Définition et objectif

Les normes de la Federal Trade Commission pour la protection des informations des clients - également connues sous le nom de règle de sauvegarde de FTC, la règle de sauvegarde, ou simplement la règle - établissent des lignes directrices et des exigences pour les entités couvertes traitant des données clients sensibles afin de se protéger contre les menaces ou dangers anticipés et les accès non autorisés.

Son objectif est d'assurer la confidentialité et la sécurité des informations personnelles non publiques des clients des institutions financières.

Organe de régulation

La Federal Trade Commission (FTC) est l'organisme responsable de la supervision et de l'application des normes pour la protection des informations des clients. La FTC joue un rôle crucial dans la promotion de la protection des consommateurs, de la vie privée et des pratiques commerciales loyales.

Dernière mise à jour

La dernière mise à jour majeure de la règle de sauvegarde date de 2021, après les commentaires du public. La FTC l'a modifiée pour s'assurer que la règle suive le rythme des technologies actuelles.

Plus récemment, en novembre 2023, la FTC a publié la Règle Finale pour amender la règle de sauvegarde afin d'exiger que les institutions financières signalent les événements de notification, définis comme l'acquisition non autorisée d'informations client non cryptées, impliquant au moins 500 clients, à la FTC.

S'applique à

La règle de sauvegarde de la FTC s'applique principalement aux institutions financières qui traitent des informations personnelles non publiques des consommateurs. Parmi les exemples d'institutions financières figurent les prêteurs hypothécaires, les prêteurs sur salaire, les sociétés financières, les courtiers hypothécaires, les gestionnaires de comptes, les encaisseurs de chèques, les transferts de fonds, les agences de recouvrement, les conseillers en crédit et autres conseillers financiers, et les cabinets de préparation de déclarations fiscales.

Elle peut également s'étendre à diverses industries qui traitent des données clients sensibles, comme les concessionnaires automobiles.

Plus précisément, cette règle s'applique aux institutions financières soumises à la juridiction de la FTC et qui ne sont pas soumises à l'autorité de contrôle d'un autre régulateur en vertu de l'article 505 de la loi Gramm-Leach-Bliley, 15 U.S.C. § 6805.

Contrôles et exigences

La règle de sauvegarde de la FTC exige que les institutions financières couvertes développent, mettent en œuvre et maintiennent un programme de sécurité des informations avec des sauvegardes administratives, techniques et physiques conçues pour protéger les informations des clients. Ces sauvegardes ne sont qu'un élément que le programme de sécurité des informations de votre entreprise doit inclure pour se conformer à la règle.

Parmi les autres éléments figurent :

• Désigner une personne qualifiée pour mettre en œuvre et superviser le programme de sécurité des informations de votre entreprise
• Effectuer des évaluations des risques périodiques
• Former votre personnel
• Surveillance de vos prestataires de services
• Mise à jour de votre programme de sécurité de l'information
• Création d'un plan de réponse aux incidents écrit
• Exigence pour votre Individu Qualifié de rapporter à votre conseil d'administration

Veuillez consulter la documentation officielle pour une liste détaillée des exigences et des mesures de protection.

Type, fréquence et durée de l'audit

Les règles de sauvegarde de la FTC exigent que les entités effectuent des évaluations périodiques des risques et testent ou surveillent régulièrement l'efficacité de leurs mesures de protection. Pour répondre à cette dernière exigence, les entités peuvent mettre en œuvre une surveillance continue ou effectuer des tests de pénétration périodiques et des évaluations de vulnérabilité, incluant des scans système à l'échelle tous les six mois.

La règle exige également que les individus qualifiés de chaque entité couverte fassent un rapport écrit, au moins une fois par an, à leur conseil d'administration ou à un organe de gouvernance équivalent. Ce rapport doit inclure une évaluation globale de la conformité de votre entreprise avec son programme de sécurité de l'information.