La Securities and Exchange Commission (SEC) a adopté des amendements au Règlement S-P qui obligent certaines institutions financières à divulguer les incidents de violation de données aux personnes touchées dans les 30 jours suivant leur découverte.

Le règlement S-P a été introduit en 2000 et contrôle la manière dont certaines entités financières doivent traiter les informations personnelles non publiques appartenant aux consommateurs. Ces règles comprennent l’élaboration et la mise en œuvre de politiques de protection des données, des garanties de confidentialité et de sécurité, et la protection contre les menaces anticipées.

Les nouvelles modifications adoptées plus tôt cette semaine ont une incidence sur les entreprises financières, telles que les courtiers (portails de financement inclus), les entreprises d’investissement, les conseillers en placement inscrits et les agents de transfert.

Les modifications ont été initialement proposées en mars de l’année dernière pour moderniser et améliorer la protection des informations financières individuelles contre les violations de données et l’exposition à des parties non affiliées.

Voici un résumé des changements introduits:

  • Informez les personnes concernées dans les 30 jours si leurs informations sensibles sont, ou sont susceptibles d’être, consultées ou utilisées sans autorisation, en détaillant l’incident, les données violées et les mesures de protection prises. L’exemption s’applique si l’information ne devrait pas causer de préjudice ou d’inconvénient substantiel aux personnes exposées.
  • Élaborer, mettre en œuvre et maintenir des politiques et procédures écrites pour un programme de réponse aux incidents afin de détecter, de réagir et de récupérer de l’accès ou de l’utilisation non autorisés des informations client. Cela devrait inclure des procédures pour évaluer et contenir les incidents de sécurité, appliquer les politiques et superviser les fournisseurs de services.
  • Élargir les mesures de protection et les règles d’élimination pour couvrir tous les renseignements personnels non publics, y compris ceux reçus d’autres institutions financières.
  • Exiger la documentation de la conformité avec les garanties et les règles d’élimination, à l’exclusion des portails de financement.
  • Aligner la livraison annuelle de l’avis de confidentialité sur la Loi EXPRES, en exemptant certaines conditions.
  • Étendre les garanties et les règles de cession aux agents de transfert enregistrés auprès de la SEC ou d’autres organismes de réglementation.

Les modifications représentent une mise à jour importante d’une règle initialement adoptée en 2000 qui ne pouvait plus protéger adéquatement la confidentialité des données financières des clients dans le paysage actuel de la cybersécurité.

« Au cours des 24 dernières années, la nature, l’ampleur et l’impact des violations de données se sont considérablement transformés », a déclaré Gary Gensler, président de la SEC.

« Ces amendements au Règlement S-P apporteront des mises à jour critiques à une règle adoptée pour la première fois en 2000 et contribueront à protéger la confidentialité des données financières des clients. »

« L’idée de base pour les entreprises couvertes est que si vous avez une violation, vous devez en informer. C’est bon pour les investisseurs. »

Les modifications entrent en vigueur 60 jours après leur publication dans le Federal Register, le journal officiel du gouvernement fédéral des États-Unis, y compris les règles des agences, les règles proposées et les avis publics.

Les grandes organisations ont une date de conformité de 18 mois après la publication des modifications dans le Federal Register. Pour les petites entités, la période s’étend à deux ans.

En décembre, la SEC a également introduit de nouvelles règles obligeant toutes les sociétés ouvertes à divulguer qu’elles ont subi une violation si elle a eu une incidence importante ou est raisonnablement susceptible d’avoir une incidence importante sur la stratégie commerciale, les résultats d’exploitation ou la situation financière.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *