Your title goes here - Norton Rose Fulbright

Actualité juridique
Alerte transfrontalière : Une poursuite intentée par la SEC fait
ressortir le besoin de mesures proactives en vue de régler les
questions de cybersecurité
Septembre 2015
Financement des sociétés et valeurs mobilières
Institutions financières
Protection de la vie privée et accès à l’information
Le 22 septembre 2015, la Securities and Exchange Commission des États-Unis (SEC) a annoncé qu’une société de
services-conseils en placement avait accepté de régler des allégations selon lesquelles elle n’avait pas adopté de
politiques et procédures écrites en matière de cybersecurité raisonnablement conçues pour protéger les
renseignements des clients.
Contexte
La mesure d’application de la SEC a été déclenchée par une attaque réalisée par un intrus inconnu sur le serveur Web
de la société hébergé par un tiers; l’intrus a réussi à obtenir des droits d’accès et des droits d’auteur en lien avec des
renseignements personnels de plus de 100 000 personnes, y compris les clients de la société.
Bien que la société ait donné un avis de la violation et offert des services gratuits de surveillance du vol d’identité à
toutes les personnes touchées, qu’elle ait mis rapidement en place des mesures correctrices pour atténuer les risques
de futures cybermenaces et que rien n’indique que des clients ont subi des dommages financiers découlant de
l’attaque, la SEC a instauré des procédures administratives de cessation et d’abstention, alléguant que la société avait
manqué à son obligation, pendant près de quatre ans, d’adopter des politiques et procédures écrites raisonnablement
conçues pour protéger les renseignements personnels de ses clients comme l’exige la Safeguards Rule.
Ordonnance de la SEC
La Safeguards Rule prise en application du règlement intitulé Regulation S-P de la SEC exige à chaque conseiller en
placement d’adopter des politiques et procédures écrites notamment pour se protéger contre des menaces ou des
dangers anticipés visant la sécurité ou l’intégrité des dossiers et des renseignements des clients.
1
L’ordonnance de la SEC fait valoir que la société a manqué à son obligation d’adopter des politiques et procédures
écrites raisonnables en vue de protéger les renseignements des clients, notamment :
•
en menant des évaluations des risques périodiques;
•
en mettant en place un pare-feu en vue de protéger le serveur Web renfermant les renseignements personnels
des clients;
PAGE 2
•
en chiffrant les renseignements personnels des clients stockés sur le serveur Web; et
•
en établissant des procédures permettant de répondre à un incident en matière de cybersécurité.
La société n’a ni admis ni nié ces allégations, mais elle a accepté, entre autres, d’acquitter une sanction pécuniaire
d’ordre civil d’un montant de 75 000 $ à la SEC.
À retenir
La mesure de la SEC démontre sa volonté :
•
d’insister pour que la société adopte des politiques et procédures écrites qui [traduction] : « prévoient des
événements potentiels en matière de cybersécurité et mettent en place des procédures claires plutôt que
2
d’attendre qu’une violation ait lieu avant de réagir »;
•
de faire appliquer les exigences en matière de protection par les tiers qui hébergent des systèmes sur le Web;
et
•
de mettre en place des mesures d’application malgré une réponse appropriée aux violations et le manque de
preuve d’un vol d’identité ou de dommages financiers pour les clients.
De plus, l’ordonnance de la SEC souligne l’attention grandissante que les autorités en valeurs mobilières accordent à
la cybersécurité en lien avec l’intégrité du système financier, la protection des données personnelles des clients et la
divulgation d’information importante.
Cette procédure d’application est la dernière, mais non la seule illustration de l’intérêt des autorités en valeurs
mobilières canadiennes et américaines à l’égard de la cybersécurité. Par exemple :
•
En octobre 2011, la Division of Corporation Finance de la SEC a publié des lignes directrices sur les
obligations de divulgation existantes en lien avec les risques et les incidents en matière de cybersécurité pour
3
aider les sociétés ouvertes à encadrer des divulgations relatives à des questions de cybersécurité .
•
L’avis 11-326 du personnel des Autorités canadiennes en valeurs mobilières (26 septembre 2013) relevait que
« [l]es contrôles implantés par les émetteurs, les personnes inscrites et les entités réglementées pour favoriser
la fiabilité de leurs activités et la protection des renseignements confidentiels passent impérativement par des
4
mesures rigoureuses et personnalisées en matière de cybersécurité ».
