La SEC exige que les institutions financières américaines divulguent les violations
La Commission des valeurs mobilières et des changes américaine met en place des règles plus strictes en matière de divulgation des violations de données
La Commission des valeurs mobilières et des changes américaine (SEC) a mis en place de nouvelles réglementations exigeant que certaines institutions financières américaines divulguent les violations de sécurité dans les 30 jours. Ces nouvelles règles, connues sous le nom de Règlement S-P, visent à protéger les informations financières personnelles des consommateurs et s'appliquent aux courtiers-négociants, aux sociétés d'investissement, aux conseillers en placement enregistrés et aux agents de transfert. Les réglementations exigent également que les institutions financières informent les victimes d'une violation, en fournissant des détails sur l'incident de sécurité et les données spécifiques qui ont été compromises. De plus, ces institutions doivent élaborer et maintenir des politiques et des procédures écrites pour détecter, répondre et se remettre d'un accès non autorisé aux informations des clients. Cependant, les institutions peuvent choisir de ne pas informer les victimes si elles pensent que les informations consultées n'ont pas entraîné de préjudice ou d'inconvénient substantiel. Il est important de noter que les changements entreront en vigueur 60 jours après leur publication au Registre fédéral, les grandes organisations ayant 18 mois pour se conformer et les plus petites entités 24 mois.
Principaux points à retenir
- Les institutions financières américaines doivent divulguer une violation de sécurité dans les 30 jours suivant sa découverte, conformément à la réglementation S-P mise à jour par la SEC.
- Ces réglementations obligent les entreprises à informer les victimes de la violation des données, à détailler l'incident et à fournir des conseils sur la façon dont les personnes peuvent se protéger.
- Les institutions financières sont tenues d'élaborer, de mettre en œuvre et de maintenir des politiques et des procédures écrites pour détecter, répondre et se remettre d'un accès non autorisé aux informations des clients.
- Il existe une disposition permettant aux institutions de s'abstenir d'informer les victimes si elles estiment que la violation n'a pas entraîné de "préjudice ou d'inconvénient substantiel".
- Les modifications entreront en vigueur 60 jours après leur publication au Registre fédéral, les grandes organisations ayant 18 mois pour se conformer et les plus petites 24 mois.