La Securities and Exchange Commission a annoncé l’adoption d’amendements au règlement S-P afin de moderniser et d’améliorer les règles qui régissent le traitement des informations personnelles non publiques des consommateurs par certaines institutions financières.
« Ces modifications du règlement S-P apporteront des mises à jour essentielles à une règle adoptée pour la première fois en 2000 et contribueront à protéger la confidentialité des données financières des clients. L’idée de base pour les entreprises couvertes est que si vous avez un incident, alors vous devez notifier. C’est une bonne chose pour les investisseurs.
Les modifications exigent que les institutions concernées développent, mettent en œuvre et maintiennent des politiques et des procédures écrites pour un programme de réponse aux incidents qui est raisonnablement conçu pour détecter, répondre et récupérer l’accès non autorisé ou l’utilisation d’informations sur les clients.
Les modifications exigent également que le programme de réponse comprenne des procédures permettant, avec certaines exceptions limitées, aux institutions couvertes de notifier les personnes dont les informations sensibles sur les clients ont été consultées ou utilisées sans autorisation, ou dont on peut raisonnablement penser qu’elles l’ont été.
Les modifications exigent qu’un établissement couvert fournisse une notification dès que possible, et au plus tard dans les 30 jours, après avoir pris connaissance d’un incident impliquant un accès non autorisé à des informations sur les clients ou une utilisation non autorisée de ces informations, ou dont on peut raisonnablement penser qu’il s’est produit.
Les modifications entreront en vigueur 60 jours après leur publication dans le registre fédéral.
