Pas facile pour les régulateurs de répondre aux attentes de l’industrie sur l’encadrement des nouvelles réalités technologiques. Même si leurs efforts ne passent pas inaperçus, ils devraient continuer de moderniser le cadre réglementaire et fournir des outils aux firmes afin de gérer leurs risques, dont celui de cybersécurité.
C’est ce qui ressort du sondage en ligne mené auprès des dirigeants et responsables de conformité dans le cadre du Pointage des régulateurs.
À la question « Comment évaluez-vous la pertinence des interventions du régulateur en réponse aux changements technologiques dans l’industrie ? » les répondants du secteur du courtage en épargne collective se montrent les plus satisfaits à propos des actions des régulateurs. Ils accordent les notes les plus hautes à l’Autorité des marché financiers (AMF), avec une moyenne de 8,2 sur 10. La Chambre de la sécurité financière (CSF) récolte pour sa part 8,1. L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) fait mieux qu’en 2022, avec une note de 7,5. Les répondants du secteur de l’assurance accordent 7,1 à l’AMF et 7,8 à la CSF. Une nouvelle question a été ajoutée afin d’évaluer le soutien du régulateur face aux enjeux de cybersécurité et aux risques technologiques. Les répondants du secteur de l’assurance accordent une note de 6,4 sur 10 à l’AMF et de 6,7 à la CSF. Ceux du secteur de l’épargne collective donnent 7,5 à la fois à l’AMF et la CSF alors que l’OCRCVM affiche une performance de 8,3.
Un répondant félicite « les grands pas » des régulateurs, qui ont permis « d’éliminer les dossiers papier et d’accepter les signatures électroniques ».
Défis de l’AMF
Or, l’AMF a encore du travail à faire, selon un répondant. D’après lui, le régulateur devrait s’inspirer « des exigences de démonstrations d’éléments de sécurité lorsqu’on prend un avion et mettre en garde l’investisseur à la source » plutôt que de rejoindre les jeunes sur les médias sociaux.
« Il y a peu de directives en matière de cybersécurité », déplore un autre. « Un guide plus précis des attentes et des bonnes pratiques serait apprécié pour les courtiers et cabinets », opine un troisième sondé.
Maxime Gauthier, directeur général et chef de la conformité de Mérici Services financiers, garde un goût amer d’une récente inspection de l’AMF. « Elle a identifié que nous devions renforcer notre cybersécurité. Cependant, à part se [fier] à des avis assez sommaires et très généraux, elle ne nous apporte aucune aide », constate-t-il.
Mérici, comme plusieurs firmes indépendantes, n’a pas les moyens d’avoir un expert en cybersécurité à l’interne ou d’engager une entreprise spécialisée, signale le dirigeant.
Selon lui, l’AMF devrait réfléchir à une façon de donner des outils aux petites et moyennes firmes pour régler les défis de cybersécurité. « Sinon, on court le risque de concentrer toute la propriété des firmes de courtage entre les mains de grands joueurs nationaux » , estime-t-il.
De plus, il souligne que les ressources financières et humaines ne sont pas au rendez-vous pour gérer les risques technologiques, car elles sont déjà mobilisées par d’autres obligations réglementaires, telles que les réformes axées sur le client, la protection des personnes vulnérables ou le plan de continuité des activités.
Mérici doit fonctionner selon une « zone de raisonnabilité » pour couvrir les principaux risques technologiques et protéger les informations des clients. La firme priorise ainsi certaines actions, par exemple en limitant l’accès à la consultation des données clients par les conseillers ou en mettant en place des mesures de surveillance des ordinateurs des employés pour restreindre le téléchargement de données ainsi que l’accès à certains sites Internet.
L’AMF devrait détailler ses attentes, par exemple en précisant qu’elle privilégie l’infonuagique d’un fournisseur canadien, car les lois d’ici sont plus rigoureuses que celle d’ailleurs, selon Yvan Morin, vice-président, affaires juridiques et chef de la protection des renseignements personnels à MICA Cabinets de services financiers. « On met en place des trucs en croyant que c’est la bonne chose, alors qu’on ne va connaître les véritables attentes de l’AMF qu’en inspection. »
« Les régulateurs sont très ouverts et consciencieux afin de ne pas empêcher l’innovation », estime pour sa part Jean-Paul Bureaud, directeur général de FAIR Canada. Il mentionne par exemple la création par l’AMF d’un « bac à sable réglementaire » qui permet l’expérimentation dans un environnement minimisant le risque pour les clients.
