Selon une déclaration datée du 2 décembre et déposée devant la Cour supérieure de justice de l’Ontario à Toronto, Net-Patrol International aurait présenté de façon inexacte « les services rendus, les fonctions exécutées et la nécessité alléguée de ces fonctions ».

Plus précisément, Advocis conteste avoir eu besoin du cadre de cybersécurité évalué par Net-Patrol. « Les travaux allégués [de Net-Patrol] ne correspondaient ni à la portée des services proposés ni aux montants facturés », soutient l’association dans son document judiciaire.

Les avocats de Net-Patrol n’ont pas répondu à une demande de commentaire.

La déclaration d’Advocis constitue une réponse à la défense déposée par Net-Patrol contre une demande reconventionnelle introduite par l’association l’an dernier.

En février 2025, Net-Patrol avait poursuivi Advocis et sa filiale à but lucratif, Advocis Broker Services Inc. (ABS), pour plus de 560 000 $, alléguant une rupture de contrat, ainsi qu’un membre de la haute direction pour incitation à la rupture de contrat. Cette poursuite faisait suite à la résiliation du contrat par Advocis au dernier trimestre de 2024, après la nomination de Kelly Gorman à la direction générale.

En avril 2025, Advocis a déposé une demande reconventionnelle pour rupture de contrat et enrichissement injustifié, affirmant que les services de Net-Patrol étaient déficients et trop coûteux, et réclamant près de 185 000 $ en dommages-intérêts. En réponse, Net-Patrol soutient qu’Advocis a mis fin au contrat dans le cadre de ses efforts de réduction des coûts.

Après des déficits de 766 426 $ en 2023 et de 2,7 millions de dollars (M$) en 2022, Advocis a affiché un excédent consolidé de 1,8 M$ en 2024, largement attribuable à des compressions de dépenses. De son côté, ABS a enregistré une perte de plus de 68 000 $.

Litige avec SeeWhy

La société SeeWhy Financial Learning a également intenté une poursuite contre Advocis en février 2025 pour rupture de contrat. L’association a déposé une défense et une demande reconventionnelle en juillet, alléguant avoir été surfacturée. L’affaire est toujours en cours.

Dennis Touesnard, avocat de SeeWhy et associé chez Waterous Holden Amey Hitchon à Brantford (Ontario), a indiqué par courriel le 26 mars dernier que, lorsque Advocis a annoncé la composition de son nouveau conseil d’administration l’an dernier, son « client a écrit au président pour savoir si Advocis avait révisé sa position et s’il existait une voie de règlement ».

Curtis Kimpton, ancien administrateur d’Advocis, a été nommé président du conseil en 2025.

« Malheureusement, le président n’a pas répondu, a rapporté Dennis Touesnard. Par conséquent, mon client entend poursuivre pleinement les procédures. »

Dans une déclaration transmise par courriel le 26 mars, Advocis a indiqué que, lorsque le président du conseil a reçu la correspondance de SeeWhy, celle-ci a été « traitée de manière appropriée par la direction générale, autorité opérationnelle pour ces questions, conformément à la structure de gouvernance et aux processus décisionnels d’Advocis ». La direction a répondu que toute communication supplémentaire devait passer par les représentants juridiques.

Des interrogatoires préalables (examinations préalables à l’instruction) ont été fixés, a précisé Dennis Touesnard. « Étant donné que le cœur du litige porte sur l’interprétation du contrat, nous avons hâte d’interroger le seul employé restant d’Advocis directement impliqué dans la négociation et la signature de l’entente », a-t-il déclaré, sans en révéler l’identité.

Advocis a pour sa part indiqué qu’« aucun employé actuel n’était signataire ni n’a participé à la négociation de l’entente en vigueur ».

Selon les documents judiciaires, l’entente conclue en 2022 avec SeeWhy a été modifiée en avril 2023.

« Comme cette affaire est actuellement devant les tribunaux, il serait inapproprié de commenter les détails du dossier ou les réclamations des parties, a indiqué Advocis. Comme le savent nos membres, nous adoptons une approche rigoureuse dans la gestion des contrats hérités et veillons à ce que toutes les dépenses et relations avec les fournisseurs soient alignées sur les intérêts à long terme de nos membres. »

Concernant les dossiers SeeWhy et Net-Patrol, Advocis affirme « demeurer engagée à respecter le processus judiciaire » et ne pas commenter davantage tant que les affaires sont pendantes.

Autres dossiers juridiques

Advocis a réglé un litige similaire avec SeeWhy en 2024 pour près de 100 000 $ relativement au non-paiement de matériel pédagogique. La même année, l’association a également conclu des règlements dans des causes de congédiement injustifié, notamment avec son ancien chef de la direction de longue date, Greg Pollock. En septembre dernier, elle indiquait qu’une autre réclamation potentielle avait également été réglée.

Enfin, une plainte en droits de la personne déposée en février 2025 par un ancien employé licencié est toujours en cours. En date du 24 mars, le dossier demeure « devant un décideur pour examen des prochaines étapes », a indiqué mercredi par courriel un porte-parole de Tribunals Ontario.

Le conseil d’administration de la mutuelle en a fait l’annonce en marge de l’assemblée générale annuelle, le 18 mars.

Selon Christian Mercier, cette décision s’inscrit dans une logique de cycle de gestion. « Mon opinion est qu’un PDG doit rester juste assez longtemps », explique-t-il. Après « dix bonnes années de transformation pour la compagnie », il juge que les conditions sont réunies pour assurer une transition dans un contexte favorable. « Honnêtement ça va super bien, mais je sentais que j’avais pas mal fait ce que j’avais à faire. »

Le dirigeant demeurera en poste pendant le processus de relève afin d’assurer une transition structurée.

Moderniser UV Assurance

Arrivé à la tête de l’assureur en 2016 après une carrière de 33 ans dans les Forces armées canadiennes, Christian Mercier avait reçu un mandat clair : repositionner l’organisation et moderniser ses opérations.

Le conseil d’administration estime que son passage à la tête de l’institution a effectivement été marqué par une transformation profonde de la mutuelle, qui a célébré 135 ans d’histoire en 2025. « Son leadership a permis à UV Assurance de franchir des étapes déterminantes et de se positionner comme un joueur clé dans l’industrie de l’assurance au Canada », affirme son président, Alain Bédard.

Sans surprise, parmi les réalisations dont Christian Mercier se dit le plus fier figure la transformation technologique de l’entreprise. « Nous avons quand même déployé notre nouveau système administratif il y a cinq ans, et nous demeurons, cinq ans plus tard, toujours la seule et unique compagnie d’assurance de personnes au Canada à avoir complété cette transformation-là, de bout en bout », souligne-t-il.

L’année dernière, le jury du Top des leaders de l’industrie financière a d’ailleurs décerné une mention spéciale innovation à Christian Mercier. « Avec son équipe, il a orchestré un virage positif pour UV, en modernisant ses infrastructures technologiques, ce qui a stimulé sa croissance », signifiait alors le jury.

