L'enjeu de la cybersécurité est sur toutes les lèvres à l'aube de cette nouvelle décennie. Les cyberattaques deviennent plus fréquentes, complexes et coûteuses pour les organisations. Dans cette foulée, la protection des renseignements personnels, quant à elle, devrait être revigorée au cours des prochains mois suite au dépôt imminent du projet de loi visant à réformer le cadre législatif actuellement en place tant au niveau fédéral qu'au Québec.
En sus des modifications aux lois visant à encadrer la divulgation obligatoire des fuites de renseignements personnels et des incidents de cybersécurité, nous assistons en parallèle à des efforts d'autorégulation dans plusieurs secteurs d'activité. L'adoption de normes informelles, considérées par plusieurs comme avantageuses en raison de leur souplesse, de leur facilité d'adoption et donc, de leur adaptation aux changements technologiques en constante mouvance, présente toutefois des défis pour les organisations qui doivent avoir l'heure juste en ce qui a trait à leurs obligations en cas d'incidents. En effet, il n'y a pas nécessairement adéquation entre ces normes d'autorégulation émanant de l'appareil non étatique et les exigences législatives en place, d'où l'intérêt pour organisations d'être bien renseignées.
Les nouvelles normes visant les courtiers et sociétés de placement membres de l'OCRCVM
Après avoir fait de la cybersécurité une priorité dans leur plan d'affaires 2016-2019(PDF), les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont approuvé le 14 novembre 2019 certains amendements aux règles 3100 et 3703 des Règles des Courtiers Membres (les « RCM »)(PDF) de l'Organisme canadien de réglementation du commerce des valeurs mobilières (l'« OCRCVM »). Ces amendements, entrés en vigueur la même date, imposent notamment à tous les courtiers et sociétés de placement réglementés par l'OCRCVM (les « courtiers membres ») l'obligation de lui signaler les « incidents de cybersécurité » qu'ils subissent.
L'OCRCVM est un organisme national d'autorégulation à but non lucratif ayant comme fonction principale la surveillance de l'ensemble des courtiers et sociétés en placement ainsi que des activités de négociation sur les marchés des titres de capitaux propres et les marchés des titres de créance au Canada. L'ACVM administre l'OCRCVM et chapeaute notamment l'Autorité des marchés financiers (l'« AMF »), chien de garde des marchés financiers au Québec.
Attention : tant le spectre des circonstances déclenchant l'obligation de signalement que les formalités à accomplir pour se conformer aux RCM diffèrent considérablement de ce qu'édicte la Loi sur les renseignements personnels et les documents électroniques[1]. Il est donc primordial pour les courtiers membres de se préparer à réagir conformément à ces nouvelles exigences qui viennent s'ajouter à celles déjà en place.
(a) Circonstances et notion d'« incident de cybersécurité » déclenchant l'obligation de signalement à l'OCRCVM
Le texte amendé des RCM définit la notion d'« incident de cybersécurité » comme englobant « tout acte visant à obtenir un accès non autorisé au système informatique ou à l'information qui y est stockée d'un courtier membre, à désorganiser ce système informatique ou cette information ou à en faire mauvais usage »[2], lequel doit, ou être raisonnablement susceptible de :
- causer un préjudice grave à une personne;
- avoir d'importantes répercussions sur une partie des activités normales du courtier membre;
- déclencher un plan de continuité des activités ou le plan de reprise post-incident du courtier membre; ou
- obliger le courtier membre concerné, conformément aux lois applicables, à en aviser un organisme gouvernemental, une autorité en valeurs mobilières ou un autre organisme d'autorégulation.
(b) Exigences relatives au signalement à l'OCRCVM
Un courtier membre ayant subi un « incident de cybersécurité », tel que cette notion est circonscrite dans les RCM, doit initialement déclarer celui-ci par écrit à l'OCRCVM, dans les trois jours suivant la découverte de cet incident, indiquant minimalement :
- une description de l'incident de cybersécurité;
- la date à laquelle, ou la période durant laquelle, l'incident de cybersécurité s'est produit et la date à laquelle il a été découvert;
- une évaluation préliminaire de l'incident de cybersécurité, notamment le préjudice qu'il risque de causer à une personne et/ou les répercussions qu'il risque d'avoir sur les activités du courtier membre concerné;
- la description des mesures d'intervention immédiate que le courtier membre a prises pour réduire le risque de préjudice auquel s'exposent les personnes et les répercussions sur ses activités; et
- le nom et les coordonnées d'une personne physique chargée de répondre, au nom du courtier membre, aux questions de suivi de la Société au sujet de l'incident de cybersécurité.
