À compter du 23 avril 2025, les Institutions financières devront avoir mis en place une politique de gestion des incidents de sécurité de l’information et être prêtes à signaler tout incident de sécurité à l’Autorité des marchés financiers (l’« AMF ») dans un délai de 24 heures.

En effet, le 23 octobre 2024, le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement ») a été publié dans la Gazette officielle du Québec. Ce Règlement introduit de nouvelles exigences visant à renforcer la gestion et le signalement d’incidents de sécurité de l'information auprès de l’AMF.

Le Règlement définit un « incident de sécurité de l’information » comme une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent¹.

Contrairement à la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur la protection des renseignements personnels et les documents électroniques, la portée d’un incident de sécurité de l’information au sens du Règlement s’étend bien au-delà d’un incident impliquant des renseignements personnels et inclut l’intégrité des systèmes informatiques physiques.

Entités visées

Le Règlement, qui entrera en vigueur le 23 avril 2025², s’appliquera aux assureurs, sociétés mutuelles, fédérations, caisses qui ne sont pas membre d’une fédération, institutions de dépôts, sociétés de fiducie et agents d’évaluation du crédit (les « Institutions financières »)³:

Politique de gestion des incidents de sécurité de l’information

D’ici le 23 avril 2025, les Institutions financières devront adopter une politique de gestion des incidents de sécurité de l’information comportant des procédures précises pour détecter, évaluer et répondre aux incidents (la « Politique »). La Politique devra également s’appliquer aux tiers à qui des activités de gestion et de traitement de l’information ont été confiées et inclure des procédures de signalement précises destinées aux dirigeants des Institutions financières et à toute partie prenante, notamment les clients, les sous-traitants et les organismes de réglementation comme l’AMF et autres autorités compétentes⁴.

Obligations de signalement 

Le Règlement impose un fardeau de signalement élevé pour les Institutions financières, ajoutant plusieurs obligations à celles déjà existantes, notamment pour les incidents de sécurité de l’information qui présenteraient un « risque d’occasionner des répercussions négatives ». Cette notion n’étant pas clairement définie, le Règlement laisse ainsi place à une interprétation large de la nouvelle obligation de signalement imposée aux Institutions financières.

Signalement à l’AMF

Dès l’entrée en vigueur du Règlement, chaque incident de sécurité de l’information devra être signalé à l’AMF dans un délai de 24 heures. Des mises à jour régulières devront par la suite être transmises à l’AMF selon un échéancier préétabli, incluant des avis d’évaluation jusqu’à l’envoi d’un avis indiquant à l’AMF que l’incident est maîtrisé et que les activités ont repris normalement leur cours.

Notons que cette obligation s’apparente à celle du Bureau du surintendant des institutions financières (le « BSIF »), qui prévoit une période de signalement similaire applicable aux institutions financières fédérales (« IFF ») dans les 24 heures suivant l'incident dans son préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité. 

Rapport à l’AMF

Dans un délai de 30 jours suivant l’avis d’incident maîtrisé, l’Institution financière devra également remettre à l’AMF un rapport d’incident de sécurité contenant certains renseignements précis incluant l’identification de la source et du type d’incident, une évaluation de la possibilité de récurrence potentielle de l’incident et les moyens mis en place pour réduire la probabilité que de nouveaux incidents de même nature se reproduisent⁵.

Autres obligations

• Chaque Institution financière est tenue de désigner par écrit un ou une responsable de la gestion des incidents de sécurité de l’information qui surveillera la gestion des incidents et veillera au respect des procédures de signalement.⁶
• Le Règlement prévoit l’obligation de tenir à jour et de conserver un registre sécurisé et confidentiel des incidents de sécurité de l’information pendant au moins cinq ans à compter de la date du rapport⁷.
• Le Règlement impose également des obligations de coordination avec d’autres autorités compétentes, notamment le signalement d’un incident de sécurité au BSIF ou à un corps policier. Cette obligation s’étend aussi à une personne qui est contractuellement tenue de dédommager le préjudice que cet incident aurait pu causer⁸. Dans ce cas, l’AMF précise qu’il pourrait notamment s’agir d’un assureur couvrant les cyberrisques⁹.
• Dans le cas où un incident de confidentialité est signalé à la Commission d’accès à l’information (la « CAI »), il doit également l’être à l’AMF. Il est toutefois à noter qu’un signalement à l’AMF n’entraîne pas automatiquement un signalement à la CAI. Effectivement, un incident de sécurité de l’information peut porter sur des informations autres que des renseignements personnels. Toutefois, si l’incident de sécurité de l’information porte sur des renseignements personnels et présente un risque de préjudice sérieux au sens de l’article 3.5 de la Loi sur la protection des renseignements personnels dans le secteur privé ou un risque réel de préjudice grave à l’endroit d’un individu au sens de l’article 10.1(1) de Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA), l’Institution financière pourrait devoir respecter les obligations prévues en vertu de ces lois.

Sanctions

Des sanctions seront imposées en cas de défaut de signaler un incident dans les 24 heures ou d’absence de désignation écrite d’un responsable, dont une amende de 250 $ pour une personne physique et de 1 000 $ pour une Institution financière.

Le non-respect d’autres dispositions, telles que l’absence de registre ou d’une politique de gestion des incidents, pourra entraîner des sanctions plus élevées, soit 500 $ pour une personne physique et 2 500 $ pour une Institution financière. Des avis de non-conformité seront transmis aux Institutions financières avant l’imposition d’une sanction.

Conclusion

Ce nouveau Règlement, qui entrera en vigueur le 23 avril 2025, imposera aux Institutions financières des obligations renforcées en matière de gestion et de signalement des incidents de sécurité de l’information. Afin d’assurer une conformité complète avec les obligations applicables en matière de confidentialité et de gestion des incidents de sécurité de l’information, il est essentiel que les Institutions financières adoptent et révisent leurs politiques internes pour répondre aux nouvelles exigences et celles déjà en vigueur.

Pour toute question relative aux obligations prévues par le Règlement ou pour obtenir de l’assistance dans la mise en œuvre de politiques et de procédures réglementaires conformes aux exigences de la réglementation et des lois québécoises, n’hésitez pas à communiquer avec les auteurs : Nathalie Durocher et Charles Giroux.

Le présent bulletin est émis à des fins d’information, ne constitue pas une opinion juridique et ne saurait, en aucun temps, être considéré comme tel.

[1] Art. 2.

[2] Art. 14.

[3] Art. 1.

[4] Art. 3.

[5] Art. 9.

[6] Art. 4.

[7] Art. 11.

[8] Art 5 al.2.

[9] Avis de consultation (7 décembre 2023) : Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit. [En ligne] Consulté le 29 octobre 2024.