Les modifications, approuvées à l'unanimité par les cinq membres de la Securities and Exchange Commission, s'appliquent à des règles adoptées pour la première fois en 2000.
"Au cours des 24 dernières années, la nature, l'ampleur et l'impact des violations de données ont considérablement évolué", a déclaré Gary Gensler, président de la SEC, dans un communiqué.
Selon les changements annoncés jeudi, les courtiers, les sociétés d'investissement, les conseillers en investissement enregistrés et d'autres devront maintenir des programmes de réponse aux incidents pour détecter, répondre et récupérer le cyber-vol des données personnelles des clients, ainsi que pour notifier les personnes dont les informations ont pu être consultées sans autorisation, d'après la SEC.
Les entreprises concernées par ces règles devront se mettre en conformité dans un délai de 18 mois à deux ans à compter de la date de publication des modifications dans le registre fédéral, selon l'agence. (Reportage de Douglas Gillison, édition de Franklin Paul)
