Antoine Guilmain
Associé
Co-chef, Groupe national Cybersécurité et protection des données
Article
Publié21 novembre 2024
Nouveau règlement sur les incidents de sécurité pour certaines institutions financières : tableau comparatif
Co-auteur : Philippe Dalmau, Étudiant en droit du programme d’été
Le 23 octobre 2024, Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit a été publié et entrera en vigueur six mois plus tard, soit en avril 2025.
Ce règlement encadre la gestion et le signalement des incidents de sécurité de l’information pour certaines institutions financières et aux agents d’évaluation du crédit assujetties à différentes lois habilitantes, soit :
- Un assureur autorisé en vertu de la Loi sur les assureurs (chapitre A-32.1) et une fédération de sociétés mutuelles visée par cette loi ;
- Une fédération et une caisse qui n’est pas membre d’une fédération visées à la Loi sur les coopératives de services financiers (chapitre C-67.3) ;
- Une institution de dépôts autorisée en vertu de la Loi sur les institutions de dépôts et la protection des dépôts (chapitre I-13.2.2) ;
- Une société de fiducie autorisée en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne (chapitre S-29.02) ; et
- Un agent d’évaluation du crédit désigné en vertu de la Loi sur les agents d’évaluation du crédit (chapitre A-8.2).
Ce règlement, qui est donc propre aux institutions assujetties et sous l’autorité de l’Autorité des marchés financiers, vient se superposer aux exigences propres aux renseignements personnels en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ c P-39.1) sous la supervision de la Commission d’accès à l’information du Québec.
Pour faciliter la compréhension de ces deux régimes parallèles et soutenir les organisations dans leur conformité, nous avons élaboré un tableau comparatif mettant en lumière les similarités, différences et sanctions potentielles. Téléchargez-le dès maintenant pour une vue d’ensemble simplifiée et essentielle.
Pour en savoir plus sur ce règlement et ses impacts pour votre organisation, contactez les auteurs ou un membre de notre groupe Cybersécurité et protection des données.
Consultez également notre Guide de conformité sur les exigences canadiennes en matière de notification des incidents de confidentialité pour une compréhension approfondie.
CECI NE CONSTITUE PAS UN AVIS JURIDIQUE. L'information qui est présentée dans le site Web sous quelque forme que ce soit est fournie à titre informatif uniquement. Elle ne constitue pas un avis juridique et ne devrait pas être interprétée comme tel. Aucun utilisateur ne devrait prendre ou négliger de prendre des décisions en se fiant uniquement à ces renseignements, ni ignorer les conseils juridiques d'un professionnel ou tarder à consulter un professionnel sur la base de ce qu'il a lu dans ce site Web. Les professionnels de Gowling WLG seront heureux de discuter avec l'utilisateur des différentes options possibles concernant certaines questions juridiques précises.
