Alerte transfrontalière : Une poursuite intentée par la SEC fait ressortir le besoin de mesures proactives en vue de régler les questions de cybersecurité

Le 22 septembre 2015, la Securities and Exchange Commission des États-Unis (SEC) a annoncé qu’une société de services-conseils en placement avait accepté de régler des allégations selon lesquelles elle n’avait pas adopté de politiques et procédures écrites en matière de cybersecurité raisonnablement conçues pour protéger les renseignements des clients.

Contexte

La mesure d’application de la SEC a été déclenchée par une attaque réalisée par un intrus inconnu sur le serveur Web de la société hébergé par un tiers; l’intrus a réussi à obtenir des droits d’accès et des droits d’auteur en lien avec des renseignements personnels de plus de 100 000 personnes, y compris les clients de la société.

Bien que la société ait donné un avis de la violation et offert des services gratuits de surveillance du vol d’identité à toutes les personnes touchées, qu’elle ait mis rapidement en place des mesures correctrices pour atténuer les risques de futures cybermenaces et que rien n’indique que des clients ont subi des dommages financiers découlant de l’attaque, la SEC a instauré des procédures administratives de cessation et d’abstention, alléguant que la société avait manqué à son obligation, pendant près de quatre ans, d’adopter des politiques et procédures écrites raisonnablement conçues pour protéger les renseignements personnels de ses clients comme l’exige la Safeguards Rule.

Ordonnance de la SEC

La Safeguards Rule prise en application du règlement intitulé Regulation S-P de la SEC exige à chaque conseiller en placement d’adopter des politiques et procédures écrites notamment pour se protéger contre des menaces ou des dangers anticipés visant la sécurité ou l’intégrité des dossiers et des renseignements des clients.

L’ordonnance de la SEC¹ fait valoir que la société a manqué à son obligation d’adopter des politiques et procédures écrites raisonnables en vue de protéger les renseignements des clients, notamment :

• en menant des évaluations des risques périodiques;
• en mettant en place un pare-feu en vue de protéger le serveur Web renfermant les renseignements personnels des clients;
• en chiffrant les renseignements personnels des clients stockés sur le serveur Web; et
• en établissant des procédures permettant de répondre à un incident en matière de cybersécurité.

La société n’a ni admis ni nié ces allégations, mais elle a accepté, entre autres, d’acquitter une sanction pécuniaire d’ordre civil d’un montant de 75 000 $ à la SEC.

À retenir

La mesure de la SEC démontre sa volonté :

• d’insister pour que la société adopte des politiques et procédures écrites qui [traduction] : « prévoient des événements potentiels en matière de cybersécurité et mettent en place des procédures claires plutôt que d’attendre qu’une violation ait lieu avant de réagir²»;
• de faire appliquer les exigences en matière de protection par les tiers qui hébergent des systèmes sur le Web; et
• de mettre en place des mesures d’application malgré une réponse appropriée aux violations et le manque de preuve d’un vol d’identité ou de dommages financiers pour les clients.

De plus, l’ordonnance de la SEC souligne l’attention grandissante que les autorités en valeurs mobilières accordent à la cybersécurité en lien avec l’intégrité du système financier, la protection des données personnelles des clients et la divulgation d’information importante.

Cette procédure d’application est la dernière, mais non la seule illustration de l’intérêt des autorités en valeurs mobilières canadiennes et américaines à l’égard de la cybersécurité. Par exemple :

• En octobre 2011, la Division of Corporation Finance de la SEC a publié des lignes directrices sur les obligations de divulgation existantes en lien avec les risques et les incidents en matière de cybersécurité pour aider les sociétés ouvertes à encadrer des divulgations relatives à des questions de cybersécurité³.
• L’avis 11-326 du personnel des Autorités canadiennes en valeurs mobilières (26 septembre 2013) relevait que « [l]es contrôles implantés par les émetteurs, les personnes inscrites et les entités réglementées pour favoriser la fiabilité de leurs activités et la protection des renseignements confidentiels passent impérativement par des mesures rigoureuses et personnalisées en matière de cybersécurité⁴».
• La Financial Industry Regulatory Authority (FINRA) et la Commodity Futures Trading Commission (CFTC) des États-Unis ont chacune publié leurs lignes directrices en matière de cybersécurité⁵.
• Le personnel de la SEC, de la FINRA, de la CFTC et de la Commission des valeurs mobilières de l’Ontario (CVMO) a commencé à inclure des questions propres à la cybersécurité dans leurs examens continus⁶.
• En juin 2015, à la suite d’une enquête menée par l'Équipe mixte de lutte contre les infractions graves de la CVMO⁷, des accusations criminelles et quasi criminelles ont été portées contre un ancien représentant commercial d’une société de placement pour le vol de renseignements personnels liés à des achats tirés des dossiers d’un tiers à des fins de prospection commerciale.On September 22, 2015, the US Securities and Exchange Commission (SEC) announced that an investment advisor firm had agreed to settle allegations that it failed to adopt written cybersecurity policies and procedures reasonably designed to safeguard customer information.

Notes

¹ http://www.sec.gov/litigation/admin/2015/ia-4204.pdf

² Marshall S. Sprung, co-chef de la Enforcement Division’s Asset Management Unit de la SEC, tel qu’il est cité dans le communiqué de la SEC intitulé SEC (22 septembre 2015) http://www.sec.gov/news/pressrelease/2015-202.html

³ http://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm

⁴ http://www.osc.gov.on.ca/en/SecuritiesLaw_csa_20130926_11-326_cyber-security.htm

⁵ Voir http://www.finra.org/industry/2015-cybersecurity-report et http://www.cftc.gov/idc/groups/public/@lrlettergeneral/documents/letter/14-21.pdf

⁶ Voir, par exemple, le bulletin du Office of Compliance Inspections and Examinations de la SEC, OCIE’s 2015 Cybersecurity Examination Initiative (15 septembre 2015) http://www.sec.gov/ocie/announcement/ocie-2015-cybersecurity-examination-initiative.pdf

⁷ https://www.osc.gov.on.ca/en/NewsEvents_nr_20150602_jsot-hospital-privacy-breach.htm