La technologie prend une place de plus en plus centrale dans les activités des institutions financières et des représentants ainsi que dans les communications avec les clients. Cette transformation rapide, conjuguée à la montée des risques technologiques, notamment en matière de cybersécurité, suscite une vigilance accrue chez les responsables de la conformité, dont certains affirment avoir besoin de soutien sur ce plan, selon le Pointage des régulateurs 2025.
Les répondants ont évalué la pertinence des interventions des régulateurs face aux changements technologiques. L’importance accordée à ce critère est élevée (8,7 sur 10) et stable par rapport à 2024. En revanche, la note moyenne reste faible : 5,8 sur 10 ou moins pour l’Autorité des marchés financiers (AMF), 6,1 pour la Chambre de la sécurité financière (CSF) et 6,8 pour l’Organisme canadien de réglementation des investissements (OCRI).
Les participants ont aussi évalué le soutien des régulateurs concernant la cybersécurité et les risques technologiques. Cette année encore, l’importance moyenne accordée à ce critère reste élevée (8,4), bien qu’en baisse comparativement à 2024 (9,1). Les régulateurs affichent tous une hausse de leurs notes par rapport à 2024, pour s’établir en 2025 à 5,3 et 6,3 pour l’AMF, à 6,1 pour la CSF et à 6,9 pour l’OCRI.
Les efforts des régulateurs semblent appréciés, mais les besoins des firmes restent grands, selon des répondants. Les risques évoluent sans relâche. On veut bien intégrer l’intelligence artificielle (IA) aux processus d’affaires, comme l’interrelation entre les employés, les robots conversationnels et la création de rapports automatisés. On s’inquiète également de la cybersécurité et de la protection des renseignements personnels.
« Le piratage et le vol de données sont les deux éléments qui nous préoccupent le plus », affirme Maxime Gauthier, président et chef de la conformité de Mérici Services financiers.
L’émergence d’outils d’IA, comme les deepfakes et les modèles de langage génératif, facilite l’imitation de clients ou de conseillers, augmentant les risques d’accès non autorisé ou de transactions frauduleuses, signale Martin Boulianne, gestionnaire de portefeuille adjoint à Patrimoine Richardson. Les attaques par l’ingénierie sociale, les violations de données et rançongiciels et la désinformation sur les réseaux sociaux, qui peuvent influencer rapidement le comportement des investisseurs et provoquer une panique inutile sur les marchés, sont les risques qui retiennent l’attention.
« La sécurité des données et la protection des avoirs de nos clients, ce n’est pas qu’une obligation réglementaire, c’est un pilier de la relation de confiance avec eux », dit Martin Boulianne.
Pour atténuer les risques, les firmes mettent en place diverses mesures de protection, telles que l’authentification multifactorielle, des canaux de communication chiffrés pour garder les échanges confidentiels, la formation continue des équipes et la vérification systématique des transactions importantes.
L’augmentation de la numérisation des documents constitue un facteur de risque, considérant les vols de données ou d’identité potentiels, selon des répondants. Un client pourrait également se plaindre en fonction de son interprétation d’une protection adéquate, note un sondé.
De plus, la multiplication des moyens de communication utilisés par les clients complique la tâche des services de conformité. « Les firmes ne sont pas en mesure de les suivre comme le régulateur le voudrait », déplore un sondé. Un autre fait remarquer que certains outils ne sont pas à la hauteur pour aider les représentants à répondre adéquatement aux exigences réglementaires.
Par exemple, dans certaines firmes, l’accès aux échanges entre clients et représentants demeure partiel, ce qui complique la gestion des risques. Dans le courtage de plein exercice, un répondant évoque un manque de clarté autour de l’usage des messageries électroniques et des technologies liées au télétravail.
Les communications écrites deviennent aussi plus délicates en raison de la crainte liée à la perte de renseignements personnels. Les échanges par messagerie texte, notamment, posent un risque supplémentaire, rapporte un répondant.
« Si même les agences gouvernementales les plus sérieuses et sécurisées peuvent être piratées, nous ne sommes pas entièrement à l’abri. De l’autre côté, nos processus et la formation donnée à l’interne nous offrent une protection raisonnable sur les enjeux de deepfake ou de communication », déclare Maxime Gauthier.
Face à ces défis, plusieurs avis témoignent d’une certaine frustration.
Un répondant issu du secteur de l’assurance de personnes et de l’épargne collective soulève des lacunes dans le soutien offert par l’AMF et la CSF. « On nous réfère à des politiques générales et floues qui datent déjà. On ne sent pas qu’ils comprennent l’ampleur des défis en matière de cybersécurité et de développement technologique », observe-t-il.
Maxime Gauthier dit recevoir « peu ou pas de soutien » des régulateurs face aux risques. « On comprend que les régulateurs préfèrent ne pas se mouiller, mais la vitesse à laquelle les technologies évoluent, les risques croissants que cela représente et les coûts astronomiques font qu’il serait apprécié d’avoir plus de soutien, ne serait-ce qu’en termes de vigie, de recommandations de bonnes pratiques plus précises, de fourniture d’experts pour tester nos systèmes ou encore de mutualisation de certains risques ».