Cette modernisation a permis de renforcer la sécurité des données, d’améliorer l’efficacité opérationnelle et de soutenir la croissance de l’organisation. Elle a également préparé le terrain pour les prochaines étapes de développement technologique. « Le conseil d’administration a approuvé des investissements pour les prochaines années. Nous allons accroître l’automatisation et y intégrer de l’intelligence artificielle », précise Christian Mercier.

À cet égard, la stratégie technologique d’UV Assurance s’inscrit dans un horizon de plusieurs années. Elle repose d’abord sur la mise en place d’une infrastructure de données solide. L’organisation travaille actuellement à développer un entrepôt de données performant, qu’il considère comme la pierre d’assise de ses ambitions en matière d’intelligence artificielle (IA). « L’entrepôt de données, c’est la base pour l’IA. », explique le dirigeant.

Selon lui, cette infrastructure permettra de mieux structurer et exploiter les données de l’entreprise. « C’est ce qui permet vraiment de catégoriser, puis de bien diviser la donnée pour pouvoir l’utiliser plus tard. »

Des applications d’IA sont déjà utilisées à plus petite échelle, notamment en cybersécurité. « Nous utilisons déjà de petits outils d’IA au service de la compagnie », dit Christian Mercier, soulignant qu’ils contribuent à renforcer « la défense de l’organisation dans l’espace numérique ».

L’objectif est désormais d’aller plus loin. « Notre ambition est de déployer, d’ici 2030, des initiatives d’envergure en intelligence artificielle pour nous aider dans la gestion et l’optimisation de nos opérations. »

La technologie au service des conseillers

Malgré cette transformation technologique, Christian Mercier insiste sur un point : le conseiller en services financiers demeure au cœur du modèle d’affaires d’UV Assurance. « Même si nous sommes une compagnie technologique qui pourrait avoir l’audace de vendre en direct, nous demeurons une mutuelle et nous misons beaucoup sur la valeur ajoutée des conseillers et des courtiers auprès de notre clientèle », certifie-t-il.

Pour lui, la technologie doit avant tout servir à soutenir le travail du réseau de distribution. « La pièce centrale de notre plan stratégique a toujours été le conseiller », souligne-t-il.

Cette orientation s’inscrit également dans la mission que l’assureur s’est donnée : soutenir les familles de la classe moyenne. « Quand j’ai l’occasion de m’adresser aux conseillers, je leur dis qu’ils changent des vies en faisant ça, rapporte-t-il. Ils contribuent à enrichir les générations futures. »

Sous la direction de Christian Mercier, UV Mutuelle est devenue UV Assurance dans le but d’appuyer son expansion à l’extérieur du Québec.

Alors que l’assureur était historiquement très concentré dans son marché d’origine, la croissance hors Québec représente désormais environ la moitié de ses activités. « Nous sommes à peu près 50-50 présentement », évalue le dirigeant. Des embauches ont également été effectuées à l’extérieur de la Belle province.

Cette expansion s’est notamment accélérée à la suite de l’acquisition d’un important portefeuille de contrats d’assurance vie provenant de BMO Assurance, une transaction conclue en 2025. « Nous avions 250 000 mutualistes chez UV et nous sommes rendus à un demi-million », déclare Christian Mercier.

Cette opération a été rendue possible grâce aux investissements technologiques réalisés au cours de la décennie, selon lui. « Nous avons été capables de migrer 180 000 polices dans nos systèmes dans la nuit du vendredi au dimanche matin et ça fonctionnait très bien », raconte-t-il.

Le dirigeant laisse entendre que de nouvelles acquisitions pourraient suivre. « Nous avons encore plusieurs initiatives dans les cartons pour soutenir notre croissance dans les prochaines années. C’est notre ambition », dit-il.

Au cours de son mandat, l’assureur a d’ailleurs renforcé ses capacités organisationnelles. « L’équipe est quand même passée de 90 employés à 300 pour appuyer les activités en croissance et les projets de transformation », souligne Christian Mercier. Parallèlement, UV Assurance a inauguré un nouveau siège social, un projet réalisé en pleine pandémie.

Les défis du secteur

Malgré ces avancées, Christian Mercier concède que les assureurs doivent composer avec un environnement de plus en plus complexe, notamment sur le plan réglementaire.

« L’espace réglementaire maintenant est multidimensionnel », observe-t-il. Aux exigences des autorités financières s’ajoutent désormais des obligations liées à la protection des renseignements personnels et à la cybersécurité, illustre-t-il. « Pour des compagnies de notre taille, la charge réglementaire demeure un bon défi. »

Selon lui, la capacité d’intégrer ces exigences tout en poursuivant la croissance de l’entreprise sera l’un des enjeux clés pour les prochaines années.

Le dirigeant observe également une consolidation progressive dans certains segments de l’industrie, notamment en assurance collective. « Il semble y avoir un mouvement bien lancé de consolidation à travers le Canada », relève-t-il.

Il juge toutefois que l’écosystème demeure stable. « Dans la pratique, ça n’a pas soulevé de problématiques significatives dans les dernières années. »

Après dix ans à la tête de la mutuelle, Christian Mercier envisage une transition vers une forme de préretraite. Il n’exclut pas de siéger à des conseils d’administration ou de réaliser certains mandats de consultation, mais ne prévoit pas de reprendre un rôle exécutif à temps plein.

D’ici là, il souhaite transmettre un message aux conseillers qui ont accompagné la croissance de l’entreprise. « Nous avons besoin de ces gens-là pour prendre en charge les familles moyennes au Canada, affirme-t-il. Ils font un travail exceptionnel et nous les avons en très haute estime. »

Dans un courriel reçu par Finance et Investissement, l’OCRI affirme : « Rien n’indique que des données ont été utilisées à mauvais escient. » Harold Geller, défenseur des droits des investisseurs chez Geller Law, en doute, mais il ne peut démontrer le contraire. Il fait simplement le constat que deux recours judiciaires ont émergé très rapidement, sans être encore officialisés, un au Québec et un autre en Colombie-Britannique, après que l’OCRI a eu reconnu, dans un communiqué du 14 janvier 2026, que le cyberincident « a touché environ 750 000 investisseurs canadiens ».

Me Geller fait l’hypothèse que des poursuites ne se seraient pas matérialisées aussi rapidement après le communiqué du 14 janvier (survenu cinq mois après la première annonce du cyberincident), « si des dommages impliquant des investisseurs n’avaient pas surgi un certain temps avant le communiqué ».

Rappelons que le Mouvement Desjardins a accepté un règlement à l’amiable d’environ 200 millions de dollars (M$) pour clore les poursuites liées à une fuite de données survenue en juin 2019. Il n’est pas dit que l’OCRI s’en sortira indemne ; cependant il vaut la peine de se remémorer le cas Lamoureux c. OCRCVM, où un inspecteur de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) (maintenant l’OCRI) avait oublié un ordinateur non crypté dans un train. L’action collective a été rejetée par la Cour supérieure du Québec, jugeant les dommages non prouvés et la réaction de l’organisme appropriée.

