Alors que c’est l’Organisme canadien de réglementation des investissements (OCRI) qui envoie des lettres de notification aux investisseurs touchés par la fuite de données survenue en août, ce sont les conseillers en services financiers qui doivent répondre aux questions des clients.
« Ce ne sont pas [les régulateurs] qui font face aux clients », rapporte « Pat Doe », pseudonyme du président et chef de la conformité d’un courtier ontarien. La publication a accepté de ne pas identifier le dirigeant ni la firme, celle-ci devant prochainement faire l’objet d’un audit réglementaire.
« Ce ne sont pas eux qui risquent de perdre un client, ajoute-t-il. En ce moment, ce n’est pas facile d’être conseiller et d’avoir ces conversations. »
Le 14 janvier, l’OCRI a indiqué qu’environ 750 000 investisseurs canadiens ont été touchés par la brèche, détectée le 11 août à la suite d’une attaque d’hameçonnage. Le 9 septembre, l’organisme confirmait que des renseignements personnels de personnes inscrites avaient été piratés.
Les données compromises pourraient inclure des dates de naissance, des numéros de téléphone, des revenus annuels, des numéros d’assurance sociale, des numéros de pièces d’identité gouvernementales, des numéros de compte d’investissement et des relevés de compte. Ces données provenaient des travaux d’enquête, d’évaluation de la conformité et de surveillance des marchés de l’OCRI.
Manque d’information pour les courtiers
Les courtiers ne disposent pas d’une liste complète des clients touchés, ce qui complique les discussions proactives.
« Les régulateurs nous ont fourni le minimum d’information possible pour gérer la perte d’une quantité importante de données et ces données appartiennent à nos clients », explique Geoff Whitlam, président de Research Capital.
Natasa Morfesis, vice-présidente principale, conformité des courtiers et chef de la conformité chez Worldsource Wealth Management, explique que dans certains cas, notamment les examens de surveillance des marchés, les données ne permettent pas d’identifier avec certitude le courtier concerné.
L’OCRI a précisé qu’elle ne transmettrait pas aux firmes la liste des personnes touchées.
Ainsi, une lettre pourrait concerner un ancien compte détenu auprès d’un autre courtier réglementé par l’OCRI.
Dan Hallett, de HighView Financial Group, souligne l’incertitude sur la période visée : « Est-ce l’an dernier ? Il y a cinq ans ? Dix ans ? »
Pourquoi l’OCRI détenait-elle ces données ?
Certains clients s’interrogent sur la nature des documents compromis.
Geoff Whitlam note que la date de naissance, par exemple, « n’apparaît pas sur les relevés de compte ni dans les données de surveillance des marchés ». Les clients veulent savoir pourquoi et comment l’OCRI détenait ces renseignements.
Dans une déclaration écrite, l’OCRI indique que ses dossiers sont soumis à des obligations légales et réglementaires de conservation, variables selon le type d’information. L’organisme affirme avoir mis en place des politiques internes et s’être engagé à les revoir à la lumière de l’incident.
Lettres de notification source de confusion
Certains clients craignent que les lettres soient elles-mêmes frauduleuses.
Une offre de deux ans de surveillance du crédit a même été perçue par certains comme une possible arnaque.
Des conseillers ont aussi signalé des erreurs d’adressage ou des ambiguïtés, notamment pour des comptes conjoints ou des successions.
Les conseillers ne peuvent pas inscrire leurs clients à la surveillance du crédit en leur nom, puisque chaque lettre contient un code unique. Ils peuvent seulement encourager les clients à appeler le numéro indiqué, une réponse jugée « froide » par certains professionnels.
Pression sur les conseillers
Plusieurs conseillers hésitent à envoyer une communication de masse, afin d’éviter de provoquer une panique inutile.
Brenda Potter Phelan, de Investia Financial Services, dit craindre de paraître « indifférente ou mal informée » si des clients reçoivent une lettre sans avoir été contactés par elle.
Jason Pereira, associé chez Woodgate Financial, privilégie une approche réactive. « Rejoindre toute ma clientèle créerait une inquiétude inutile », estime-t-il.
Il rappelle que les atteintes à la protection des données sont devenues monnaie courante. « Peu importe l’institution, grande banque ou courtier indépendant, l’OCRI est un organisme national », souligne-t-il.
Conseils aux clients
Malgré les frustrations, plusieurs conseillers recommandent l’inscription aux services gratuits de surveillance du crédit.
Dan Hallett, qui a lui-même reçu une lettre en tant qu’ancien inscrit, dit que l’inscription lui a apporté « une certaine tranquillité d’esprit » et qu’aucune activité suspecte n’a été détectée jusqu’à présent.
En attendant davantage de transparence, les conseillers continuent d’assumer le rôle de soutien émotionnel et pédagogique auprès de leurs clients, même lorsqu’ils ne disposent pas de toutes les réponses.