Le courtier membre victime de l'incident de cybersécurité doit par la suite, dans un délai de 30 jours suivant la découverte de cet incident, transmettre un rapport d'enquête écrit sur les évènements. Toutefois, si le courtier membre conclut qu'aucun incident de cybersécurité n'a eu lieu au sens de la définition qui lui est donnée dans les RCM, et malgré la transmission d'un rapport initial, il ne lui est pas nécessaire de préparer ledit rapport d'enquête. De plus, les courtiers membres concernés peuvent demander plus de temps pour soumettre le rapport d'enquête en avisant l'OCRCVM. Ce dernier reconnaît que, selon la gravité et la complexité d'un incident, une enquête peut se prolonger bien au-delà du délai de 30 jours. Lorsque le rapport d'enquête est nécessaire, celui-ci doit préciser les renseignements suivants :
- la description de la cause de l'incident de cybersécurité;
- une évaluation de l'étendue de l'incident de cybersécurité, notamment le nombre de personnes ayant subi un préjudice et les répercussions sur les activités du courtier membre;
- la description détaillée des mesures que le courtier membre a prises pour réduire le risque de préjudice auquel s'exposent les personnes et les répercussions sur ses activités;
- la description détaillée des mesures que le courtier membre a prises pour réparer les préjudices subis par des personnes; et
- les dispositions que le courtier membre a prises ou prendra pour améliorer son état de préparation et sa capacité de répondre à un incident de cybersécurité.
Analyse comparative : quelles règles s'appliquent?
Ces nouvelles obligations de signalement imposées par l'OCRCVM, quoiqu'elle s'en distingue notamment par sa mécanique en deux temps, s'ajoutent à une série d'autres mécanismes de signalement implantés au cours des deux dernières années par différentes autorités législatives, gouvernementales ou d'autorégulation, sans compter les nouvelles règles en ce sens qui devraient bientôt être imposées par l'AMF dans le domaine de l'assurance. Bien que ces divers mécanismes aient des champs d'application différents et ne visent pas nécessairement les mêmes objectifs (protection du droit à la vie privée, intégrité et sécurité des marchés financiers, etc.), ceci n'empêche pas l'éventuel déclenchement de plusieurs d'entre eux en juxtaposition, et ce pour une même situation donnée.
Nous assistons donc à l'élaboration d'une mosaïque composée de divers mécanismes obligatoires de signalement, aux champs d'application variés et comprenant des exigences différentes quant à la forme et au contenu des avis à transmettre. Le sommaire comparatif ci-dessous met en parallèle cinq d'entre eux, auxquels peuvent être assujetties des organisations canadiennes.
|
|
OCRCVM - Règles des Courtiers Membres |
BSIF - Préavis concernant le Signalement des incidents liés à la technologie et à la cybersécurité |
Loi sur les renseignements personnels et les documents électroniques, LC 2000, c. 5 |
Personal Information Protection Act (Alberta), SA 2003, c P-6.5 |
Règlement général sur la protection des données (UE 2016/679) |
|
Date de prise d'effet |
14 novembre 2019 |
31 mars 2019 |
1er novembre 2018 |
26 novembre 2009 |
25 mai 2018 |
|
Organisations assujetties au Canada |
Tous les courtiers et sociétés de placement réglementés par l'OCRCVM. |
Toutes les institutions financières fédérales (les « IFF »), y compris les banques, les sociétés de fiducie sous réglementation fédérale et les compagnies d'assurance. |
Toutes les organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre de ses activités commerciales, à l'exclusion des institutions fédérales sujettes à la Loi sur la protection des renseignements personnels (LRC 1985, c P-21). |
Toutes les organisations et entreprises du secteur privé sous réglementation provinciale opérant dans la juridiction de la province de l'Alberta et, dans certains cas, aux organismes sans but lucratif qui s'y trouvent. |
Application extraterritoriale à toute organisation effectuant tout traitement de données à caractère personnel relativement à (a) l'offre de bien ou services à des personnes concernées dans l'Union européenne (l'« UE »); (b) au suivi du comportement de personnes si ce comportement a lieu au sein de l'UE. |
|
Nature et définition de l'information protégée |
Toute information stockée dans un système informatique d'un courtier membre. |
Aucune définition. |
Les « renseignements personnels », soit tout renseignement concernant un individu identifiable, quel que soit le support ou le format. |
Les « renseignements personnels », soit tout renseignement concernant un individu identifiable, quel que soit le support ou le format. |
Les « données personnelles » ou « données à caractère personnel », soit toute information se rapportant à une personne physique identifiée ou identifiable, quel que soit le support ou le format. |
|
Nature de l'incident déclencheur |
Tout « incident de cybersécurité », c'est-à-dire tout acte visant à obtenir un accès non autorisé au système informatique d'un courtier membre ou à l'information qui y est stockée, à désorganiser ce système informatique ou cette information ou à en faire mauvais usage. |
Tout incident lié à la technologie ou à la cybersécurité qui pourrait avoir des conséquences importantes sur les activités habituelles d'une IFF, y compris sur les plans de la confidentialité, de l'intégrité ou de la disponibilité de ses systèmes ou de ses renseignements, pour lesquels l'IFF concernée estime que le « niveau de gravité est élevé ou critique ». |
