La Federal Trade Commission (FTC) des États-Unis a modifié les règles de sauvegarde, exigeant que toutes les institutions financières non bancaires signalent les incidents de violation de données dans un délai de 30 jours.

Ces entités comprennent les courtiers hypothécaires, les concessionnaires de véhicules automobiles, les prêteurs sur salaire, les sociétés d’investissement, les compagnies d’assurance, les prêteurs peer-to-peer et les sociétés de gestion d’actifs.

Cette exigence s’ajoute à la règle de sauvegarde, visant à améliorer les mesures de sécurité des données pour protéger les informations des clients et renforcer les obligations de conformité.

Elle s’applique aux incidents de sécurité qui affectent 500 consommateurs ou plus, en particulier si des tiers non autorisés ont accédé à des informations non cryptées (en texte clair).

« Les entreprises à qui l’on confie des informations financières sensibles doivent être transparentes si ces informations ont été compromises », déclaré Samuel Levine, directeur du Bureau pour la protection des consommateurs de la FTC.

« L’ajout de cette exigence de divulgation à la règle de sauvegarde devrait inciter davantage les entreprises à protéger les données des consommateurs. »

L’obligation de notification ne s’applique pas aux cas où les informations des consommateurs sont cryptées tant que les attaquants n’ont pas accédé à la clé de cryptage.

L’avis des entreprises violées doit être soumis sur le portail en ligne de la FTC et doit inclure des détails sur l’incident de sécurité, tels que :

• Nom et coordonnées de l’institution déclarante.
• Nombre de consommateurs impactés et de ceux potentiellement concernés.
• Description des types de données potentiellement exposées.
• Date d’exposition et, si possible à déterminer, la durée de l’incident.
• Confirmation si les forces de l’ordre ont indiqué que la divulgation publique de la violation pourrait entraver une enquête ou menacer la sécurité nationale.

L’agence a ajouté une disposition prévoyant un délai de 60 jours si un responsable de l’application des lois demande une prolongation de la divulgation publique d’un incident spécifique.

La FTC souligne que la soumission d’un rapport de violation de données n’implique pas automatiquement une violation de la règle de sauvegarde, et ne garantit pas non plus une enquête ou une mesure coercitive.

La nouvelle exigence de notification entrera en vigueur 180 jours après la publication de la règle dans le Federal Register, la règle devrait donc être applicable à partir d’avril 2024.

Pour plus de détails sur les modifications et leur processus d’élaboration sur la base des commentaires reçus par la FTC des parties prenantes, vous pouvez lire ce document.