La Securities and Exchange Commission (SEC) exigera de certaines institutions financières qu’elles divulguent les failles de sécurité dans les 30 jours suivant leur découverte.
Mercredi, la SEC a adopté des modifications au règlement SP, qui régit le traitement des informations personnelles des consommateurs. En vertu des modifications, les institutions doivent informer les personnes dont les informations personnelles ont été compromises « dès que possible, mais au plus tard 30 jours » après avoir eu connaissance d’un accès non autorisé au réseau ou de l’utilisation des données des clients. Les nouvelles exigences seront contraignantes pour les courtiers (y compris les portails de financement), les sociétés d’investissement, les conseillers en investissement enregistrés et les agents de transfert.
« Au cours des 24 dernières années, la nature, l’ampleur et l’impact des violations de données se sont considérablement transformés », a déclaré le président de la SEC, Gary Gensler. « Ces modifications du règlement SP apporteront des mises à jour critiques à une règle adoptée pour la première fois en 2000 et contribueront à protéger la confidentialité des données financières des clients. L’idée de base pour les entreprises couvertes est que si vous avez une violation, vous devez en informer . C’est bon pour les investisseurs.
Les notifications doivent détailler l’incident, quelles informations ont été compromises et comment les personnes concernées peuvent se protéger. Dans ce qui semble être une faille dans les exigences, les institutions couvertes ne sont pas tenues d’émettre d’avis si elles établissent que les informations personnelles n’ont pas été utilisées d’une manière qui entraînerait « un préjudice ou un inconvénient important » ou ne le seront probablement pas.
Les modifications obligeront les institutions couvertes à « élaborer, mettre en œuvre et maintenir des politiques et procédures écrites » qui sont « raisonnablement conçues pour détecter, répondre et récupérer en cas d’accès ou d’utilisation non autorisés des informations sur les clients ». Les amendements également :
• Élargir et aligner les garanties et les règles d’élimination pour couvrir à la fois les informations personnelles non publiques qu’une institution couverte collecte sur ses propres clients et les informations personnelles non publiques qu’elle reçoit d’une autre institution financière sur les clients de cette institution financière ;
• Exiger des institutions couvertes, autres que les portails de financement, qu’elles établissent et conservent des documents écrits documentant le respect des exigences de la règle de sauvegarde et de la règle de cession ;
• Conformer les dispositions annuelles de notification de confidentialité du Règlement S-P aux termes d’une exception ajoutée par la loi FAST, qui prévoit que les institutions couvertes ne sont pas tenues de fournir une notification de confidentialité annuelle si certaines conditions sont remplies ; et
• Étendre à la fois la règle de sauvegarde et la règle de cession aux agents de transfert enregistrés auprès de la Commission ou d’une autre agence de régulation appropriée.
Les exigences élargissent également la portée des informations personnelles non publiques couvertes au-delà de ce que l’entreprise elle-même collecte. Les nouvelles règles couvriront également les renseignements personnels que l’entreprise a reçus d’une autre institution financière.
Le commissaire de la SEC, Hester M. Peirce, a exprimé sa préoccupation quant au fait que les nouvelles exigences pourraient aller trop loin.
« La modernisation actuelle de la réglementation SP aidera les institutions couvertes à donner la priorité de manière appropriée à la protection des informations sur les clients », a-t-elle écrit https://www.sec.gov/news/statement/peirce-statement-reg-sp-051624. « Les clients seront informés rapidement lorsque leurs informations ont été compromises afin qu’ils puissent prendre des mesures pour se protéger, comme changer leurs mots de passe ou surveiller de plus près leurs cotes de crédit. Mes réserves proviennent de l’étendue de la règle et de la probabilité qu’elle engendre davantage. avis aux consommateurs qui sont utiles.
Le règlement SP n’a pas été substantiellement mis à jour depuis son adoption en 2000.
L’année dernière, la SEC a adopté de nouvelles réglementations obligeant les sociétés cotées en bourse à divulguer les failles de sécurité qui affectent de manière significative ou sont raisonnablement susceptibles d’affecter de manière significative leurs activités, leur stratégie ou leurs résultats ou conditions financiers.
Les modifications entrent en vigueur 60 jours après leur publication au Federal Register, le journal officiel du gouvernement fédéral qui publie les règlements, avis, ordonnances et autres documents. Les grandes organisations auront 18 mois pour se conformer après la publication des modifications. Les petites organisations disposeront de 24 mois.
Les commentaires publics sur les modifications sont disponibles ici.