SEC Tightens Cybersecurity Requirements with Regulation S-P Amendments

« L'idée de base pour les entreprises concernées est que si vous êtes victime d'une violation, vous devez le signaler. C'est une bonne chose pour les investisseurs. » Telles sont les remarques formulées par Gary Gensler, président de la Securities and Exchange Commission (SEC) américaine, lors de l'annonce des modifications apportées par la SEC au règlement S-P, qui régit le traitement des informations personnelles non publiques par certaines institutions financières. Pour les institutions concernées (généralement les courtiers, les sociétés d'investissement, les conseillers en investissement enregistrés et les agents de transfert), le règlement modifié introduit non seulement une obligation de signalement des violations de données, mais impose également des exigences supplémentaires en matière de cybersécurité. Nous résumons ci-dessous le règlement modifié et en présentons les principaux points à retenir.

Programme d'intervention en cas d'incident

La réglementation modifiée exige que chaque institution concernée élabore et mette en œuvre un programme de réponse aux incidents dans le cadre de ses politiques et procédures existantes. Ce programme doit être « raisonnablement conçu » pour détecter les incidents d'accès ou d'utilisation non autorisés des informations des clients, y répondre et y remédier.

Bien que la réglementation modifiée accorde aux institutions la flexibilité nécessaire pour adapter leurs politiques et procédures à leur profil opérationnel et à leur profil de risque, certains principes fondamentaux doivent faire partie intégrante de tout programme de réponse aux incidents :

Évaluation des incidents : Le programme doit inclure des politiques et des procédures permettant d'évaluer la nature et l'ampleur de l'incident. Cela implique d'identifier les systèmes d'information clients qui ont été compromis et les types d'informations clients qui ont pu être consultés ou utilisés sans autorisation.
Confinement et contrôle : dès qu'elles détectent un incident, les institutions doivent prendre les mesures appropriées pour confiner et contrôler la situation afin d'empêcher tout nouvel accès non autorisé ou toute nouvelle utilisation abusive des informations des clients. Cette étape est cruciale pour atténuer l'impact de la violation et se prémunir contre d'autres vulnérabilités.
Notification des personnes concernées : Le programme doit également décrire les procédures à suivre pour informer les personnes dont les informations confidentielles ont été ou sont susceptibles d'avoir été compromises. Ces notifications doivent être effectuées, sauf si l'établissement, après une enquête raisonnable, détermine que les informations confidentielles n'ont pas été et ne sont pas susceptibles d'être utilisées d'une manière qui pourrait causer un préjudice ou un désagrément important au client.

Obligation de notification

Le règlement modifié impose une obligation de notification en cas d'accès ou d'utilisation non autorisés d'« informations sensibles sur les clients », définies comme tout élément des données clients, seul ou combiné à d'autres informations, dont la compromission pourrait nuire considérablement ou causer des désagréments à la personne associée à ces informations.

En vertu du règlement modifié, les institutions concernées doivent mener une enquête raisonnable afin de déterminer la probabilité d'un préjudice résultant d'un incident potentiel de cybersécurité. Si une institution concernée conclut que les informations sensibles n'ont pas été et ne sont pas susceptibles d'être utilisées d'une manière qui pourrait causer un préjudice ou un désagrément important, l'obligation de notification peut être levée. Le caractère raisonnable d'une enquête sera déterminé en fonction des spécificités de la situation. Par exemple, une violation intentionnelle de la sécurité par un cybercriminel peut nécessiter une enquête plus approfondie qu'une divulgation involontaire de données par un employé.

Si l'institution concernée conclut qu'il y a eu compromission, elle doit en informer les personnes concernées dès que possible et au plus tard dans les 30 jours, sauf exceptions limitées. La notification doit fournir des détails sur la violation, y compris la nature de l'incident et les données spécifiques concernées. En outre, les notifications doivent guider les personnes concernées sur les mesures appropriées à prendre pour se protéger contre tout préjudice potentiel.

Surveillance des prestataires de services

La réglementation modifiée exige que le programme de réponse aux incidents d'une institution couverte comprenne des politiques et des procédures écrites raisonnablement conçues pour exiger la surveillance, notamment par le biais d'une diligence raisonnable et d'un contrôle, des prestataires de services. Un « prestataire de services » est « toute personne ou entité qui reçoit, conserve, traite ou est autrement autorisée à accéder aux informations des clients dans le cadre de la fourniture de services directement à une institution couverte ». Cette définition large pourrait inclure un large éventail d'entités, notamment les fournisseurs de messagerie électronique, les systèmes de gestion de la relation client, les applications cloud et d'autres fournisseurs de technologies.

