Your title goes here - Norton Rose Fulbright
Transcription
Your title goes here - Norton Rose Fulbright
Actualité juridique Alerte transfrontalière : Une poursuite intentée par la SEC fait ressortir le besoin de mesures proactives en vue de régler les questions de cybersecurité Septembre 2015 Financement des sociétés et valeurs mobilières Institutions financières Protection de la vie privée et accès à l’information Le 22 septembre 2015, la Securities and Exchange Commission des États-Unis (SEC) a annoncé qu’une société de services-conseils en placement avait accepté de régler des allégations selon lesquelles elle n’avait pas adopté de politiques et procédures écrites en matière de cybersecurité raisonnablement conçues pour protéger les renseignements des clients. Contexte La mesure d’application de la SEC a été déclenchée par une attaque réalisée par un intrus inconnu sur le serveur Web de la société hébergé par un tiers; l’intrus a réussi à obtenir des droits d’accès et des droits d’auteur en lien avec des renseignements personnels de plus de 100 000 personnes, y compris les clients de la société. Bien que la société ait donné un avis de la violation et offert des services gratuits de surveillance du vol d’identité à toutes les personnes touchées, qu’elle ait mis rapidement en place des mesures correctrices pour atténuer les risques de futures cybermenaces et que rien n’indique que des clients ont subi des dommages financiers découlant de l’attaque, la SEC a instauré des procédures administratives de cessation et d’abstention, alléguant que la société avait manqué à son obligation, pendant près de quatre ans, d’adopter des politiques et procédures écrites raisonnablement conçues pour protéger les renseignements personnels de ses clients comme l’exige la Safeguards Rule. Ordonnance de la SEC La Safeguards Rule prise en application du règlement intitulé Regulation S-P de la SEC exige à chaque conseiller en placement d’adopter des politiques et procédures écrites notamment pour se protéger contre des menaces ou des dangers anticipés visant la sécurité ou l’intégrité des dossiers et des renseignements des clients. 1 L’ordonnance de la SEC fait valoir que la société a manqué à son obligation d’adopter des politiques et procédures écrites raisonnables en vue de protéger les renseignements des clients, notamment : • en menant des évaluations des risques périodiques; • en mettant en place un pare-feu en vue de protéger le serveur Web renfermant les renseignements personnels des clients; PAGE 2 • en chiffrant les renseignements personnels des clients stockés sur le serveur Web; et • en établissant des procédures permettant de répondre à un incident en matière de cybersécurité. La société n’a ni admis ni nié ces allégations, mais elle a accepté, entre autres, d’acquitter une sanction pécuniaire d’ordre civil d’un montant de 75 000 $ à la SEC. À retenir La mesure de la SEC démontre sa volonté : • d’insister pour que la société adopte des politiques et procédures écrites qui [traduction] : « prévoient des événements potentiels en matière de cybersécurité et mettent en place des procédures claires plutôt que 2 d’attendre qu’une violation ait lieu avant de réagir »; • de faire appliquer les exigences en matière de protection par les tiers qui hébergent des systèmes sur le Web; et • de mettre en place des mesures d’application malgré une réponse appropriée aux violations et le manque de preuve d’un vol d’identité ou de dommages financiers pour les clients. De plus, l’ordonnance de la SEC souligne l’attention grandissante que les autorités en valeurs mobilières accordent à la cybersécurité en lien avec l’intégrité du système financier, la protection des données personnelles des clients et la divulgation d’information importante. Cette procédure d’application est la dernière, mais non la seule illustration de l’intérêt des autorités en valeurs mobilières canadiennes et américaines à l’égard de la cybersécurité. Par exemple : • En octobre 2011, la Division of Corporation Finance de la SEC a publié des lignes directrices sur les obligations de divulgation existantes en lien avec les risques et les incidents en matière de cybersécurité pour 3 aider les sociétés ouvertes à encadrer des divulgations relatives à des questions de cybersécurité . • L’avis 11-326 du personnel des Autorités canadiennes en valeurs