Il y a eu de nombreux cas où des entreprises américaines ont dissimulé des violations graves de données personnelles pendant des mois, n’admettant souvent leur existence que lorsque celles-ci étaient découvertes par une source extérieure.
Cela n’est pas possible en Europe, où la loi exige que tout accès non autorisé à des données personnelles soit signalé aux régulateurs dans un délai de trois jours. Et maintenant, les États-Unis adoptent enfin une exigence similaire, même si ce n’est pas pour votre bénéfice…
Les entreprises américaines dissimulent souvent les violations de données
Lorsque des entreprises américaines sont piratées et que les données des clients sont exposées, elles tardent souvent à en informer les clients jusqu’à plusieurs mois plus tard.
Par exemple, un pirate informatique a eu accès aux numéros de téléphone et aux adresses e-mail de 5,4 millions d’utilisateurs de Twitter grâce à une vulnérabilité signalée pour la première fois en janvier de l’année dernière. Le moment précis de l’attaque n’est pas clair, mais Twitter a corrigé la faille après le signalement, mais n’a révélé qu’en août que les détails des utilisateurs avaient été obtenus par un pirate informatique et proposés à la vente.
La législation européenne sur la protection de la vie privée exige que les entreprises divulguent les violations de données dans les trois jours suivant leur découverte.
Dans le cas d’une violation de données à caractère personnel, le responsable du traitement doit informer l’autorité de contrôle, sans retard indu et, si possible, dans les 72 heures suivant en avoir pris connaissance, sauf si la violation de données à caractère personnel est peu susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. Dans le cas où la notification à l’autorité de contrôle n’est pas effectuée dans les 72 heures, elle doit être accompagnée des motifs du retard.
Aucune exigence similaire n’était en place aux États-Unis jusqu’à présent.
La SEC impose désormais une exigence de signalement de 4 jours
Cela a maintenant changé, la Securities & Exchange Commission (SEC) exige désormais que les entreprises signalent les violations de données dans un délai de quatre jours.
Les nouvelles règles exigeront que les déclarants divulguent dans le nouvel article 1.05 du formulaire 8-K toute incident de cybersécurité qu’ils estiment être matériel, et décrivent les aspects matériels de la nature, de la portée et du moment de l’incident, ainsi que son impact ou son impact potentiel raisonnablement matériel sur le déclarant. Un formulaire 8-K, article 1.05, doit généralement être déposé dans les quatre jours ouvrables suivant la détermination par un déclarant de la matérialité d’un incident de cybersécurité.
La raison de cela est de garantir que les personnes concernées soient informées–
Nous plaisantons, bien sûr : il s’agit de protéger les actionnaires contre le risque que leur investissement soit mis en péril par des passifs financiers non divulgués.
« Que ce soit une entreprise qui perd une usine dans un incendie ou des millions de fichiers dans un incident de cybersécurité, cela peut être matériel pour les investisseurs », a déclaré Gary Gensler, président de la SEC. « Actuellement, de nombreuses entreprises publiques fournissent des informations sur la cybersécurité aux investisseurs. Je pense cependant que les entreprises et les investisseurs bénéficieraient si cette divulgation était faite de manière plus constante, comparable et utile pour la prise de décision. En aidant à garantir que les entreprises divulguent des informations matérielles sur la cybersécurité, les règles d’aujourd’hui bénéficieront aux investisseurs, aux entreprises et aux marchés qui les connectent. »
Photo : Ahmed Zayan/Unsplash
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
