Nouveau cadre relatif aux incidents de sécurité de l’information à l’intention des institutions financières québécoises

Le 23 avril 2025, le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit (le « Règlement ») est entré en vigueur au Québec. Publié par l’Autorité des marchés financiers (l’« AMF ») et approuvé par le ministre des Finances du Québec, le Règlement instaure un nouveau cadre à l’intention des institutions financières (terme défini ci-après) relativement à la gestion et au signalement des « incidents de sécurité de l’information ».

Application

L’AMF encadre le secteur financier québécois et prête assistance aux consommateurs de produits et services financiers. Son rôle d’encadrement vise notamment les secteurs d’activités suivants :

• les assurances;
• les institutions de dépôt (à l’exclusion des banques, lesquelles sont sous réglementation fédérale en vertu de la Loi sur les banques du Canada);
• les valeurs mobilières et les dérivés;
• la distribution de produits et services financiers;
• le courtage hypothécaire;
• l’évaluation du crédit.

Les entités qui souhaitent exercer ces activités financières au Québec doivent obtenir l’autorisation de l’AMF et être inscrites au registre en ligne accessible au public.

Compte tenu de ce qui précède, le Règlement s’applique aux agents d’évaluation du crédit désignés en vertu de la Loi sur les agents d’évaluation du crédit et aux institutions financières ci-après :

• aux assureurs autorisés en vertu de la Loi sur les assureurs;
• aux fédérations de caisses et aux caisses qui ne sont pas membres d’une fédération et qui sont assujetties à la Loi sur les coopératives de services financiers;
• aux institutions de dépôts autorisées en vertu de la Loi sur les institutions de dépôts et la protection des dépôts;
• aux sociétés de fiducie autorisées en vertu de la Loi sur les sociétés de fiducie et les sociétés d’épargne.

Ces entités sont appelées, collectivement, les « institutions financières ».

Incidents de sécurité de l’information

Le Règlement définit un « incident de sécurité de l’information » comme « une atteinte à la disponibilité, à l’intégrité ou à la confidentialité des systèmes d’information ou aux informations qu’ils contiennent ».

Il convient de souligner que la définition d’« incident de sécurité de l’information » donnée dans le Règlement est plus large que la définition d’« incident de confidentialité » fournie dans la Loi sur la protection des renseignements personnels dans le secteur privé (la « LPRPSP ») du Québec, laquelle comprend l’accès, l’utilisation et la communication non autorisés, ainsi que la perte, de renseignements personnels, ainsi que toute autre atteinte à la protection de ces renseignements. Un incident de sécurité de l’information englobe non seulement les atteintes à la protection des renseignements personnels, mais aussi d’autres incidents qui touchent les systèmes d’information. A priori, on peut supposer qu’il s’agit de l’accès illégal à des renseignements confidentiels ou commerciaux, du cryptage de données ou de logiciels malveillants. Compte tenu de la vaste portée de la définition, une analyse au cas par cas sera nécessaire afin de déterminer si un avis doit être fourni à l’AMF.

Nouvelles obligations

1. Adoption d’une politique de gestion des incidents de sécurité de l’information

Le Règlement exige que les institutions financières établissent et mettent en œuvre une politique de gestion des incidents de sécurité de l’information (la « politique »). Cette politique doit comporter des procédures et des mécanismes permettant de détecter et d’évaluer les incidents de sécurité de l’information pouvant survenir au sein de l’institution ou d’un tiers à qui cette institution a confié l’exercice d’une partie de ses activités. Ces procédures et mécanismes doivent aussi permettre de répondre à de tels incidents. La politique doit également prévoir une procédure de signalement des incidents aux dirigeants ou aux gestionnaires de l’institution financière, ainsi qu’à d’autres parties prenantes, comme les clients, les tiers, les consommateurs, l’AMF et d’autres organismes de réglementation.

De plus, les institutions financières doivent désigner, par écrit, un de ses dirigeants ou, dans le cas d’une coopérative de services financiers, un de ses gestionnaires, responsable de surveiller la gestion et le signalement des incidents de sécurité de l’information.

2. Signalement des incidents de sécurité de l’information

Le Règlement prévoit que l’AMF doit être avisée des incidents de sécurité de l’information décrits ci-après au moyen du formulaire fourni sur son site Web  :

a. Incidents ayant un risque d’occasionner des répercussions négatives

• Tout incident de sécurité de l’information qui comporte « un risque d’occasionner des répercussions négatives » doit être signalé. Notons que le Règlement ne définit pas ce qui est entendu par un « risque d’occasionner des répercussions négatives » et ne donne aucune indication quant aux critères qui devraient être pris en considération pour faire une telle détermination.
• Date limite pour le signalement : Au plus tard 24 heures suivant le moment auquel l’incident a été signalé aux dirigeants ou, selon le cas, aux gestionnaires.

b. Incidents signalés à des organismes ou à des personnes en particulier

• Tout incident de sécurité de l’information qui a été signalé ou qui a fait l’objet d’un avis à :
  • un organisme de réglementation;
  • un organisme chargé de prévenir, de détecter ou de réprimer le crime ou les infractions aux lois; ou
  • un organisme chargé, contractuellement, de dédommager le préjudice qui aurait pu être causé par cet incident.
• Date limite pour le signalement : Au plus tard 24 heures suivant le moment auquel l’incident a été signalé aux dirigeants ou, selon le cas, aux gestionnaires.

c. Incidents de confidentialité

• Tout incident de confidentialité touchant des renseignements personnels qui présente un risque de préjudice grave, devant être par ailleurs être signalé en vertu de la LPRPSP.
• Date limite pour le signalement : Au même moment que le signalement fait à la Commission d’accès à l’information.

