L’agence américaine promeut la transparence dans le traitement des données financières des utilisateurs
Pourquoi est-ce important: La FTC est l’agence fédérale chargée de promouvoir la concurrence et de protéger les consommateurs aux États-Unis. L’organisation dispose déjà d’un ensemble de règles permettant aux institutions financières de faire respecter la protection des consommateurs, et il existe désormais une autre exigence concernant la divulgation des failles de sécurité.
La règle de sauvegarde de la FTC exige que les institutions financières « non bancaires » gèrent et stockent en toute sécurité les informations de leurs clients. Cette exigence s’applique aux organisations telles que les courtiers hypothécaires, les concessionnaires de véhicules automobiles et les prêteurs sur salaire, nécessitant le développement, la mise en œuvre et la maintenance d’un programme de sécurité complet pour protéger les données des clients.
L’agence fédérale a récemment annoncé un amendement à la règle de sauvegarde précédemment approuvée, qui oblige les institutions financières à signaler rapidement toute faille de sécurité qu’elles découvrent dans leurs systèmes. Selon la FTC, les organisations sont tenues d’informer la FTC « dès que possible », dans un délai maximum de 30 jours après la détection de tout incident de sécurité impliquant les informations de 500 consommateurs ou plus.
La notification est obligatoire lorsque des acteurs malveillants ou non autorisés accèdent à des informations client non cryptées, comme l’explique plus en détail la FTC. Toutefois, cette exigence ne s’applique pas si les informations sont cryptées et que les cybercriminels n’ont pas accès aux clés de cryptage. La nouvelle règle devrait entrer en vigueur 180 jours après sa publication au Federal Register, et sa mise en œuvre débutera en avril 2024.
Après avoir découvert une faille de sécurité, les organisations financières non bancaires seront tenues de soumettre les informations pertinentes à la FTC via le portail en ligne de l’agence. Un rapport de violation approprié doit inclure le nom et les coordonnées de l’institution déclarante, le nombre de consommateurs concernés, une description des données exposées, la date de l’exposition et la durée de l’incident.
Les organisations auront également la possibilité d’informer la FTC si la divulgation publique d’une faille de sécurité pourrait entraver une enquête ou constituer une menace pour la sécurité nationale. Un délai supplémentaire de 60 jours dans la divulgation publique peut être demandé par un responsable de l’application des lois.
Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC, a souligné que les entreprises chargées de informations financières sensibles doivent être transparentes « si ces informations ont été compromises ». La nouvelle exigence de divulgation devrait fournir à ces entreprises une « incitation supplémentaire » à véritablement protéger les données de leurs consommateurs.
La FTC avait annoncé des règles renforcées pour renforcer la sécurité des données en octobre 2021, tout en sollicitant simultanément les commentaires du public sur une proposition de modification supplémentaire concernant les exigences en matière de déclaration des violations de données. Le nouvel amendement a finalement été approuvé à l’unanimité par 3 voix contre 0.