Relativiser la perte de données

Me Geller juge que les investisseurs souffrent déjà des dommages puisqu’ils ont raison de s’inquiéter pour leurs actifs « Leur susceptibilité à des fraudes de toutes sortes a considérablement augmenté. » En revanche, aucun cas de vol d’identité ou de fraude financière lié au cyberincident à l’OCRI n’est encore documenté. « Je n’ai eu vent de rien, » affirme Maxime Gauthier, président de Mérici Services financiers, qui siège au conseil régional de l’OCRI.

Ce dernier tient à mettre les choses en perspective. « Si quelqu’un pense qu’aucune de ses informations personnelles ne se retrouve sur le Dark Web, il se raconte des histoires. » Alexandre Cormier, président de la société de sécurité informatique CyberShell, en dit autant. « À peu près tout le monde s’est fait voler ses données, dit-il. Qui irait chercher cette info pour l’utiliser contre moi ? Je crois que c’est de moins en moins important. Le numéro d’assurance sociale et la date de naissance ne sont plus des moyens suffisants de s’identifier. » De plus, les informations sur le

Dark Web « sont mal formatées et peu fiables », ajoutant que les informations subtilisées à l’OCRI sont « assez bénignes ».

Rappelons que, dans son communiqué, l’OCRI rapporte que les renseignements suivants pourraient avoir été compromis : date de naissance, numéros de téléphone, salaire annuel, numéro d’assurance sociale, numéros de pièces d’identité gouvernementales, numéros de compte de placement et relevés de comptes.

À quel type de cyberpirate a-t-on affaire ?

Ce n’est pas pour dire que le fait que des informations personnelles circulent dans le Dark Web est sans danger. « En soi, il est assez bénin de se faire voler son information personnelle, poursuit Alexandre Cormier, cependant le contexte dans lequel s’insère cette information peut faire la différence. Si elles s’inscrivent dans un contexte où on vise des gens fortunés, alors ce n’est pas anodin. »

La nature de l’attaque contre l’OCRI peut fournir des indices sur l’utilisation éventuelle des données : s’agit-il d’une attaque de circonstance effectuée par des pirates qui ont pénétré dans les systèmes de l’OCRI comme ils seraient entrés dans l’ordinateur du dépanneur du coin ? Ou s’agit-il d’une attaque systématique et concertée menée par des experts visant à obtenir des informations pour lesquelles ils envisagent déjà une utilisation lucrative ?

« Un expert en cybersécurité pourrait déterminer si l’attaquant est opportuniste ou déterminé », affirme Alexandre Cormier. Mais nous n’en savons rien pour l’instant. Dans le courriel qui répond aux questions de Finance et Investissement, l’OCRI se contente de dire que « cet incident a été le résultat d’un hameçonnage sophistiqué ».

Le proverbial maillon faible

Chose à peu près certaine, le cyberincident a joué sur une faiblesse humaine. Il ne s’agit pas d’une simple pénétration informatique. Un humain a été hameçonné : par exemple, un courriel l’a invité à cliquer sur un lien — et il est tombé dans le panneau, ouvrant tout grand son ordinateur aux pirates. Cela indiquerait que l’OCRI a peut-être failli dans la formation de son personnel contre les cybermenaces.

À la suite, on peut se demander si le système d’exploitation de l’ordinateur qui a servi de point d’entrée aux pirates était à jour. « L’ordinateur était-il passé de Windows 10 à Windows 11, questionne Alexandre Cormier ? Si ce n’est pas le cas, on se retrouve avec une grande porte béante. Les choses ont débuté avec un hameçonnage, mais toute une chaîne d’événements s’ensuit à partir de là. L’employé avait peut-être toute cette information sur son poste de travail, ce qui n’est certainement pas une bonne pratique. Sinon, d’autres barrières ont été pénétrées et, là encore, peut-être que des contrôles nécessaires n’étaient pas en place. »

Pour l’instant, on peut se perdre en conjectures, conjectures qui trouveront peut-être réponse si les recours collectifs au Québec et en Colombie-Britannique vont de l’avant.

Une controverse

Avant même que toute poursuite se matérialise, une question a suscité une controverse. Dans une chronique d’opinion parue le 24 février dans Investment Executive, Barbara Amsden, défenseur des droits des consommateurs, évaluait à 100 M$ les coûts découlant du cyberincident, qu’il s’agisse de dépenses de mise à jour des systèmes informatiques ou de pénalités légales. Elle proposait que, pour couvrir une partie de ces frais, l’OCRI recoure à son fonds de réserve de 25 M$. « Utiliser ce fonds pour couvrir les frais est la seule façon d’atteindre à une justice systémique », a-t-elle écrit.

« Ne touchez pas à ce fonds ! » a répliqué Ken Kivenko, défenseur des investisseurs, dans une réponse parue le 2 mars également dans Investment Executive, écrivant : « Un organisme d’autoréglementation qui ne peut protéger les fonds destinés à des initiatives dans l’intérêt des investisseurs et du public contre les intérêts manifestes de l’industrie doit rendre les clés aux ACVM, car à ce stade, il a cessé de fonctionner dans l’intérêt public. »

Maxime Gauthier est du même avis. « Ce fonds est pour la protection des investisseurs dans un cadre d’éducation. Je ne pense pas qu’il peut être détourné. C’est un fonds dédié ! » En même temps, il réclame une certaine indulgence à l’endroit de l’OCRI. « Je suis très réticent à leur lancer la pierre, dit-il. Ils sont à fusionner deux organismes et doivent gérer un calendrier très ambitieux. Je peux être très empathique. »

Dans son Rapport sur la conformité 2026, il met en évidence les points de fragilité qui persistent chez les courtiers, tant sur le plan technologique que dans leurs mécanismes internes de surveillance.

L’organisme attire notamment l’attention sur la montée des cyberrisques, l’encadrement des plateformes de négociation de cryptoactifs et l’intégration croissante de l’intelligence artificielle (IA) dans les opérations. En parallèle, ses inspections continuent de révéler des faiblesses récurrentes en matière de surveillance, de gestion des conflits d’intérêts et d’application des réformes axées sur le client.

La transformation numérique du secteur financier, bien qu’elle ouvre de nouvelles possibilités, crée également des vulnérabilités que les courtiers doivent gérer avec prudence, estime Andrew J. Kriegler, président et chef de la direction de l’OCRI.

Cybersécurité : la vulnérabilité des tiers

La cybersécurité demeure un risque d’affaires majeur. L’OCRI observe une hausse des incidents touchant des fournisseurs de services tiers, dont les conséquences se répercutent directement sur les courtiers.

Même si des progrès ont été réalisés dans la correction des lacunes relevées ces dernières années, le régulateur rappelle que les contrôles doivent évoluer au même rythme que les menaces. La formation du personnel demeure un levier central : plusieurs incidents découlent encore d’erreurs humaines, notamment d’attaques d’hameçonnage ayant permis des accès non autorisés aux systèmes.

