Gestion des incidents de sécurité de l’information : un nouveau cadre réglementaire pour les institutions financières et les agents d’évaluation du crédit

Le 23 octobre 2024, le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement ») a été publié dans la Gazette officielle du Québec. Le Règlement entrera en vigueur dans six mois et vise à encadrer la gestion et le signalement des incidents de sécurité de l’information par les entités assujetties. En cas de non-conformité, le Règlement prévoit également des sanctions administratives.

Incident de sécurité de l’information

En vertu du Règlement, un incident de sécurité de l’information est « une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent ». Cette définition est distincte de la définition d’« incident de confidentialité » prévue à la Loi sur la protection des renseignements personnels dans le secteur privé (la « Loi sur le privé »), qui vise les incidents impliquant l’accès, l’utilisation et la communication non autorisée de renseignements personnels ainsi que la perte d’un renseignement personnel ou toute autre atteinte à la protection d’un tel renseignement. En effet, en vertu du Règlement, une panne de serveur serait considérée comme un incident de sécurité de l’information, mais pourrait ne pas être considérée comme un incident de confidentialité selon la Loi sur le privé.

Qui est concerné?

Le Règlement s’applique aux institutions financières suivantes (les « entités assujetties ») :

• Les assureurs autorisés en vertu de la Loi sur les assureurs et les fédérations de sociétés mutuelles visées par cette Loi;
• Les fédérations et caisses non-membres d’une fédération visées par la Loi sur les coopératives de services financiers;
• Les institutions de dépôts autorisées en vertu de la Loi sur les institutions de dépôts et la protection des dépôts;
• Les sociétés de fiducie autorisées en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne;
• Les agents d’évaluation du crédit désignés en vertu de la Loi sur les agents d’évaluation du crédit.

Obligations du nouveau Règlement

Pour se conformer au Règlement, les entités assujetties doivent respecter les obligations suivantes.

1. Établir et mettre en œuvre une politique de gestion des incidents de sécurité de l’information

• La politique doit inclure des procédures et des mécanismes pour détecter, évaluer et répondre aux incidents de sécurité pouvant survenir au sein de l’entité assujettie;
• La politique doit également s’appliquer aux tiers à qui une entité assujettie a confié l’exercice de toute partie d’une activité, dans la mesure où l’incident affecte l’activité qui lui a été confiée;
• La politique doit prévoir une procédure de signalement aux dirigeants ou aux gestionnaires de l’entité assujettie et autres parties prenantes. Les autres parties prenantes peuvent inclure :
• Les clients,
• Un tiers à qui l’entité assujettie a confié l’exercice de toute partie d’une activité,
• Les consommateurs,
• L’Autorité des marchés financiers (l’« AMF »), de même que les autres organismes de réglementation.

2. Désigner un responsable de la gestion des incidents

• Un dirigeant ou gestionnaire de l’entité assujettie doit être désigné par écrit pour surveiller la gestion et le signalement des incidents de sécurité de l’information.

3. Signaler l’incident de sécurité de l’information à l’AMF dans certaines situations

L’incident de sécurité de l’information présente un risque de répercussions négatives.

• Tout incident présentant un risque de répercussions négatives doit être notifié à l’AMF dans les 24 heures suivant le signalement au dirigeant ou au gestionnaire de l’entité assujettie. Le Règlement ne définit cependant pas ce qui peut constituer un risque de répercussions négatives.
• Il sera donc important pour les entités assujetties de prévoir les procédures et contrôles internes relativement aux incidents qui sont de nature à être signalés aux dirigeants ou aux gestionnaires et les modalités précises des signalements en question.

L’incident de sécurité de l’information a été signalé ou a fait l’objet d’un avis à certains organismes ou personnes.

• L’entité assujettie doit aviser l’AMF, dans les 24 heures suivant le signalement, de tout incident de sécurité de l’information qui a été signalé ou qui fait l’objet d’un avis à un organisme de réglementation, à une personne ou à un organisme qui, en vertu de la loi, est chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois, ou, contractuellement, est chargé de dédommager le préjudice qui aurait pu être causé par cet incident.

