Aux États-Unis, la Securities Exchange Commission (SEC) a joué un rôle actif dans la réglementation des questions de cybersécurité. Les émetteurs canadiens doivent être conscients que le risque d’application de la réglementation pourrait survenir au Canada.
Récemment, les Autorités canadiennes en valeurs mobilières (ACVM) ont déclaré qu’elles « s’attendent à ce que les participants au marché prennent des mesures pour se protéger contre les cybermenaces ». Les attentes particulières sont les suivantes :
Les ACVM organisent une table ronde sur la cybersécurité à la Commission des valeurs mobilières de l’Ontario le 27 février 2017. Cette table ronde fait suite à la publication de l’ASC Avis du personnel 11-332 sur la cybersécurité. Cet événement en soi met en lumière l’attention croissante accordée à cette question par les organismes canadiens de réglementation des valeurs mobilières.
Un examen des activités récentes de la SEC aux États-Unis jette un peu de lumière sur l’étendue de l’application de la réglementation qui pourrait éventuellement arriver au Canada.
La SEC enquête actuellement sur Yahoo! Inc. (Yahoo) pour avoir omis de divulguer des violations de données aux investisseurs. La cyberattaque s’est produite en 2014 et a compromis les données d’au moins 500 millions d’utilisateurs de Yahoo. Yahoo n’a divulgué la violation qu’en septembre 2016, et la SEC a ouvert une enquête officielle en décembre 2016. Par conséquent, Yahoo a été assignée à comparaître pour obtenir des documents afin de déterminer si Yahoo s’est conformée aux lois sur les valeurs mobilières liées à la divulgation.
L’enquête de Yahoo met en évidence le rôle actif que la SEC a joué dans la réglementation de la cybersécurité. Il existe d’autres exemples de cas où la SEC a entamé des mesures d’application de la loi et a réglé une amende payée sur la base d’allégations de défaut de mettre en œuvre correctement les contrôles pour prévenir les cyberattaques.
La SEC a publié
Au Canada, les atteintes substantielles à la cybersécurité doivent être divulguées, ainsi que les risques importants pour la cybersécurité. L’importance relative dépend du contexte, de la fréquence, de la portée et du type d’attaque, ainsi que du moment de l’attaque, de la détection, de l’évaluation et de la correction. Les Staff Notice 11-332 et Multilateral Staff Notice 51-347 décrivent les attentes en matière de divulgation. Dans la mesure où un cyberrisque est un risque important, les émetteurs doivent fournir une stratégie détaillée de divulgation et d’atténuation des risques. Dans ce cadre, l’émetteur doit tenir compte de l’impact sur les activités et la réputation de la société, de ses clients, de ses employés et de ses investisseurs.
À mesure que la fréquence et la gravité des cyberattaques augmentent et que les risques pour les consommateurs augmentent, les organisations doivent être pleinement conscientes de leurs obligations de développer des contrôles adéquats pour prévenir les attaques et y répondre, et de leur exposition potentielle sur le front réglementaire et autrement si elles ne le font pas.
L’équipe de cybersécurité de Bennett Jones Cybersecurity possède une vaste expérience de ces questions et peut vous aider à préparer votre entreprise dans ce domaine.