Les inspections continueront d’évaluer non seulement les mécanismes de détection et de signalement des incidents, mais aussi la qualité des contrôles entourant l’externalisation des fonctions critiques.

Cryptoactifs : normalisation et encadrement renforcé

Du côté des plateformes de négociation de cryptoactifs, l’OCRI poursuit leur intégration progressive dans son cadre réglementaire. L’accent est mis sur la solidité des contrôles opérationnels, la garde des actifs numériques et les pratiques de dépôt fiduciaire.

L’organisme a d’ailleurs publié un cadre visant à structurer les exigences techniques et opérationnelles entourant la détention de cryptoactifs par des fiduciaires. Parallèlement, la « Boîte à innovations » que l’organisme a mis sur pied permet d’expérimenter certains produits ou modèles, notamment des prêts garantis par des cryptoactifs ou l’utilisation de cryptomonnaies stables pour faciliter les règlements hors des heures bancaires traditionnelles.

L’approche se veut pragmatique : soutenir l’innovation, mais dans un environnement contrôlé.

IA : gains d’efficacité, nouvelles responsabilités

L’IA s’impose progressivement dans les processus des courtiers : automatisation, analyse, surveillance. L’OCRI indique qu’elle examinera l’utilisation de celle-ci lors de ses inspections de la conformité des finances et des opérations.

Le régulateur s’attardera particulièrement aux contrôles mis en place pour s’assurer que ces outils fonctionnent comme prévu et que leur utilisation ne crée pas de risques non maîtrisés. Les courtiers doivent également déterminer si l’intégration de l’IA constitue un changement important nécessitant une déclaration préalable.

Réformes axées sur le client : des politiques trop génériques

Sur le plan de la conduite, le rapport revient sur les constats de la phase 2 des Réformes axées sur le client. La lacune la plus fréquemment observée : des politiques et procédures insuffisamment détaillées ou trop génériques.

Des documents qui reprennent les principes réglementaires sans décrire les processus concrets de la firme sont jugés inadéquats. Le régulateur invite les courtiers à revoir leurs cadres internes afin qu’ils reflètent réellement leurs pratiques opérationnelles.

Surveillance : angles morts persistants

Les équipes de conformité ont également relevé des écarts dans la surveillance des activités externes des employés et dans la détection des communications avec les clients par des canaux non approuvés.

La gestion des conflits d’intérêts demeure un autre point sensible. Certaines firmes divulguent les conflits aux clients sans avoir procédé à une analyse interne complète ; d’autres documentent les conflits sans en assurer une communication claire et structurée.

Des préoccupations persistent aussi quant à l’efficacité des systèmes de surveillance quotidienne et mensuelle des opérations ainsi qu’aux contrôles entourant les ententes d’indication de clients.

Inscription et compétences : rigueur accrue

Le rapport fait également le point sur la délégation élargie des fonctions d’inscription à l’OCRI, qui traite désormais la majorité des dossiers d’inscription des personnes physiques actives dans le secteur des valeurs mobilières.

L’organisme rappelle l’importance de fournir des dossiers complets, notamment lorsque des éléments sensibles — poursuites civiles, difficultés financières, antécédents réglementaires — exigent un examen approfondi.

Par ailleurs, le nouveau modèle d’assurance des compétences axé sur des évaluations est entré en vigueur au début janvier. Les courtiers doivent adapter leurs politiques internes et s’assurer du respect des nouvelles exigences de formation.

Un signal clair aux dirigeants

En conclusion, le rapport de l’OCRI lance un appel clair aux courtiers : la conformité réglementaire n’est pas qu’une question de cases à cocher, mais bien un enjeu fondamental de protection des investisseurs.

« Tandis que les courtiers continuent d’adopter des technologies novatrices et de faire évoluer leurs activités pour satisfaire les besoins changeants des investisseurs canadiens, il est essentiel d’atténuer les nouveaux risques », souligne Andrew J. Kriegler, président et chef de la direction de l’OCRI.

À l’occasion du Top des leaders de l’industrie financière, nous avons demandé aux dirigeants honorés de s’exprimer sur les défis rencontrés sur ce plan et comment ils en tiennent compte.

« En tant que PME de l’assurance, nous aurons une stratégie qui répond à nos besoins et non une stratégie qui suit les tendances. Nous sommes en mode analyse et observation et allons appliquer l’IA dans un contexte qui répond à nos besoins opérationnels et qui bénéficie à notre clientèle de jeune famille ainsi qu’à notre réseau de distribution », soutient Jean-Mathieu Sigouin, premier vice-président, stratégie et innovation, chez UV Assurance.

Selon lui, la fibre mutualiste d’UV reste au cœur de sa stratégie et il entend mettre des choses en place en en tenant compte « sans être les premiers à la ligne de départ ».

L’IA est devenue incontournable dans différents domaines, dont l’analyse des données organisationnelles et leur valorisation, selon Denis Dubois, président et chef de la direction du Mouvement Desjardins. D’après lui, ces données doivent servir notamment à améliorer l’expérience des membres et clients, avec de la personnalisation. Elles peuvent également être un levier de croissance, un outil de gestion des risques et une source de productivité.

« Ce sont vraiment ces quatre thèmes sur lesquels on essaie de voir comment la donnée et l’analytique sont capables de nous amener beaucoup plus loin. Le thème de l’éthique et de la sécurité est très important sur ce sujet-là. C’est-à-dire qu’on veut avancer vite, mais de façon sécuritaire et très éthique », note Denis Dubois.

Desjardins a lancé un outil sur AccèsD qui s’appelle Alvie, une assistante virtuelle, qui produit en moyenne sept conseils personnalisés par mois, par membre. « On avance là-dedans et nécessairement, ça va transformer le visage des organisations parce que les outils sont puissants », précise le dirigeant.

Selon lui, un défi reste la gestion de la qualité de la donnée afin de nourrir les outils d’IA et la gestion de leurs hallucinations.

Chez iA Groupe financier, l’organisation expérimente l’IA dans ses processus. « Nous avons enregistré des succès à certains endroits, même s’ils demeurent modestes. Les gens pensent que l’IA va tout changer, mais nous n’en sommes pas encore là. Pour l’instant, nous testons certains modèles prédictifs avancés », explique Denis Ricard, président et chef de la direction d’iA Groupe financier.

L’un des objectifs est de rendre les employés plus productifs en les formant sur une utilisation saine des ChatGPT et Copilot de ce monde. « Nous avons des projets d’affaires qui intègrent l’IA. Par exemple, dans nos centres d’appels, lorsqu’un agent parle à un client, avant, il écrivait ses notes. Aujourd’hui, c’est produit automatiquement. L’agent n’a qu’à réviser [la prise de note] », illustre Denis Ricard.

« L’intelligence artificielle s’inscrit dans une démarche d’amélioration continue de nos opérations. Une approche que nous appliquons depuis longtemps et que nous allons comptons poursuivre », ajoute-t-il.

