Notons que face à un incident de sécurité de l’information tel que défini dans le Règlement, les avis à rendre à l’AMF sont plus nombreux que ceux à transmettre à la Commission d’accès à l’information en vertu de la Loi sur le secteur privé en cas d’incident de confidentialité. En effet, en plus de la déclaration de l’incident de sécurité de l’information, le Règlement prévoit également l’envoi de mises à jour à l’AMF, puis la transmission d’un rapport final. 
  • Les organisations assujetties devraient s’assurer que les contrats avec leurs fournisseurs de services, notamment ceux qui hébergent leurs systèmes d’information pour leur compte, contiennent une clause imposant au fournisseur de leur signaler tout « incident de sécurité de l’information » qui impacteraient leurs informations. Autrement dit, l’obligation contractuelle de notification imposée aux fournisseurs de services auprès des organisations co-contractantes devrait viser tant les incidents de confidentialité au sens de la Loi sur le secteur privé que les « incidents de sécurité de l’information » au sens du Règlement. 

Pour toute question ou tout conseil sur la mise en place de ces pratiques, n’hésitez pas à contacter l’équipe Protection des données, vie privée et cybersécurité de BCF.