Nouvelles obligations de signalement des incidents de sécurité pour certaines institutions financières au Québec

Le 23 octobre 2024, l’Autorité des marchés financiers (AMF) a publié le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le Règlement). Le Règlement, qui entre en vigueur le 23 avril 2025, impose à certaines institutions financières des obligations en matière de gestion et de signalement des incidents de sécurité de l’information et de tenue de registres.

Ce que vous devez savoir

• Champ d’application : Le Règlement s’applique à certaines institutions financières réglementées par les lois québécoises.
• Nouvelles obligations :
  
  • Les institutions doivent mettre en place une politique de gestion des incidents de sécurité de l’information et désigner une personne responsable de sa supervision.
  • Les institutions doivent signaler les incidents à l’AMF et aviser celle-ci de l’évolution de la situation jusqu’à ce que l’incident soit maîtrisé.
  • Les institutions doivent conserver les renseignements sur l’incident cinq ans après que celui-ci est maîtrisé.
• Sanctions administratives pécuniaires : Les institutions qui enfreignent le Règlement peuvent se voir imposer une sanction maximale de 2 500 dollars, selon la nature de la contravention.

Le Règlement

Le Règlement a été adopté après une période de consultation relativement au projet de règlement publié en décembre 2023. Il entre en vigueur le 23 avril 2025.

À qui le Règlement s’applique-t-il?

Le Règlement et les nouvelles obligations qu’il impose s’appliquent aux institutions financières suivantes qui sont déjà réglementées par les lois québécoises :

• les assureurs et les fédérations de sociétés mutuelles titulaires d’un permis en vertu de la Loi sur les assureurs;
• les institutions financières visées par la Loi sur les coopératives de services financiers;
• les institutions de dépôts autorisées en vertu de la Loi sur les institutions de dépôts et la protection des dépôts;
• les sociétés de fiducie autorisées en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne;
• les agents d’évaluation du crédit désignés en vertu de la Loi sur les agents d’évaluation du crédit.

Nouvelles obligations en vertu du Règlement

Le Règlement définit un « incident de sécurité de l’information » comme une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent. Le Règlement impose trois obligations principales :

• Politique de gestion des incidents de sécurité de l’information
  • Les institutions doivent mettre en place une politique comprenant des procédures de détection, d’évaluation et de gestion des incidents de sécurité.
  • La politique doit comprendre une procédure de signalement des incidents aux parties prenantes concernées, y compris les clients, les consommateurs et les tiers.
  • Les institutions doivent désigner une personne chargée de superviser la gestion et le signalement des incidents.
• Signalement à l’AMF
  • Les institutions doivent signaler à l’AMF (i) les incidents ayant un risque d’occasionner des répercussions négatives et (ii) les incidents signalés à d’autres organismes de réglementation ou organismes chargés de l’application de la loi dans les 24 heures suivant le moment auquel elles ont été informées de l’incident.
  • L’AMF publiera un formulaire de signalement et des instructions sur son site Web.
  • Les institutions doivent fournir à l’AMF des mises à jour tous les trois jours à compter de l’avis initial.
  • Les institutions doivent fournir à l’AMF un rapport final 30 jours après la résolution de l’incident, indiquant la source et le type d’incident, évaluant le risque de récurrence de l’incident et énonçant les moyens pris pour réduire la probabilité de récurrence.
• Tenue d’un registre
  • Les institutions doivent consigner des renseignements détaillés sur l’incident dans un registre et les conserver pendant au moins cinq ans à compter de la soumission du rapport final à l’AMF.

Sanctions administratives pécuniaires

Les institutions qui ne respectent pas les nouvelles obligations peuvent se voir imposer des sanctions administratives pécuniaires. Le montant de la sanction diffère selon la nature de la contravention et selon qu’elle a été commise par une personne physique ou morale.

Parmi les contraventions graves, citons l’absence d’une politique de gestion des incidents, le fait de ne pas tenir à jour un registre des incidents et le fait de ne pas conserver les renseignements sur l’incident pendant cinq ans. Ces contraventions sont passibles d’une amende pouvant aller jusqu’à 2500 dollars.

Préparation au Règlement

Les institutions visées par le Règlement disposent d’un peu de temps avant l’entrée en vigueur prévue pour avril 2025 pour adapter leurs politiques et mécanismes de signalement existants en ajoutant l’obligation de signalement à l’AMF à leurs obligations de signalement existantes, notamment auprès de la Commission d’accès à l’information en vertu du régime québécois de protection des renseignements personnels.

Les institutions doivent tenir compte des différences dans les normes de signalement prévues par les divers régimes réglementaires. De fait, le Règlement impose un lourd fardeau aux institutions, qui doivent signaler tout incident ayant un risque d’occasionner des répercussions négatives dans les 24 heures suivant le moment auquel elles en ont été informées. Les institutions devraient signaler tous les incidents et faire appel à un conseiller juridique en cas de doute.