À la Banque Scotia, l’IA sert d’abord à rendre les travailleurs plus efficients dans l’accès aux procédures internes. « Nous demandons à l’intelligence artificielle “Sors-moi tel document, quelle opération devrions-nous…” Cela rend nos employés plus efficaces », assure Geneviève Brouillard, première vice-présidente, Québec et Est de l’Ontario, Banque Scotia.

L’IA permet également de mieux conseiller les clients. « Nous sommes encore à l’aube de son utilisation. Parfois, les gens disent “Ah, nous allons perdre des emplois parce qu’il y a l’intelligence artificielle.” Je le vois davantage dans une relation de personne à personne où l’intelligence artificielle va rendre nos employés encore plus brillants. C’est une adoption confiante et enthousiaste », dit-elle.

Les occasions d’améliorations dans l’industrie sont multiples, à condition de bien accompagner ceux qui les utilisent : les humains. « Beaucoup d’employés se sentaient intéressés, intimidés et craintifs de l’intelligence artificielle tout en même temps. Alors, nous avons mis sur pied des formations et des comités », souligne Robert Frances, président et chef de la direction du Groupe financier PEAK.

Chez PEAK, cet accompagnement a permis de susciter également espoir et soulagement, une fois que les humains comprennent comment s’en servir. « Notre défi est de créer un environnement qui est sécuritaire au point de vue psychologique, que les gens se disent “Chez PEAK, ils vont m’appuyer, ils vont me former, ils vont me protéger.” »

Le dirigeant relate une amélioration découlant de l’IA. « Une source de grande frustration était l’exigence de prendre des notes après chaque rencontre avec un client et de placer ces notes dans le dossier client. Ensuite, un employé du département de conformité révisait les notes pour s’assurer qu’elles étaient conformes dans leur contenu et dans leur forme à ce qui est exigé par la réglementation », note-t-il.

Avec ses équipes du service de conformité, PEAK a créé un outil qui s’en assure. « Si [les notes] ne sont pas [conformes aux exigences réglementaires], l’outil va le dire tout de suite au conseiller. Au lieu d’attendre que [les notes soient] envoyées au département de conformité, que ça revienne et que ça crée une chaîne de va-et-vient entre les gens de conformité. Les conseillers en sont ravis », note-t-il.

Selon Robert Frances, le plus grand défi de l’IA reste la sécurité des données et la sécurité des outils utilisés, toutes des préoccupations de son organisation.

Pour Gino-Sébastian Savard, président de MICA cabinet de services financiers, le principal enjeu n’est pas technologique, mais sécuritaire. L’essor du travail à distance et l’utilisation accrue d’outils intégrés à des environnements comme Microsoft 365 — notamment Copilot ou des solutions de type ChatGPT — multiplient les points d’accès aux données sensibles. « Plus on ouvre les systèmes, plus il faut renforcer les mécanismes de protection », résume-t-il.

Chez MICA, l’IA est déjà utilisée à l’interne, notamment dans ServiceNow, pour automatiser certaines tâches, réduire la saisie manuelle et limiter les risques d’erreur dans le traitement des transactions. Pour le dirigeant, il est illusoire de vouloir freiner cette évolution. « L’IA va s’imposer partout, pas seulement en services financiers. La question n’est pas de savoir si nous l’adoptons, mais comment l’encadrer », explique-t-il.

David Lemieux, vice-président et directeur général de Valeurs mobilières Desjardins, est sur la même longueur d’onde. « Le principal défi, qui touche la prestation de services, c’est la gestion des données confidentielles du client. C’est le petit nœud à bien attacher avant de déployer des outils d’intelligence artificielle », s’exprime-t-il.

Si tous conviennent que l’IA facilite la prise de note lors des rencontres avec les clients, il faut garder confidentielles ces informations, ajoute-t-il : « Il faut encore bien baliser le cadre d’utilisation, notamment en matière de gouvernance des données et de sécurité de l’information. »

De plus, David Lemieux évalue actuellement comment l’IA permettra d’améliorer la gestion de portefeuille ou la gestion des risques.

Chez Nymbus Capital, la gestion de portefeuille s’appuie depuis un bon moment sur l’IA et l’analyse d’importantes quantités de données. La firme utilisait déjà ces approches bien avant que des outils comme ChatGPT ne se démocratisent, confirme Gabriel Cefaloni, chef des placements de Nymbus. Leur popularisation a suscité de la curiosité dans l’industrie et surtout, « cela a apporté une forme de validation externe par rapport à ce que nous faisons depuis des années ».

« Il y avait toujours une crainte liée à l’effet “boîte noire” et à l’idée d’une automatisation complète, y compris de l’exécution. De notre côté, nous avons toujours maintenu un contrôle humain sur cette étape. [L’IA aide à construire] le portefeuille, puis quand c’est le temps d’exécuter, c’est l’équipe d’investissement qui le fait. Quand nous rentrons dans les marchés, c’est nous qui décidons d’un titre ou même de faire un rééquilibrage », explique Gabriel Cefaloni.

Nymbus s’appuie sur deux grands systèmes complémentaires. Le premier agit au niveau macro et oriente le positionnement global et l’allocation sectorielle en revenu fixe, en reproduisant le travail d’un gestionnaire de portefeuille senior. Le second se concentre sur la sélection de titres individuels à l’intérieur des secteurs, à la manière d’un analyste fondamental qui plonge dans les états financiers et les caractéristiques propres à chaque émetteur. L’IA permet également de gérer des exigences de clients par exemple, les paramètres de sa politique d’investissement.

Avec la multiplication des outils d’IA, les conseillers devront continuer d’exercer leur jugement professionnel et apprendre à développer une distance critique par rapport aux évaluations faites par ces outils, d’après Annabelle Dumais, copropriétaire du cabinet en planification financière Dumais Sauvageau Garon : « Le défi est de demeurer l’expert, de ne pas tomber dans le panneau de prendre une réponse [d’une IA] comme étant forcément correcte. »

« L’intelligence artificielle peut nous aider à avancer nos réflexions, peut nous donner des bases sur plein de choses, mais il faut être capable de rester critique et faire les validations nécessaires parce qu’il faut demeurer professionnel dans notre approche. Nous avons une responsabilité importante, donc il ne faut pas déléguer trop l’expertise. Il faut rester en contrôle, en étant imputable de nos conseils », soutient-elle.

Avec la collaboration de Yan Barcelo, Alizée Calza, Richard Cloutier, Carole Le Hirez, Sylvie Lemieux.

Les données compromises pourraient inclure :

• des dates de naissance,
• numéros de téléphone,
• revenus annuels,
• numéros d’assurance sociale (NAS),
• numéros de pièces d’identité émises par un gouvernement,
• numéros de compte de placement
• et relevés de compte.

Les investisseurs concernés peuvent être des clients actuels ou anciens de sociétés membres du OCRI.

« Nous regrettons profondément que cet incident soit survenu et nous nous excusons pour tout inconvénient ou toute inquiétude que cela pourrait causer », assure l’organisme dans son communiqué.