Martin Boulianne observe que « l’OCRI et l’AMF établissent un cadre réglementaire qui protège les investisseurs tout en encourageant les firmes à maintenir un haut niveau de vigilance et d’amélioration continue en cybersécurité ».
Les régulateurs doivent continuer d’aviser les firmes de leurs obligations en matière de protection des renseignements personnels et cybersécurité, mais ne peuvent s’improviser experts en la matière, juge Jean-Paul Bureaud, président et chef de la direction de FAIR Canada : « C’est difficile pour les régulateurs d’en faire davantage, car tout le monde utilise un système différent. C’est un enjeu pour la firme, pour son conseil d’administration. Bon nombre d’entre eux sont conscients des cyberrisques et des enjeux de l’IA, dont de les exposer à une responsabilité potentielle. »
Pour combler le besoin de soutien du secteur, les régulateurs pourraient créer des formations ou des études de cas où des spécialistes en cybersécurité et en technologie s’allieraient avec eux pour éduquer l’industrie. Elisabeth Chamberland, chef de la conformité, Services en placement PEAK, mentionne une formation organisée par l’OCRI à Toronto qui a été très appréciée par certains responsables des technologies de PEAK. Une formation analogue en français au Québec serait bienvenue.
Un répondant cite le bon « niveau de collaboration et de discussions » de l’OCRI sur les enjeux de cybersécurité. Un autre salue sa proactivité dans les discussions sur la nécessité d’automatiser certaines exigences réglementaires administrativement lourdes. Un acteur de l’épargne collective souligne « l’écoute et l’ouverture » de l’OCRI à l’égard de l’automatisation.
Dans le cadre d’une consultation, des membres de l’OCRI ont demandé de clarifier les règles qui concernent le recours à la technologie pour gérer les processus réglementaires. En réponse, l’OCRI a proposé de permettre aux courtiers membres d’automatiser certaines tâches ou activités. « Ces changements favoriseront la demande accrue de recours aux technologies de réglementation, ce qui aidera à réduire au minimum le risque lié à la conformité, à améliorer les résultats et à réduire les coûts », écrit l’OCRI dans une réponse à nos questions.
L’organisme encourage les courtiers à évaluer régulièrement leurs systèmes afin de détecter les lacunes importantes. « L’OCRI organise des exercices de simulation et fournit sur son site Web des ressources instructives en matière de cybersécurité, dont un outil d’autoévaluation de la cybersécurité », ajoute le régulateur.
En réponse aux commentaires du répondant sur la clarté des politiques, la CSF indique qu’elle encadre les conseillers, en établissant des principes de bonnes pratiques, mais qu’elle n’encadre pas les firmes. « Les firmes ont la responsabilité de fournir les outils technologiques permettant aux conseillers de respecter les règles d’exercice. La CSF collabore toutefois avec l’industrie. Nous travaillons par exemple en concertation au développement de nouvelles formations sur l’IA », note-t-elle.
Quant à elle, l’AMF juge que son encadrement accorde une grande flexibilité quant au choix des méthodes et des processus devant être mis en place pour assurer une bonne gouvernance et une gestion des risques technologiques. « Chaque entreprise peut moduler les moyens qu’elle prend et les outils qu’elle utilise pour prévenir les risques qui lui sont propres », précise-t-elle, en plus « d’adapter au besoin sa stratégie à de nouveaux risques ».
Pour assurer un encadrement adéquat à la transformation numérique, l’AMF poursuit certaines initiatives. « À titre d’exemple, elle a récemment collaboré avec les Organismes canadiens de réglementation en assurance à la publication d’un outil axé sur la préparation à la cybersécurité dans l’utilisation de l’intelligence générative. Une initiative en cours vise à échanger notamment avec les cabinets et les représentants en assurance sur les défis auxquels ils sont confrontés à l’égard de divers risques émergents, dont l’utilisation responsable de l’intelligence artificielle et la cybersécurité. »
L’AMF souligne que le Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit, qui est entré en vigueur le 23 avril, prévoit l’obligation de développer une politique de gestion des incidents et d’aviser l’AMF en cas d’incident de sécurité de l’information.
En ce qui concerne l’encadrement en valeurs mobilières, l’AMF les invite à consulter notamment l’Avis 11-326 du personnel des ACVM — Cybersécurité. « En vue de gérer les risques associés à une cybermenace, les personnes inscrites doivent être conscientes des enjeux de la cybercriminalité et adopter des mesures de protection et de sécurité adéquates pour se protéger ainsi que leurs clients ou les parties intéressées. Les personnes inscrites devraient évaluer si leurs systèmes de gestion des risques leur permettent de gérer les risques liés à la cybercriminalité en conformité avec les pratiques commerciales prudentes. »
L’AMF maintient aussi une surveillance du secteur financier qui vise notamment à optimiser sa capacité à intervenir rapidement pour assurer la protection des consommateurs et adapter son encadrement à l’innovation : « L’AMF demeure à l’écoute des préoccupations exprimées par le secteur et poursuit ses initiatives visant à le soutenir face à ces risques. »
Avec la collaboration de Guillaume Poulin-Goyer
Pour accéder au tableau, cliquez ici.