mobilières (26 septembre 2013) relevait que « [l]es contrôles implantés par les émetteurs, les personnes inscrites et les entités réglementées pour favoriser la fiabilité de leurs activités et la protection des renseignements confidentiels passent impérativement par des 4 mesures rigoureuses et personnalisées en matière de cybersécurité ». • La Financial Industry Regulatory Authority (FINRA) et la Commodity Futures Trading Commission (CFTC) des 5 États-Unis ont chacune publié leurs lignes directrices en matière de cybersécurité . • Le personnel de la SEC, de la FINRA, de la CFTC et de la Commission des valeurs mobilières de l’Ontario 6 (CVMO) a commencé à inclure des questions propres à la cybersécurité dans leurs examens continus . • En juin 2015, à la suite d’une enquête menée par l'Équipe mixte de lutte contre les infractions graves de la 7 CVMO , des accusations criminelles et quasi criminelles ont été portées contre un ancien représentant commercial d’une société de placement pour le vol de renseignements personnels liés à des achats tirés des dossiers d’un tiers à des fins de prospection commerciale. Stephen Mark Dollar Linda Fuerst Boris Segalis Steve J. Tenai PAGE 3 Notes 1 http://www.sec.gov/litigation/admin/2015/ia-4204.pdf 2 Marshall S. Sprung, co-chef de la Enforcement Division’s Asset Management Unit de la SEC, tel qu’il est cité dans le communiqué de la SEC intitulé SEC Charges investment Advisor With Failing to Adopt Proper Cybersecurity Policies and Procedures Prior to Breach (22 septembre 2015) http://www.sec.gov/news/pressrelease/2015-202.html 3 http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm 4 http://www.osc.gov.on.ca/en/SecuritiesLaw_csa_20130926_11-326_cyber-security.htm 5 Voir http://www.finra.org/industry/2015-cybersecurity-report et http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf 6 Voir, par exemple, le bulletin du Office of Compliance Inspections and Examinations de la SEC, OCIE’s 2015 Cybersecurity Examination Initiative (15 septembre 2015) http://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf 7 https://www.osc.gov.on.ca/fr/NewsEvents_nr_20150602_jsot-hospital-privacy-breach.htm Pour plus de renseignements sur le sujet abordé dans ce bulletin, veuillez communiquer avec l’un des avocats mentionnés ci-dessous : > Linda Fuerst Toronto +1 416.216.2951 [email protected] > Steve J. Tenai Toronto +1 416.216.4023 [email protected] > Stephen Mark Dollar New York +1 212 318 3211 [email protected] > Boris Segalis New York +1 212 318 3105 [email protected] Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l., Norton Rose Fulbright LLP, Norton Rose Fulbright Australia, Norton Rose Fulbright South Africa Inc. et Norton Rose Fulbright US LLP sont des entités juridiques distinctes, et toutes sont membres du Verein Norton Rose Fulbright, un Verein suisse. Le Verein Norton Rose Fulbright aide à coordonner les activités des membres, mais il ne fournit aucun service juridique aux clients. Les mentions de « Norton Rose Fulbright », du « cabinet », du « cabinet d’avocats » et de la « pratique juridique » renvoient à un ou à plusieurs membres de Norton Rose Fulbright ou à une de leurs sociétés affiliées respectives (collectivement, « entité/entités Norton Rose Fulbright »). Aucune personne qui est un membre, un associé, un actionnaire, un administrateur, un employé ou un consultant d’une entité Norton Rose Fulbright (que cette personne soit décrite ou non comme un « associé ») n’accepte ni n’assume de responsabilité ni n’a d’obligation envers qui que ce soit relativement à cette communication. Toute mention d’un associé ou d’un administrateur comprend un membre, un employé ou un consultant ayant un statut et des qualifications équivalents de l’entité Norton Rose Fulbright pertinente. Cette communication est un instrument d’information et de vulgarisation juridiques. Son contenu ne saurait en aucune façon être interprété comme un exposé complet du droit ni comme un avis juridique de toute entité Norton Rose Fulbright sur les points de droit qui y sont discutés. Vous devez obtenir des conseils juridiques particuliers sur tout point précis vous concernant. Pour tout conseil ou pour de plus amples renseignements, veuillez vous adresser à votre responsable habituel au sein de Norton Rose Fulbright. © Norton Rose Fulbright Canada S.E.N.C.R.L., s.r.l. 2015