L’OCRI a précisé avoir recueilli ces renseignements sur les investisseurs « dans le cours normal » de l’exécution de son mandat réglementaire, qui vise à protéger les investisseurs contre des comportements et pratiques de placement inappropriés, ainsi que dans le cadre de ses activités d’enquête, d’évaluation de la conformité et de surveillance des marchés.

À l’heure actuelle, aucune preuve n’indique que ces renseignements aient été utilisés de façon abusive, précise l’organisme.

L’OCRI a également précisé ne pas recueillir de données d’ouverture de session, comme les mots de passe, questions de sécurité ou NIP ; ces renseignements ne seraient donc pas à risque.

Sur sa page d’information destinée aux investisseurs touchés, l’OCRI indique supprimer les renseignements des investisseurs lorsqu’ils ne sont plus requis à des fins d’enquête, d’évaluation de la conformité ou de surveillance des marchés. « Nous ne sommes pas en mesure de traiter des demandes individuelles de suppression », indique-t-on.

L’OCRI communique actuellement avec les investisseurs concernés pour les informer de l’incident et leur offre deux années de services de surveillance du crédit et de protection contre le vol d’identité. Les investisseurs recevront des avis par courriel ou par la poste à compter du 14 janvier, selon le communiqué.

« Nous avons l’intention de faire ce qu’il faut pour les personnes directement touchées, affirme Andrew Kriegler, président et chef de la direction de l’OCRI, dans le communiqué. Nous prenons très au sérieux notre rôle d’intérêt public. Les questions de protection de la vie privée et de sécurité sont extrêmement importantes pour nous, tout comme nos valeurs organisationnelles fondamentales de transparence et de responsabilité. C’est pourquoi nous demeurons résolument engagés à renforcer davantage nos défenses en cybersécurité et nos pratiques de protection des données, et à appuyer les efforts continus de l’ensemble du secteur des placements. »

La faille de sécurité, attribuable à une attaque par hameçonnage, a été détectée le 11 août. L’OCRI avait d’abord indiqué que des données liées à l’inscription avaient été compromises, incluant des renseignements personnels tels que les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux des personnes inscrites. Selon l’organisme, l’ensemble des courtiers en fonds communs de placement et en valeurs mobilières, de même que les personnes inscrites, ont été touchés.

Les sociétés membres ont été avisées de l’incident le 18 août, et l’OCRI a commencé à envoyer des lettres aux personnes inscrites le 9 septembre pour les informer que leurs données avaient été compromises.

L’OCRI fait face à une éventuelle action collective découlant de cet incident. La demande d’autorisation d’exercer une action collective, déposée en octobre dernier devant la Cour supérieure du Québec, vise « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de la fuite de données […] ou qui ont reçu un courriel ou une lettre de l’OCRI les informant de cette fuite ».

Dans un communiqué publié le 14 janvier, l’OCRI confirme que des centaines de milliers d’investisseurs ont également été touchés. L’organisme affirme toutefois avoir rapidement circonscrit l’incident et mis en œuvre des mesures immédiates afin de sécuriser ses systèmes et de protéger les données.

« Nous avons avisé les forces de l’ordre et toutes les autorités compétentes, y compris les commissariats à la protection de la vie privée, rapporte l’OCRI. Un important cabinet d’experts en informatique judiciaire indépendant a été retenu afin de déterminer précisément quelles données avaient été touchées. »

À la suite d’une enquête préliminaire, l’organisme a indiqué avoir partagé sans délai ses conclusions « publiquement et directement » avec les sociétés membres et les personnes inscrites. « À ce moment-là, nous avons précisé que l’enquête se poursuivait et nous nous sommes engagés à communiquer les conclusions du processus de découverte électronique une fois l’examen terminé, souligne l’OCRI. Après plus de 9 000 heures d’analyse, nous sommes maintenant en mesure de confirmer l’ampleur complète de l’incident. »

Le demandeur (dont nous avons convenu de ne pas divulguer le nom) était représentant chez DWM Securities, à Lachine (Québec). Il n’est plus inscrit depuis 2013, selon la recherche nationale des inscriptions des Autorités canadiennes en valeurs mobilières (ACVM).

La demande d’action collective indique que le demandeur souhaite intenter un recours au nom de « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de l’atteinte aux données […] ou qui ont reçu un courriel ou une lettre de [l’OCRI] les informant de cette atteinte ».

Dans une déclaration transmise par courriel, l’OCRI a indiqué que « les allégations contenues dans l’action collective proposée, qui cherche à inclure tous les Canadiens ayant reçu un avis indiquant que leurs renseignements personnels ont été touchés, n’ont pas été prouvées ».

De plus, « l’OCRI est confiant quant à sa position selon laquelle l’organisme a réagi de manière rapide et appropriée », précise la déclaration. « L’OCRI recueille des renseignements personnels dans le cours normal de l’exécution de son mandat et de ses activités d’inscription, d’enquête, d’évaluation de la conformité et de réglementation des marchés. »

Nos tentatives pour joindre le demandeur sont restées sans réponse. La demande a été déposée le 6 octobre devant la Cour supérieure du Québec, à Montréal, par l’avocat David Assor, du cabinet Lex Group, à Westmount (Québec).

L’action collective « n’est pas encore autorisée », précise David Assor en entrevue, et par conséquent, aucun avis officiel n’a encore été transmis aux membres potentiels du groupe. Toutefois, « nous sommes convaincus que [la demande] sera autorisée », précise-t-il.

Les données d’inscription détenues par l’OCRI — y compris des renseignements personnels comme les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux — ont été compromises le 11 août. Tous les courtiers en fonds communs de placement et en valeurs mobilières, ainsi que les personnes physiques inscrites, ont été touchés, y compris les courtiers et individus assujettis uniquement au Québec, selon l’organisme de réglementation. Les firmes membres ont été avisées de l’atteinte le 18 août, et l’OCRI a commencé à envoyer des lettres aux inscrits le 9 septembre pour les informer que leurs données avaient été touchées.

Les renseignements compromis comprenaient notamment des numéros de comptes bancaires, s’ils avaient été fournis dans le cadre de la divulgation de la solvabilité financière, ainsi que des renseignements sur les placements et les bénéficiaires, s’ils figuraient dans la divulgation relative à la propriété de titres et de dérivés.

La demande d’action collective allègue que l’OCRI a fait preuve de négligence à plusieurs égards, notamment en omettant de :

• mettre en œuvre des normes efficaces de sécurité des données conformes aux standards de l’industrie ;
• inscrire immédiatement des alertes de fraude aux dossiers de crédit des membres du groupe après l’atteinte ;
• chiffrer et protéger adéquatement les données personnelles et financières ;
• et aviser rapidement le demandeur et les membres du groupe de l’atteinte.

Selon la demande, le demandeur a reçu un avis environ 42 jours après l’atteinte, soit au cours de la semaine du 22 septembre.

La demande allègue également que l’OCRI « a commis une faute en conservant des renseignements hautement privés, personnels et financiers » du demandeur et des membres du groupe pendant plusieurs années au-delà de ce qui était requis, bien plus d’une décennie dans le cas du demandeur.

