Message de l’Autorité des marchés financiers
Incidents de sécurité de l'information : nouveau règlement
Paru le vendredi 25 octobre 2024 | Catégorie: Finances & Économie
(R.I.) L'Autorité des marchés financiers (l'« Autorité ») a publié le Règlement sur la gestion et le signalement des incidents de sécurité de l'information de certaines institutions financières et des agents d'évaluation du crédit (le « Règlement »). Les dispositions du Règlement entreront en vigueur le 23 avril 2025.
«L'adoption de ce règlement affirme notre volonté de veiller à ce que les entreprises visées disposent de pratiques de gestion et de signalement exemplaires en matière de sécurité de l'information», a déclaré Patrick Déry, surintendant des institutions financières.
«Un signalement rapide à l'Autorité permettra à celle-ci de veiller au bon fonctionnement du secteur et de continuer d'exercer son mandat de protection des consommateurs. De leur côté, les entreprises visées pourront gérer plus efficacement les incidents qui pourraient leur porter préjudice, nuire à leur réputation et mettre en péril leur solvabilité.»
Le Règlement s'appliquera aux entreprises suivantes :
-Les assureurs autorisés par la Loi sur les assureurs et une fédération de sociétés mutuelles visées par cette loi;
-Les fédérations et les caisses qui ne sont pas membres d'une fédération et qui sont visées par la Loi sur les coopératives de services financiers;
-Les institutions de dépôts autorisées en vertu de la Loi sur les institutions de dépôts et la protection des dépôts;
-Les sociétés de fiducie autorisées en vertu de la Loi sur les sociétés de fiducie et les sociétés d'épargne;
-Les agents d'évaluation du crédit désignés en vertu de la Loi sur les agents d'évaluation du crédit.
Le Règlement vise à imposer à ces entreprises des obligations à l'égard de la gestion et du signalement à l'Autorité de leurs incidents de sécurité de l'information. Plus spécifiquement, le Règlement prévoit :
-La mise en œuvre d'une politique de gestion des incidents de sécurité de l'information;
-Des obligations de signalement à l'Autorité;
-La tenue d'un registre des incidents et la conservation des renseignements;
-Des sanctions administratives pécuniaires en cas de contravention aux obligations prévues au Règlement.
Concernant les obligations de signalement, les entreprises visées devront aviser l'Autorité au plus tard 24 heures suivant le moment où la haute direction d'une entreprise visée a été informée d'un incident de sécurité de l'information. Elles devront aussi aviser régulièrement l'Autorité de l'évolution de la situation, puis lui fournir un rapport d'incident une fois l'incident maîtrisé.
L'Autorité mettra à la disposition des entreprises visées un formulaire de signalement ainsi qu'un guide d'accompagnement.
Le Règlement est accessible en ligne dans les sections réglementaires consacrées aux secteurs visés :
-Assurances et institutions de dépôts;
-Agents d'évaluation du crédit.
À propos de l'Autorité des marchés financiers
En tant que régulateur, l'Autorité des marchés financiers agit pour que le secteur financier demeure dynamique, intègre et digne de la confiance du public. Ses activités d'encadrement touchent, en tout ou en partie, les secteurs des assurances, des institutions de dépôts, des valeurs mobilières et instruments dérivés, de la distribution de produits et services financiers ainsi que du courtage hypothécaire et de l'évaluation du crédit.
-/-/-/-/-/-
(R.I.) : communiqué que nous avons repris intégralement