Un nouveau document d’orientation du Conseil canadien des responsables de la réglementation d’assurance (CCRRA) vise à encourager l’harmonisation des cadres de déclaration des incidents de sécurité de l’information et de cybersécurité à travers le pays. Le CCRRA propose 11 recommandations que ses membres sont invités à considérer dans l’élaboration ou la mise à jour de leur régime de déclaration d’incidents dans leurs juridictions respectives. 

« Le signalement rapide est essentiel à la bonne gestion des incidents de sécurité de l’information », affirme Patrick Déry, président du CCRRA et surintendant des institutions financières à l’Autorité des marchés financiers. « Les membres reconnaissent que les divergences dans les exigences relatives au signalement peuvent poser des difficultés à la fois pour les intervenants du secteur et les autorités. » 

Le CCRRA rappelle que l’un de ses principaux objectifs est de faciliter l’harmonisation de la réglementation en assurance au Canada, au bénéfice des consommateurs et du secteur. À cette fin, le groupe de travail sur la technologie financière du CCRRA a mené une analyse du paysage canadien afin d’identifier et de mieux comprendre les cadres de déclaration d’incidents actuellement en place dans les diverses juridictions du pays. 

« Les recommandations visent à faire converger les différents cadres de signalement des incidents, sans toutefois écarter le fait que l’adoption d’une solution unique n’est ni faisable ni souhaitable. Chaque responsable provincial ou territorial est libre d’adopter les recommandations qui conviennent à sa situation et à son environnement juridique et réglementaire », peut-on lire. 

Une mosaïque de pratiques d’un territoire à l’autre 

Les auteurs du document soulignent que la fragmentation entre les juridictions est manifeste, tant sur la portée des incidents devant être déclarés que sur les méthodes d’évaluation de leur gravité, les délais de déclaration et l’usage des renseignements transmis. 

Parmi les recommandations figurent l’établissement d’objectifs clairs pour la déclaration d’incidents, ainsi qu’un dialogue régulier avec les assureurs pour mieux faire comprendre la valeur, l’importance et l’obligation légale de déclarer les incidents. Les régulateurs sont aussi encouragés à bien cerner les obstacles auxquels font face les assureurs, et à proposer des solutions lorsque cela est pertinent. « Un dialogue soutenu (ateliers, conférences, discussions) entre les autorités financières et les assureurs peut contribuer à une compréhension commune du cadre de signalement des incidents, y compris ses critères et objectifs », suggère-t-on. 

Les auteurs recommandent également de s’appuyer sur les travaux existants d’organismes de normalisation pour établir des définitions communes. « En particulier, une définition claire du terme “incident” est nécessaire. Chaque autorité financière devrait s’en doter en se basant sur les définitions élaborées par les organismes de normalisation. » 

Traitement de l’information sensible 

Le document recommande aussi de définir un ensemble commun de champs de données pouvant répondre aux besoins d’information de plusieurs autorités, tout en précisant que viser une couverture exhaustive de tous les champs existants serait peu réaliste et non nécessaire pour en tirer les principaux bénéfices. Il aborde également les déclencheurs de déclaration, les délais requis, la possibilité de faire des déclarations progressives, ainsi que les pratiques entourant le traitement de l’information sensible. 

Parmi les intervenants consultés pour cette initiative figurent le Bureau d’assurance du Canada (BAC) et l’Association canadienne des compagnies d’assurances de personnes (ACCAP). 

« Les membres du BAC ont fait part de leurs doléances quant au fardeau opérationnel que représente la conformité dans un contexte où plusieurs organismes de réglementation imposent chacun leurs propres exigences », rapporte le CCRRA.

Quant à l’ACCAP, elle confirme que la multiplication et l’incohérence des exigences ont un impact non négligeable : « Les membres de l’ACCAP ont affirmé que leurs équipes de sécurité de l’information consacraient désormais plus de temps au signalement des incidents qu’à leur résolution », ajoute le CCRRA.