Comme le demandeur, « certaines personnes peuvent ne plus exercer — ou avoir changé de carrière — et demeurent néanmoins touchées » par l’atteinte, souligne David Assor.

L’OCRI indique sur son site Web que la collecte des données des inscrits est exigée par les ACVM en vertu du formulaire 33-109F4. L’organisme précise également qu’il « procédera à un nouvel examen de ses politiques de conservation des données ».

En s’appuyant sur la législation québécoise, la demande soutient que l’OCRI est tenu de verser au moins 1 000 $ en dommages-intérêts punitifs à chaque membre du groupe pour la perte de données, en plus de dommages-intérêts compensatoires potentiels (par exemple, des frais engagés pour une protection contre le vol d’identité, comme une assurance) et de dommages moraux (par exemple, le stress).

La demande sollicite l’autorisation d’une action collective nationale devant la Cour supérieure à Montréal.

Si l’action collective est autorisée, aucune démarche ne sera requise de la part des membres du groupe ainsi déterminé, indique David Assor. « Des avis seront envoyés et [les membres] auront ensuite la possibilité de se retirer », explique-t-il.

Pour l’instant, les inscrits peuvent s’inscrire afin de recevoir des avis concernant la demande d’action collective sur le site Web de Lex Group.

Comme cela a déjà été rapporté par cette publication, le Commissariat à l’information et à la protection de la vie privée de l’Ontario (IPC) a indiqué avoir communiqué avec la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir davantage d’information sur l’atteinte à la cybersécurité de l’OCRI après sa survenance. Les organismes d’autoréglementation ne sont pas tenus de signaler les atteintes aux données à l’IPC, mais les institutions provinciales — y compris les organismes de la Couronne comme la CVMO — doivent signaler les atteintes qui posent un risque de « préjudice important ». Dans ce cas-ci, les données compromises avaient été recueillies en vertu de pouvoirs délégués à l’OCRI par la CVMO.

L’IPC a depuis indiqué à cette publication — dans une déclaration transmise par courriel en novembre — qu’il avait communiqué avec la CVMO le 18 septembre.

« On nous a informés qu’aucun dossier sous la garde et le contrôle de la CVMO n’avait été touché par l’atteinte », précise la déclaration.

L’atteinte aux données est survenue environ quatre mois après que la majorité des autorités provinciales en valeurs mobilières ont eu délégué des pouvoirs élargis en matière d’inscription à l’OCRI, et quelques semaines après que l’Autorité des marchés financiers (AMF) ait fait de même.

« Nous ne souhaitons pas commenter les échanges avec l’IPC », dit Debra Chan, spécialiste principale des affaires publiques à la CVMO par courriel. Elle a renvoyé à la réponse des ACVM transmise à cette publication en septembre, selon laquelle la Base de données nationale d’inscription n’avait pas été touchée par l’atteinte.

Tentative antérieure d’action collective liée à l’OCRCVM

Le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité en 2013 après qu’un employé eut perdu un ordinateur portable contenant des renseignements personnels d’investisseurs.

Cette affaire ne peut être directement comparée à la présente. Néanmoins, dans le dossier de l’ordinateur portable, la Cour supérieure du Québec avait rejeté une action collective proposée au nom des investisseurs touchés, concluant qu’il n’y avait aucune preuve que les renseignements compromis aient été utilisés de manière abusive et que l’organisme de réglementation avait « réagi avec diligence », de sorte qu’il ne devait pas être tenu responsable de dommages-intérêts punitifs.

Le tribunal avait statué que le préjudice subi par les investisseurs ne justifiait pas une indemnisation et qu’il constituait des inconvénients normaux « que toute personne vivant en société rencontre et doit accepter ».

Raymond Chabot Grant Thornton s’adjoint ainsi les services des 40 professionnels de Lemieux Cantin pour mieux satisfaire les besoins en certification et en fiscalité de ses clients et pour consolider sa présence dans la région du Grand Montréal.

En contrepartie, la clientèle de Lemieux Cantin aura accès à l’éventail de services offerts par Raymond Chabot Grant Thornton, allant de la cybersécurité aux stratégies de performance organisationnelle et d’innovation, ainsi qu’à une gamme de services-conseils spécialisés.

« Cette alliance est guidée par la volonté de créer un environnement où nos équipes et nos clients s’épanouissent et évoluent à la hauteur de leurs ambitions. Nous sommes donc ravis d’accueillir les professionnels de Lemieux Cantin au sein de la plus importante société comptable du Québec », souligne le président et chef de la direction de RCGT, Samuel Havida.

« La force d’une équipe deviendra désormais la force d’une belle grande équipe. Ensemble, nous continuerons à bâtir des relations solides et à servir nos clients avec excellence, diligence et efficacité », ajoute de son côté l’associé-directeur de Lemieux Cantin, Marco Cartier.

L’équipe de Lemieux Cantin continuera à desservir la clientèle à partir de son bureau de Saint-Léonard, tout en arborant les couleurs de Raymond Chabot Grant Thornton. Le Bureau de Boisbriand sera quant à lui fermé le 31 décembre 2025. Le personnel bénéficiera des infrastructures actuelles de Raymond Chabot Grant Thornton, notamment celles de Laval et de Saint-Jérôme.

Ces efforts ne sont pas en vain, comme en témoigne le Baromètre de l’assurance 2025. « Nous avons accès à beaucoup de technologies avancées qui facilitent notre travail à tout point de vue », se réjouit un répondant.

« C’est inspirant ! Cela nous éclaire, donne des pistes pour mieux servir nos clients et nous aide à renouveler nos approches en matière de prospection et d’offres de service », ajoute un autre.

Un troisième souligne pour sa part la valeur ajoutée de ces outils. « Par exemple, lorsqu’on intègre une stratégie d’assurance dans notre outil de planification financière, il devient immédiatement clair si elle est efficace ou non. On peut aussi explorer facilement différents scénarios et comparer les résultats. L’intelligence artificielle nous oriente même sur les stratégies à privilégier. »

Nombre de sondés mentionnent ainsi le gain de temps et la simplification du travail qu’apportent ces nouvelles technologies, auxquelles l’IA est parfois greffée. Mais si les noms de nouveaux logiciels — qu’ils soient de back office, de front office ou autres — se multiplient dans la bouche des conseillers, qu’en est-il de la formation nécessaire pour bien les maîtriser et composer avec les enjeux de sécurité qu’ils soulèvent ?

Tous les conseillers ne sont pas logés à la même enseigne. Certains peinent à intégrer ces nouvelles façons de faire dans leur rythme de travail. « Je vieillis et c’est plus long pour moi d’apprendre, alors, je cherche. Il faudrait que ce soit plus simple… », confie un répondant.

« Les nouvelles technologies me causent plus de maux de tête [qu’elles ne m’aident] », dit un autre.