Après avoir remis un premier avis à l’AMF, les institutions financières doivent fournir à l’AMF des mises à jour au sujet de l’incident de sécurité de l’information signalé au moins tous les trois jours, et elles doivent continuer de le faire jusqu’à ce qu’elles avisent l’AMF que l’incident est « maîtrisé » et que les activités ont repris leur cours normal. Le Règlement ne définit pas ce qui est entendu par « maîtrisé ».

En plus de ces avis, un rapport doit être remis à l’AMF dans un délai de 30 jours suivant la transmission de l’avis indiquant que l’incident est maîtrisé et que les activités ont repris leur cours normal. Ce rapport doit identifier la source et le type de l’incident qui a été signalé, évaluer la récurrence potentielle de cet incident et décrire les moyens pris pour réduire la probabilité que de nouveaux incidents de nature similaire se produisent à l’avenir.

3. Maintien d’un registre des incidents de sécurité de l’information

Les institutions financières doivent tenir à jour un registre des incidents de sécurité de l’information et veiller à ce que tous les renseignements consignés pour chaque incident soient conservés de manière sécurisée et confidentielle afin d’en maintenir l’intégrité pendant au moins cinq ans à compter de la date du rapport d’incident correspondant. Pour chaque incident de sécurité de l’information, les institutions financières doivent préciser la date, l’heure, la localisation et la nature de l’incident, fournir une description détaillée de celui-ci, indiquer tous les préjudices engendrés, identifier les tiers concernés, et décrire les actions prises et l’acceptation ou non du risque résiduel, ainsi que les justificatifs afférents. Le registre devrait également comprendre les actions prévues et la date de clôture de l’incident. Les institutions financières devraient envisager de mettre à jour leurs pratiques en matière de tenue de registres pour se conformer à ces nouvelles exigences.

Sanctions

Les sanctions administratives pécuniaires prévues pour diverses contraventions au Règlement varient de 250 $ CA à 500 $ CA, dans le cas de personnes physiques, et de 1 000 $ CA à 2 500 $ CA, dans le cas d’institutions financières. Les contraventions comprennent, par exemple, le défaut de prendre l’une ou l’autre des mesures suivantes : mettre en œuvre une politique de gestion des incidents de sécurité de l’information; nommer un agent responsable de surveiller la gestion et le signalement des incidents de sécurité de l’information; signaler les incidents à l’AMF dans les 24 heures; ou tenir à jour un registre des incidents de sécurité de l’information.

Meilleures pratiques

Le Règlement impose des exigences strictes concernant l’élaboration d’une politique de gestion des incidents de sécurité de l’information, le respect des obligations de signalement et la tenue de registres. Afin de s’assurer de s’acquitter de leurs nouvelles obligations, lesquelles viennent s’ajouter à celles qui leur incombent en vertu des lois existantes sur la protection des renseignements personnels, les institutions financières devraient veiller à mettre en place des politiques, des procédures et des pratiques rigoureuses qui respectent l’ensemble des exigences réglementaires applicables en matière de gestion des incidents de sécurité de l’information.

Les institutions financières devraient de surcroît veiller à demeurer bien au fait des diverses autres obligations d’information auxquelles elles pourraient être soumises. Par exemple, certaines institutions financières, comme les sociétés d’assurance et les sociétés de fiducie et de prêt constituées sous le régime d’une loi fédérale, sont également désignées comme étant des « institutions financières fédérales » (« IFF ») et, à ce titre, sont assujetties à la supervision du Bureau du surintendant des institutions financières (« BSIF »). Selon les instructions du BSIF, les IFF doivent signaler les incidents liés à la technologie et à la cybersécurité au BSIF dans les 24 heures. Une liste des IFF visées peut être consultée sur le site Web du BSIF.

Des exigences différentes peuvent par ailleurs s’appliquer dans les autres provinces. Par exemple, en 2021, la British Columbia Financial Services Authority (la « BCFSA ») a publié une ligne directrice en matière de sécurité de l’information (Information Security Guideline, en anglais seulement). Bien qu’aucun mécanisme de notification ne soit imposé en particulier, les institutions financières de la Colombie-Britannique sont tenues d’aviser sans délai la BCFSA de tout incident important relatif à la sécurité de l’information et de soumettre un rapport d’incident dans les 72 heures.

Les exigences applicables étant vastes et en constante évolution, les institutions financières doivent faire preuve de vigilance quant à l’ensemble des obligations de signalement qui leur incombent dans les différents cadres applicables et s’adapter.

Si vous avez besoin d’aide pour passer en revue vos pratiques afin de les rendre conformes au Règlement ou pour obtenir de plus amples renseignements, veuillez communiquer avec Sunny Handa, Éline Collard ou un autre membre de notre groupe Cybersécurité.