Les producteurs résidents du Wisconsin doivent soumettre une certification annuelle en matière de cybersécurité avant le 1er mars 2023.

La sécurité des données informatiques est un sujet brûlant dans le secteur des assurances depuis quelques années, en particulier le développement de programmes de sécurité informatique (« ISP ») par les assureurs, les producteurs et autres titulaires de licences d'assurance. New York a été le premier État à adopter des exigences en matière de sécurité des données d'assurance en 2017. Depuis lors, 21 États, dont le Wisconsin, ont adopté une forme ou une autre de loi sur la sécurité des données d'assurance, qui reflète généralement la loi type sur la sécurité des données d'assurance de la National Association of Insurance Commissioners (la « loi type »), également promulguée en 2017. En outre, au moins deux autres juridictions ont des lois sur la sécurité des données d'assurance en cours d'adoption en novembre 2022 (la Pennsylvanie et le district de Columbia).

L'une des principales exigences des réglementations de New York et de la loi type est que les titulaires de licence (généralement définis comme toutes les personnes titulaires d'une licence ou tenues d'être titulaires d'une licence en vertu des lois sur les assurances de l'État concerné et domiciliées dans cet État) doivent créer et mettre en œuvre un ISP. En vertu de la loi type, les ISP sont tenus de :

(1) Protéger la sécurité et la confidentialité des informations non publiques ainsi que la sécurité du système d'information ;

(2) Protéger contre toute menace ou tout danger pesant sur la sécurité ou l'intégrité des informations non publiques et du système d'information ;

(3) Protéger contre tout accès ou utilisation non autorisés des informations non publiques, et minimiser le risque de préjudice pour tout consommateur ; et

(4) Définir et réévaluer périodiquement un calendrier de conservation des informations non publiques et un mécanisme pour leur destruction lorsqu'elles ne sont plus nécessaires.

Section 4(B) de la loi type. Les titulaires de licence doivent concevoir leurs ISP en fonction de la taille, de la complexité, de la nature et de la portée de leurs activités d'assurance. Section 4(A) de la loi type.

Une particularité de New York est que toute personne titulaire d'une licence en vertu de la loi sur les assurances de New York est tenue de certifier chaque année qu'elle se conforme aux exigences ISP de New York. 23 NYCRR 500.17(b). La loi type, en revanche, exige uniquement que les assureurs certifient leur conformité ISP auprès de l'autorité de réglementation des assurances de leur État d'origine. En vertu de la loi type, les autres titulaires de licence, tels que les producteurs, ne sont pas tenus de fournir une certification officielle. Loi type, section 4(I).

Le Wisconsin a récemment promulgué la loi Wisconsin Act 73 de 2021, qui adopte une approche intermédiaire en matière de certification des FAI. Plus précisément, l'article 601.952(8) du Wisconsin Statute exige que tout titulaire de licence domicilié dans le Wisconsin soumette chaque année, avant le 1er mars, une attestation de conformité FAI. Le Wisconsin a adopté la définition des titulaires de licence mentionnée ci-dessus dans la loi type, qui inclut toute personne titulaire d'une licence ou tenue d'être titulaire d'une licence en vertu du code des assurances du Wisconsin et domiciliée dans cet État (y compris les assureurs, les producteurs, etc.). Wis. Stat. § 601.95(7). Le Wisconsin est le premier État, après New York, à exiger des titulaires de licence non assureurs qu'ils certifient leur conformité à l'ISP.

The Wisconsin Office of the Commissioner of Insurance (OCI) has provided some guidance regarding the annual ISP certification on their website. OCI’s website clarifies that: (1) insurers will complete their certification as part of the insurer’s annual financial submissions; (2) intermediary firms (i.e., business entity producers) must submit the certification form online</a>; and (3) individual producers are not required to submit a certification form based on the presumption that individuals meet the “fewer than 50 employees” exemption under Wis. Stat. § 601.952(9)(a)(3).

Les sociétés intermédiaires domiciliées dans le Wisconsin peuvent être exemptées de la certification annuelle en matière de cybersécurité si elles répondent à l'un des critères suivants : (1) elles ont un actif total inférieur à 10 millions de dollars à la fin de l'exercice ; (2) elles ont un chiffre d'affaires annuel brut inférieur à 5 millions de dollars ; ou (3) elles comptent moins de 50 employés (y compris les entrepreneurs indépendants) qui travaillent au moins 30 heures par semaine pour le titulaire de la licence. Wis. Stat. § 601.952(9)(a). Les sociétés intermédiaires domiciliées dans le Wisconsin peuvent également être exemptées des exigences de certification et, de manière générale, des lois du Wisconsin sur la sécurité des données d'assurance, si elles disposent d'un ISP conforme aux exigences de la FINRA, de la Farm Credit Administration ou de la HIPAA. Wis. Stat. § 601.951(2).

Cependant, toutes les sociétés intermédiaires exemptées sont toujours tenues d'obtenir la certification en matière de cybersécurité décrite ci-dessus avant le 1er mars 2023. Selon l'OCI, la société pourra demander la ou les exemptions applicables à son activité lorsqu'elle soumettra le formulaire en ligne. L'OCI n'a pas encore décidé si elle exigera de ces sociétés exemptées qu'elles certifient chaque année leur exemption.

En conséquence, les sociétés intermédiaires domiciliées dans le Wisconsin sont invitées à consulter un conseiller en matière de réglementation afin d'examiner les besoins particuliers de la société en matière de FAI et les exigences de certification connexes.