En cas d’incident de confidentialité présentant un risque de préjudice sérieux en vertu de la Loi sur le privé.

• En cas d’incident de confidentialité présentant un « risque de préjudice sérieux » suivant l’article 3.5 de la Loi sur le privé, l’entité assujettie doit aviser l’AMF en même temps de que la Commission d’accès à l’information.

4. Tenir l’AMF informée de l’évolution de l’incident de sécurité de l’information

• L’évolution de l’incident de sécurité de l’information doit être communiquée à l’AMF au plus tard tous les trois jours jusqu’à la transmission à l’AMF d’un avis confirmant que l’incident est maîtrisé et que les activités ont repris leur cours normal.

5. Transmettre un rapport sur l’incident à l’AMF

L’entité assujettie transmet à l’AMF un rapport dans un délai de 30 jours suivant la transmission à l’AMF de l’avis confirmant qu’un incident est maîtrisé et que les activités ont repris leur cours normal.

Le rapport doit notamment contenir les éléments suivants :

• L’identification de la source et du type d’incident;
• Une appréciation quant à la récurrence potentielle de l’incident;
• Les moyens pris pour réduire la probabilité que de nouveaux incidents de même nature ne se produisent.

6. Tenir un registre des incidents de sécurité de l’information

• L’entité assujettie doit tenir à jour un registre des incidents de sécurité de l’information. Ce registre doit inclure des détails sur chaque incident, tels que : la date, l’heure et la localisation de l’incident, la nature de l’incident, une description de l’incident, les préjudices engendrés, les tiers concernés, les actions prises, l’acceptation ou non du risque résiduel et les justificatifs afférents, les actions prévues et la date de clôture de l’incident.
• Les informations doivent être conservées de manière sécurisée et confidentielle pendant au moins cinq ans.

Sanctions administratives pécuniaires

Le Règlement prévoit des sanctions administratives en cas de non-respect de ces obligations. Les montants varient selon la nature de l’infraction et peuvent aller de 250 $ à 500 $ pour les personnes physiques et de 1 000 $ à 2 500 $ pour les entités assujetties.

Conclusion

L’adoption du Règlement implique un fardeau réglementaire additionnel pour les institutions financières assujetties. Ces obligations s’ajoutent en effet à celles d’autres lois, telle la Loi sur le privé, qui pourraient s’appliquer à une situation donnée, suivant des paramètres différents. Dans son Mémoire – Projet de Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit, le Bureau d’assurance du Canada soulignait, à juste titre, qu’« il est important de considérer que la multiplication des encadrements engendre des risques de dédoublement et complexifie la gestion des incidents pour les assujettis ». Ainsi, les entités assujetties devront revoir et adapter leurs politiques et processus applicables à la gestion d’incidents et porter une attention particulière aux situations qui pourraient donner lieu à un chevauchement réglementaire en cas d’incident de sécurité de l’information.

À propos des auteurs

Caroline Deschênes est associée chez Langlois. Elle s’occupe de litiges commerciaux et civils et possède une expertise particulière dans la protection des renseignements personnels, la cybersécurité et l’accès à l’information.

Sean Griffin est associé chez Langlois. Sa pratique porte sur les litiges complexes de haut niveau relevant du droit commercial, constitutionnel et administratif ainsi que du droit des sociétés et des valeurs mobilières.

Valérie Lemaire est aussi associée chez Langlois. Elle compte plus de 25 ans d’expérience en droit des assurances, en responsabilité et en conformité réglementaire. Elle représente et conseille des assureurs de dommages, des assureurs de personnes, des institutions financières, des cabinets en assurance, des professionnels de divers domaines, de même que des entrepreneurs.

Ilona Bois-Drivet est avocate chez Langlois. Elle dévoue sa pratique exclusivement aux domaines du droit des technologies, de la protection des renseignements personnels, de la gouvernance des données et des questions juridiques liées à l’intelligence artificielle.