•
La Financial Industry Regulatory Authority (FINRA) et la Commodity Futures Trading Commission (CFTC) des
5
États-Unis ont chacune publié leurs lignes directrices en matière de cybersécurité .
•
Le personnel de la SEC, de la FINRA, de la CFTC et de la Commission des valeurs mobilières de l’Ontario
6
(CVMO) a commencé à inclure des questions propres à la cybersécurité dans leurs examens continus .
•
En juin 2015, à la suite d’une enquête menée par l'Équipe mixte de lutte contre les infractions graves de la
7
CVMO , des accusations criminelles et quasi criminelles ont été portées contre un ancien représentant
commercial d’une société de placement pour le vol de renseignements personnels liés à des achats tirés des
dossiers d’un tiers à des fins de prospection commerciale.
Stephen Mark Dollar
Linda Fuerst
Boris Segalis
Steve J. Tenai
PAGE 3
Notes
1
http://www.sec.gov/litigation/admin/2015/ia-4204.pdf
2
Marshall S. Sprung, co-chef de la Enforcement Division’s Asset Management Unit de la SEC, tel qu’il est cité dans le communiqué de
la SEC intitulé SEC Charges investment Advisor With Failing to Adopt Proper Cybersecurity Policies and Procedures Prior to Breach
(22 septembre 2015) http://www.sec.gov/news/pressrelease/2015-202.html
3
http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm
4
http://www.osc.gov.on.ca/en/SecuritiesLaw_csa_20130926_11-326_cyber-security.htm
5
Voir http://www.finra.org/industry/2015-cybersecurity-report et
http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf
6
Voir, par exemple, le bulletin du Office of Compliance Inspections and Examinations de la SEC, OCIE’s 2015 Cybersecurity
Examination Initiative (15 septembre 2015) http://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf
7
https://www.osc.gov.on.ca/fr/NewsEvents_nr_20150602_jsot-hospital-privacy-breach.htm
Pour plus de renseignements sur le sujet abordé dans ce bulletin, veuillez communiquer avec l’un des avocats mentionnés ci-dessous :
> Linda Fuerst
Toronto
+1 416.216.2951
[email protected]
> Steve J. Tenai
Toronto
+1 416.216.4023
[email protected]
> Stephen Mark Dollar
New York
+1 212 318 3211
[email protected]
> Boris Segalis
New York
+1 212 318 3105
[email protected]
Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l., Norton Rose Fulbright LLP, Norton Rose Fulbright Australia, Norton Rose Fulbright South Africa Inc. et Norton Rose Fulbright US LLP sont des
entités juridiques distinctes, et toutes sont membres du Verein Norton Rose Fulbright, un Verein suisse. Le Verein Norton Rose Fulbright aide à coordonner les activités des membres, mais il ne
fournit aucun service juridique aux clients.
Les mentions de « Norton Rose Fulbright », du « cabinet », du « cabinet d’avocats » et de la « pratique juridique » renvoient à un ou à plusieurs membres de Norton Rose Fulbright ou à une de leurs
sociétés affiliées respectives (collectivement, « entité/entités Norton Rose Fulbright »). Aucune personne qui est un membre, un associé, un actionnaire, un administrateur, un employé ou un
consultant d’une entité Norton Rose Fulbright (que cette personne soit décrite ou non comme un « associé ») n’accepte ni n’assume de responsabilité ni n’a d’obligation envers qui que ce soit
relativement à cette communication. Toute mention d’un associé ou d’un administrateur comprend un membre, un employé ou un consultant ayant un statut et des qualifications équivalents de
l’entité Norton Rose Fulbright pertinente.
Cette communication est un instrument d’information et de vulgarisation juridiques. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis
juridique de toute entité Norton Rose Fulbright sur les points de droit qui y sont discutés. Vous devez obtenir des conseils juridiques particuliers sur tout point précis vous concernant. Pour tout
conseil ou pour de plus amples renseignements, veuillez vous adresser à votre responsable habituel au sein de Norton Rose Fulbright.
© Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l. 2015