« [T]oute atteinte aux mesures de sécurité qui a trait à des renseignements personnels dont une organisation a la gestion. » |
Tout incident impliquant la perte, l'accès non autorisé ou la divulgation des renseignements personnels dont une organisation a le contrôle. |
Une violation de données à caractère personnel. |
|
Critères additionnels de signalement |
· Préjudice grave à une personne; · Importantes répercussions sur une partie des activités normales du courtier de placement concerné; · Déclenchement d'un plan de continuité des activités ou le plan de reprise post-incident du courtier membre concerné; ou · Déclenchement de l'obligation pour le courtier membre concerné, conformément aux lois applicables, d'aviser un organisme gouvernemental, une autorité en valeurs mobilières ou un autre organisme d'autorégulation. |
· Impact opérationnel important sur les systèmes d'information ou les données clés/critiques; · Incidence importante sur les données opérationnelles ou sur les données des clients des IFF, y compris la confidentialité, l'intégrité ou la disponibilité de ces données; · Impact opérationnel important pour les utilisateurs internes, qui est important pour les clients ou les opérations commerciales; · Niveaux importants d'interruptions du système ou du service; · Perturbations prolongées des systèmes/opérations critiques de l'entreprise; · Le nombre de clients externes touchés est important ou en croissance; · L'impact négatif sur la réputation est imminent (p. ex. divulgation au public ou dans les médias); · Impact significatif sur les délais/obligations critiques dans les systèmes de règlement ou de paiement des marchés financiers; · Incidence importante pour une tierce partie jugée importante pour l'IFF; · Conséquences importantes pour les autres IFF ou le système financier canadien; ou · Un incident d'IFF a été signalé au Commissariat à la protection de la vie privée ou aux organismes de réglementation locaux ou étrangers; |
Lorsqu'il est raisonnable de croire que la violation engendrera un « risque réel de préjudice grave » aux personnes intéressées. Cette notion de préjudice grave est interprétée largement, comprenant un large éventail de situations telles que la lésion corporelle, l'humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d'identité, l'effet négatif sur le dossier de crédit, le dommage aux biens ou leur perte, et la perte de possibilités d'emploi ou d'occasions d'affaires ou d'activités professionnelles |
Avis au Commissaire : · lorsqu'une personne raisonnable estimerait qu'il existe un risque réel de préjudice important pour une personne en raison de cet incident. Avis aux individus concernés : · lorsque le critère ci-dessus est rencontré et que le Commissaire, une fois notifié, le requiert. |
Avis à l'autorité de contrôle compétente : · lorsque l'atteinte est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Avis aux individus concernés : · qu'en présence d'un « risque élevé aux droits et libertés » de cet individu. |
|
Organisme responsable devant être notifié |
Organisme canadien de réglementation du commerce des valeurs mobilières |
Bureau du surintendant des institutions financières (le « BSIF ») |
Commissariat à la protection de la vie privée du Canada |
Commissaire à l'information et à la protection de la vie privée de l'Alberta (le « Commissaire ») |
Autorité de contrôle propre à chaque État membre (CNIL, ICO, etc.) |
|
Délai de signalement |
Dans les trois jours civils suivant la découverte de l'incident. |
Le plus rapidement possible, et au plus tard 72 heures suivant la détermination que l'incident doit être signalé. |
« [L]e plus tôt possible » après que l'organisation ait conclu à l'atteinte. |
« [S]ans délai raisonnable ». |
Avis à l'autorité de contrôle compétente : · « [D]ans les meilleurs délais » et si possible, au plus tard 72 heures après que le responsable de traitement ait pris connaissance de la violation. Lorsque la notification n'a pas lieu dans les 72 heures, elle doit être accompagnée des motifs du retard. Avis aux individus concernés : · « [D]ans les meilleurs délais ».
|
|
Autres particularités |
Signalement en deux temps. Le courtier membre victime de l'incident de cybersécurité doit, en outre, dans un délai de 30 jours civils suivant la découverte de cet incident, transmettre un rapport d'enquête écrit sur les évènements. |
Le BSIF s'attend à ce que les IFF fournissent régulièrement des mises à jour subséquentes (p. ex. quotidiennement) à mesure que de nouveaux renseignements deviennent disponibles et jusqu'à ce que tous les détails pertinents sur l'incident aient été fournis au BSIF. Le BSIF peut demander à une IFF de modifier la méthode et la fréquence des mises à jour. |
Les organisations qui découvrent une atteinte aux mesures de sécurité doivent tenir et conserver un registre de toutes les atteintes ainsi découvertes, et ce, qu'elles concluent à l'issue de leur analyse situation que cette atteinte pose ou non un « risque réel de préjudice grave ». |
|
Le responsable du traitement doit documenter toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article. |
[1] L.C. 2000, ch. 5.
[2] RCM, règle 3100, para. I B. 1.1