L’IA fait certes des miracles, mais à condition de savoir bien l’utiliser. Pour soutenir leur force de vente, les AA misent sur la formation et sur l’accompagnement personnalisé de spécialistes affectés à cette transition numérique.

Carl Thibeault, vice-président principal, Ventes et distribution à IG Gestion de patrimoine, se dit conscient d’avoir « bombardé le réseau de changements technologiques ». La firme s’est donc dotée de ressources humaines pour épauler les conseillers dans l’intégration de ces technologies.

« Nous avons des ressources entièrement consacrées à cet accompagnement. On en embauche un nombre élevé pour répondre directement aux conseillers. En moyenne, on compte une ressource à temps plein pour deux grandes régions », précise-t-il.

Chez Cloutier Groupe Financier, les conseillers peuvent également compter sur une équipe interne. Celle-ci les aide notamment à utiliser le logiciel Conquest Planning, à bâtir des plans financiers et à les présenter à leurs clients. « Nos spécialistes appuient les conseillers dans la préparation de planifications de retraite, de stratégies de protection successorale et de solutions d’assurance afin qu’ils puissent offrir à leurs clients une information claire et précise », explique Patrick Cloutier, président du groupe. L’IA permet également aux conseillers du Groupe Cloutier d’automatiser certaines tâches.

De son côté, le Groupe SFGT mise sur un accompagnement soutenu : formations, webinaires et ligne d’assistance technique. L’agence ne développe pas ses propres outils, mais s’assure que ces derniers sont tout de même bien compris par leurs conseillers.

« Notre philosophie est que, si on a un outil informatique, on l’utilise à son plein potentiel. Et on ne laisse jamais le conseiller seul face à la technologie », affirme sa présidente, Caroline Thibeault.

L’un des défis consiste à convaincre les plus réticents. Chaque année, SFGT encourage par exemple davantage de conseillers à adopter les propositions électroniques. « Ce n’est pas nécessairement pour notre propre gain. Après une seule utilisation, le conseiller réalise à quel point tout est plus rapide : l’assureur traite l’information plus vite et le client est mieux servi. »

Dans un secteur en constante évolution, certains outils technologiques sont devenus des incontournables. Caroline Thibeault mentionne ainsi le cas d’Apexa, qui n’est pourtant pas une plateforme intuitive. « Nous aidons le conseiller à créer son profil et nous l’accompagnons jusqu’à la signature. Pour plusieurs, Apexa représente le premier contact avec l’agent général, alors on veut leur offrir un soutien à la hauteur. »

Enjeux de sécurité complexes

L’IA n’a pas que de bons côtés. Travailler avec ces outils signifie aussi renforcer la vigilance en matière de sécurité. « Cela ajoute une complexité, se plaint un sondé. Le mot de passe doit être changé chaque mois, ce qui entraîne parfois une perte d’accès temporaire ! »

Carl Thibeault admet que l’un des enjeux les plus importants en travaillant avec l’IA est de le faire dans un environnement sécuritaire. L’entreprise a ainsi choisi d’intégrer Copilot plutôt que ChatGPT afin de garder les échanges à l’intérieur de ses propres systèmes. « Nous avons vraiment sécurisé l’environnement de travail. Maintenant, prétendre qu’il n’y aura jamais aucun risque serait illusoire. L’objectif, c’est de les réduire au minimum », souligne-t-il. Par mesure de sécurité, il ajoute que certaines fonctionnalités sont bloquées, comme la prise de photo de courriels.

SFGT offre une formation sur la cybersécurité par année. « Je dirais que tout le monde est hyper sensibilisé de nos jours et nos partenaires font un bon travail pour renforcer cette vigilance », observe Caroline Thibeault.

La cybersécurité et l’usage responsable de l’IA sont au cœur du programme de formation « Les journées de la conformité » de PPI. Le but est de « garantir que les conseillers sont équipés de tous les outils et tous les conseils dont ils ont besoin pour avancer avec ces technologies », explique Christian McGuire, vice-président régional, ventes — Québec à PPI.

L’accent y est mis sur la transparence, la confidentialité des données et la conformité lors de l’utilisation d’outils alimentés par l’IA dans les échanges avec les clients. La formation en cybersécurité chez PPI, quant à elle, met surtout l’accent sur la détection des tentatives d’hameçonnage, la protection des données des clients et le respect des protocoles liés aux communications numériques et au traitement des documents, selon le dirigeant.

Au Groupe Cloutier, les conseillers reçoivent une formation régulière en cybersécurité et en usage responsable de l’IA. « Nous avons établi un partenariat avec une firme québécoise qui gère notre infrastructure informatique et qui offre à nos conseillers un ensemble de solutions de protection et de sécurité liées à l’IA afin qu’ils n’aient pas à se casser la tête », précise Patrick Cloutier. Ce service inclut aussi l’accès à un consultant en TI, un soutien particulièrement apprécié, selon lui.

Plus qu’une simple mode

Caroline Thibeault reconnaît que l’IA est le « sujet de l’heure ». « Il n’y a pas une semaine où on ne parle pas de la façon dont on peut l’intégrer à notre domaine. » Toutefois, elle est loin de penser qu’il s’agit d’une mode passagère et aborde cette évolution avec optimisme.

« Ce que j’aime avec l’IA, c’est que ce ne seront pas les grands assureurs qui en dicteront le développement, mais bien les conseillers eux-mêmes, qui pousseront pour l’adopter et l’intégrer davantage », estime-t-elle. Chez SFGT, on utilise l’IA à des fins de formation et de sélection du meilleur produit, tout en sensibilisant les conseillers à l’importance d’éviter d’y inclure des informations confidentielles.

En général, les AA déploient beaucoup d’efforts afin d’offrir une formation technologique adaptée aux besoins des conseillers en tentant de gérer les nombreux défis de sécurité. Au cœur du virage numérique, c’est la compétence humaine qui aura un effet décisif.

Avec la collaboration de Carole Le Hirez et Guillaume Poulin-Goyer

Pour accéder au tableau, cliquez ici.

La quasi-totalité des firmes de services financiers (93 %) estiment être bien préparées pour faire face à une cyberattaque, selon un rapport de la firme de conseil en cybersécurité NCC Group.

Cette proportion n’est guère différente de celle de la plupart des autres secteurs d’activité qui, toujours selon le rapport, varie de 88 % à 100 %.

Pourtant, près de la moitié des entreprises (45 %) ont subi une brèche en matière de cybersécurité au cours des 12 derniers mois. Cette proportion s’élève même à 50 % pour les firmes de services financiers.

La moitié des entreprises (49 %) qui ont subi une violation de données ont précisé que l’attaque avait entraîné la suspension de leurs activités.

L’écart entre les différents résultats montre un fossé entre la confiance presque unanime et la réalité qui vient affecter une firme sur deux.

Le rapport montre également que l’Amérique du Nord fait partie des régions où les entreprises s’attendent le plus à une augmentation des cybermenaces.

Aux États-Unis, 76 % des organisations s’attendent à une hausse des attaques, un niveau de préoccupation dépassé uniquement par celui observé en Australie (82 %).