Les politiques et procédures écrites d'une institution couverte doivent être raisonnablement conçues pour garantir que les prestataires de services prennent les mesures appropriées pour se protéger contre tout accès ou utilisation non autorisés des informations des clients et pour informer l'institution couverte dès que possible, au plus tard 72 heures après avoir pris connaissance d'une violation de la sécurité ayant entraîné un accès non autorisé à un système d'informations sur les clients. Dès réception de cette notification, l'institution couverte doit lancer son programme de réponse aux incidents.

Autres aspects du règlement modifié

Entre autres choses, la réglementation modifiée impose des exigences supplémentaires en matière de tenue de registres aux institutions concernées, notamment la documentation des accès ou utilisations non autorisés des informations relatives aux clients et toute enquête menée à ce sujet. La réglementation modifiée exige également la mise en place de politiques et de procédures relatives à la destruction appropriée des informations relatives aux consommateurs et aux clients.

Principaux enseignements

La modification de la réglementation est un autre élément qui démontre l'importance accordée par le gouvernement fédéral en général, et par la SEC en particulier, à la conformité en matière de cybersécurité. Les institutions concernées peuvent s'attendre à ce que cette priorité soit maintenue et à ce que le nombre de mesures coercitives en matière de cybersécurité augmente.

La réglementation modifiée entrera en vigueur à la fin de l'été. Les grandes entités disposeront de 18 mois pour se conformer à cette réglementation, tandis que les petites entités disposeront de 24 mois. Les institutions concernées doivent évaluer l'application de la réglementation à leur cas et planifier leurs efforts de mise en conformité en conséquence.

Les institutions concernées devraient commencer à revoir et à mettre à jour leurs politiques et procédures afin de s'assurer qu'elles reflètent les nouvelles exigences. Cette approche proactive permettra d'identifier les lacunes et de garantir la conformité avec la réglementation modifiée dans les délais prescrits.

Les institutions concernées doivent également revoir les contrats existants avec leurs prestataires de services afin de garantir une surveillance suffisante et la conformité de ces derniers avec les modifications apportées. Cela inclut la mise en œuvre de mesures de diligence raisonnable et de contrôle visant à vérifier que les prestataires de services respectent les nouvelles exigences en matière de sécurité et de notification.

Bien que la réglementation modifiée soit remarquable en ce qu'elle impose une obligation de notification, dans la pratique, cette obligation existait déjà sous la forme de lois étatiques sur les violations de données et d'autres réglementations. Par conséquent, les institutions concernées devraient tirer parti de leurs plans d'intervention en cas d'incident et de leurs manuels de notification existants et déterminer dans quelle mesure les processus et procédures existants peuvent être utilisés.

Si vous avez d'autres questions concernant les exigences du règlement S-P modifié, veuillez contacter l'un des auteurs ou tout associé ou avocat principal du groupe de pratique Transactions technologiques, cybersécurité et confidentialité de Foley & Lardner.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

Tampa 813.225.4161

Un homme vêtu d'un costume, d'une chemise et d'une cravate à motifs se tient dans un décor intérieur flou, regardant la caméra et souriant légèrement, reflétant le professionnalisme des meilleurs avocats et cabinets d'avocats de Chicago.

[email protected]

Milwaukee 414.297.5596

Perspectives connexes

Voir tous les articles

18 décembre 2025 Aperçu des technologies innovantes

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur

Centres de données : le rôle de l'IA et des semi-conducteurs dans la transformation d'un secteur Points clés à retenir L'IA génère une demande sans précédent en matière de données...

17 décembre 2025 Perspectives sur les technologies innovantes

Dix questions fréquentes sur la « cryptomonnaie » pour les dirigeants d'entreprise

Qu'est-ce que la « crypto » ? Le terme « crypto » est l'abréviation de « cryptographic asset » (actif cryptographique), qui désigne généralement un actif numérique dont...

11 décembre 2025 Aperçu des technologies innovantes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

Le 9 décembre 2025, le Bureau du contrôleur de la monnaie (OCC) a publié la lettre d'interprétation 1188 (IL 1188), confirmant qu'une banque nationale est autorisée, dans le cadre de ses activités bancaires, à effectuer des transactions sans risque sur des crypto-actifs principaux.

La SEC renforce les exigences en matière de cybersécurité avec les modifications apportées au règlement S-P