Écrit par Ruth E. Promislow and Matthew J. Macdonald

Aux États-Unis, la Securities Exchange Commission (SEC) a joué un rôle actif dans la réglementation des questions de cybersécurité. Les émetteurs canadiens doivent être conscients que le risque d’application de la réglementation pourrait survenir au Canada.

Récemment, les Autorités canadiennes en valeurs mobilières (ACVM) ont déclaré qu’elles « s’attendent à ce que les participants au marché prennent des mesures pour se protéger contre les cybermenaces ». Les attentes particulières sont les suivantes :

• Les membres des ACVM s’attendent à ce que les émetteurs fournissent des informations sur les risques aussi détaillées et propres que possible à l’entité. Les émetteurs devraient aborder dans tout plan de correction de cyberattaque comment l’importance relative d’une attaque serait évaluée afin de déterminer si et quoi, ainsi que quand et comment, divulguer en cas d’attaque.
• Les membres de l’ASC s’attendent à ce que les inscrits continuent de demeurer vigilants dans l’élaboration, la mise en œuvre et la mise à jour de leur approche en matière d’hygiène et de gestion de la cybersécurité.
• Les membres des ACVM s’attendent à ce que les entités réglementées examinent et examinent leur conformité aux exigences continues énoncées dans la législation sur les valeurs mobilières, qui comprennent la nécessité d’avoir des contrôles internes sur leurs systèmes et de signaler les atteintes à la sécurité.

Les ACVM organisent une table ronde sur la cybersécurité à la Commission des valeurs mobilières de l’Ontario le 27 février 2017. Cette table ronde fait suite à la publication de l’ASC Avis du personnel 11-332 sur la cybersécurité.  Cet événement en soi met en lumière l’attention croissante accordée à cette question par les organismes canadiens de réglementation des valeurs mobilières.

Un examen des activités récentes de la SEC aux États-Unis jette un peu de lumière sur l’étendue de l’application de la réglementation qui pourrait éventuellement arriver au Canada.  

La SEC enquête actuellement sur Yahoo! Inc. (Yahoo) pour avoir omis de divulguer des violations de données aux investisseurs. La cyberattaque s’est produite en 2014 et a compromis les données d’au moins 500 millions d’utilisateurs de Yahoo. Yahoo n’a divulgué la violation qu’en septembre 2016, et la SEC a ouvert une enquête officielle en décembre 2016. Par conséquent, Yahoo a été assignée à comparaître pour obtenir des documents afin de déterminer si Yahoo s’est conformée aux lois sur les valeurs mobilières liées à la divulgation.

L’enquête de Yahoo met en évidence le rôle actif que la SEC a joué dans la réglementation de la cybersécurité.  Il existe d’autres exemples de cas où la SEC a entamé des mesures d’application de la loi et a réglé une amende payée sur la base d’allégations de défaut de mettre en œuvre correctement les contrôles pour prévenir les cyberattaques.

La SEC a publié guidance pour la conformité publique en octobre 2011, exigeant que des informations importantes sur les risques de cybersécurité soient divulguées si elles pouvaient affecter les investisseurs. Pour le rapport de gestion et les documents déposés auprès de la SEC, la divulgation est essentielle si les coûts ou autres conséquences associés au risque de cybersécurité sont susceptibles d’affecter sensiblement les opérations, la liquidité ou la situation financière de l’entreprise. Ce qui est « important » en vertu de la présente ligne directrice n’est pas défini.

Au Canada, les atteintes substantielles à la cybersécurité doivent être divulguées, ainsi que les risques importants pour la cybersécurité. L’importance relative dépend du contexte, de la fréquence, de la portée et du type d’attaque, ainsi que du moment de l’attaque, de la détection, de l’évaluation et de la correction. Les Staff Notice 11-332 et Multilateral Staff Notice 51-347 décrivent les attentes en matière de divulgation. Dans la mesure où un cyberrisque est un risque important, les émetteurs doivent fournir une stratégie détaillée de divulgation et d’atténuation des risques. Dans ce cadre, l’émetteur doit tenir compte de l’impact sur les activités et la réputation de la société, de ses clients, de ses employés et de ses investisseurs.

À mesure que la fréquence et la gravité des cyberattaques augmentent et que les risques pour les consommateurs augmentent, les organisations doivent être pleinement conscientes de leurs obligations de développer des contrôles adéquats pour prévenir les attaques et y répondre, et de leur exposition potentielle sur le front réglementaire et autrement si elles ne le font pas.

L’équipe de cybersécurité de Bennett Jones Cybersecurity possède une vaste expérience de ces questions et peut vous aider à préparer votre entreprise dans ce domaine.