Selon lui, le régulateur a une approche responsable en augmentant la prise de conscience des entreprises sur les enjeux de cybersécurité et en les obligeant à réfléchir en amont à la manière de protéger les données des clients. « Mais il est difficile pour les régulateurs de leur dire exactement quoi faire », nuance-t-il, compte tenu de la diversité des modèles d’affaires.
Focus de l’OCRCVM
« Beaucoup de questions, peu de solutions. » Un sondé résume ainsi la pertinence du soutien de l’OCRCVM aux firmes en matière de gestion des risques technologiques. « La réglementation tarde à s’adapter aux nouvelles méthodes de communication électroniques », note un autre répondant.
L’OCRCVM fait pourtant des efforts (Lire : Préoccupé par la cybersécurité, le Nouvel OAR). Mais il pourrait faire mieux.
Julie Gallagher, vice-présidente principale et chef de la conformité à iA Gestion privée de patrimoine, donne l’exemple de la lourdeur de supervision des communications par messagerie instantanée (chat). Alors que les règles ne visent pas la supervision des conversations téléphoniques, on applique au chat la même rigueur de supervision que celle d’une lettre officielle, dit-elle : « Le fardeau de travail est beaucoup trop élevé par rapport à la protection de la clientèle, qui n’est pas augmentée. »
Selon Julie Gallagher, l’OCRCVM devrait également permettre d’utiliser des algorithmes afin de surveiller certaines tâches, comme l’ouverture des comptes des clients à risques faibles. « L’humain pourrait se concentrer davantage sur les cas plus à risque », dit-elle. Elle souhaite que le Nouvel organisme d’autorégulation (OAR) produise un manuel de règles modernisé, intégrant les règles de l’ACFM et de l’OCRCVM pour refléter l’utilisation de nouvelles technologies.
Afin de mieux jouer son rôle de soutien, l’OCRCVM aurait avantage « à être plus près du terrain pour constater l’impact concret de ses décisions », signale Julie Ouellet, vice-présidente et directrice nationale des ventes à Valeurs mobilières Desjardins (VMD). « Il faut protéger le client, mais il faut aussi que ce dernier soit bien servi par le conseiller. Si on ajoute de la lourdeur au conseiller, c’est le client qui en paye le prix, assure-t-elle, car le conseiller a alors moins de temps à consacrer aux planifications et à la mise en place de stratégies. »
Un des défis de l’industrie des valeurs mobilières consiste à bien outiller les conseillers dans un environnement où les tâches administratives s’alourdissent. VMD passe actuellement en revue ses processus afin de faciliter la mise à jour des dossiers clients et de gagner en rapidité et en efficacité, rapporte Julie Ouellet. L’institution financière mise notamment sur l’intelligence artificielle pour automatiser certaines tâches administratives et dégager ainsi du temps pour les conseillers.
CSF : collaborer avec l’industrie
Un répondant souligne l’ouverture de la CSF « autant à [écouter] qu’à travailler en collaboration avec l’industrie dans l’amélioration des activités ». Il cite l’Espace courtier/cabinet comme « un exemple parfait » de cette collaboration.
Ce portail était un besoin exprimé par l’industrie de pouvoir mieux accompagner les représentants afin d’éviter que ceux-ci ne voient leur permis suspendu parce qu’ils ont négligé leurs obligations de formation continue. « La CSF a eu une oreille très attentive. Ils ont mis beaucoup d’efforts pour finalement venir avec un résultat qui permet d’améliorer la situation », souligne Yvan Morin.
Par rapport à l’an dernier, la CSF affiche une hausse de sa note cette année en ce qui concerne la pertinence de ses interventions en réponse aux changements technologiques dans l’industrie. La CSF attribue cette progression à sa volonté d’« améliorer ses processus d’affaires dans un contexte où la numérisation des données et les nouvelles technologies ouvrent la voie à de nouveaux modes de collaboration ». De plus, une vigie réglementaire lui permet de rester à l’affût des nouveaux développements en matière de conformité dans l’industrie. (Lire : La CSF plus près de l’industrie).