Les données compromises pourraient inclure :

• des dates de naissance,
• numéros de téléphone,
• revenus annuels,
• numéros d’assurance sociale (NAS),
• numéros de pièces d’identité émises par un gouvernement,
• numéros de compte de placement
• et relevés de compte.

Les investisseurs concernés peuvent être des clients actuels ou anciens de sociétés membres du OCRI.

« Nous regrettons profondément que cet incident soit survenu et nous nous excusons pour tout inconvénient ou toute inquiétude que cela pourrait causer », assure l’organisme dans son communiqué.

L’OCRI a précisé avoir recueilli ces renseignements sur les investisseurs « dans le cours normal » de l’exécution de son mandat réglementaire, qui vise à protéger les investisseurs contre des comportements et pratiques de placement inappropriés, ainsi que dans le cadre de ses activités d’enquête, d’évaluation de la conformité et de surveillance des marchés.

À l’heure actuelle, aucune preuve n’indique que ces renseignements aient été utilisés de façon abusive, précise l’organisme.

L’OCRI a également précisé ne pas recueillir de données d’ouverture de session, comme les mots de passe, questions de sécurité ou NIP ; ces renseignements ne seraient donc pas à risque.

Sur sa page d’information destinée aux investisseurs touchés, l’OCRI indique supprimer les renseignements des investisseurs lorsqu’ils ne sont plus requis à des fins d’enquête, d’évaluation de la conformité ou de surveillance des marchés. « Nous ne sommes pas en mesure de traiter des demandes individuelles de suppression », indique-t-on.

L’OCRI communique actuellement avec les investisseurs concernés pour les informer de l’incident et leur offre deux années de services de surveillance du crédit et de protection contre le vol d’identité. Les investisseurs recevront des avis par courriel ou par la poste à compter du 14 janvier, selon le communiqué.

« Nous avons l’intention de faire ce qu’il faut pour les personnes directement touchées, affirme Andrew Kriegler, président et chef de la direction de l’OCRI, dans le communiqué. Nous prenons très au sérieux notre rôle d’intérêt public. Les questions de protection de la vie privée et de sécurité sont extrêmement importantes pour nous, tout comme nos valeurs organisationnelles fondamentales de transparence et de responsabilité. C’est pourquoi nous demeurons résolument engagés à renforcer davantage nos défenses en cybersécurité et nos pratiques de protection des données, et à appuyer les efforts continus de l’ensemble du secteur des placements. »

La faille de sécurité, attribuable à une attaque par hameçonnage, a été détectée le 11 août. L’OCRI avait d’abord indiqué que des données liées à l’inscription avaient été compromises, incluant des renseignements personnels tels que les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux des personnes inscrites. Selon l’organisme, l’ensemble des courtiers en fonds communs de placement et en valeurs mobilières, de même que les personnes inscrites, ont été touchés.

Les sociétés membres ont été avisées de l’incident le 18 août, et l’OCRI a commencé à envoyer des lettres aux personnes inscrites le 9 septembre pour les informer que leurs données avaient été compromises.

L’OCRI fait face à une éventuelle action collective découlant de cet incident. La demande d’autorisation d’exercer une action collective, déposée en octobre dernier devant la Cour supérieure du Québec, vise « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de la fuite de données […] ou qui ont reçu un courriel ou une lettre de l’OCRI les informant de cette fuite ».

Dans un communiqué publié le 14 janvier, l’OCRI confirme que des centaines de milliers d’investisseurs ont également été touchés. L’organisme affirme toutefois avoir rapidement circonscrit l’incident et mis en œuvre des mesures immédiates afin de sécuriser ses systèmes et de protéger les données.

« Nous avons avisé les forces de l’ordre et toutes les autorités compétentes, y compris les commissariats à la protection de la vie privée, rapporte l’OCRI. Un important cabinet d’experts en informatique judiciaire indépendant a été retenu afin de déterminer précisément quelles données avaient été touchées. »

À la suite d’une enquête préliminaire, l’organisme a indiqué avoir partagé sans délai ses conclusions « publiquement et directement » avec les sociétés membres et les personnes inscrites. « À ce moment-là, nous avons précisé que l’enquête se poursuivait et nous nous sommes engagés à communiquer les conclusions du processus de découverte électronique une fois l’examen terminé, souligne l’OCRI. Après plus de 9 000 heures d’analyse, nous sommes maintenant en mesure de confirmer l’ampleur complète de l’incident. »

L’article Fuite de données à l’OCRI : l’ampleur réelle dévoilée est apparu en premier sur Finance et Investissement.

Le demandeur (dont nous avons convenu de ne pas divulguer le nom) était représentant chez DWM Securities, à Lachine (Québec). Il n’est plus inscrit depuis 2013, selon la recherche nationale des inscriptions des Autorités canadiennes en valeurs mobilières (ACVM).

La demande d’action collective indique que le demandeur souhaite intenter un recours au nom de « toutes les personnes au Canada dont les renseignements personnels ou financiers étaient détenus » par l’OCRI « et ont été compromis lors de l’atteinte aux données […] ou qui ont reçu un courriel ou une lettre de [l’OCRI] les informant de cette atteinte ».

Dans une déclaration transmise par courriel, l’OCRI a indiqué que « les allégations contenues dans l’action collective proposée, qui cherche à inclure tous les Canadiens ayant reçu un avis indiquant que leurs renseignements personnels ont été touchés, n’ont pas été prouvées ».

De plus, « l’OCRI est confiant quant à sa position selon laquelle l’organisme a réagi de manière rapide et appropriée », précise la déclaration. « L’OCRI recueille des renseignements personnels dans le cours normal de l’exécution de son mandat et de ses activités d’inscription, d’enquête, d’évaluation de la conformité et de réglementation des marchés. »

Nos tentatives pour joindre le demandeur sont restées sans réponse. La demande a été déposée le 6 octobre devant la Cour supérieure du Québec, à Montréal, par l’avocat David Assor, du cabinet Lex Group, à Westmount (Québec).

L’action collective « n’est pas encore autorisée », précise David Assor en entrevue, et par conséquent, aucun avis officiel n’a encore été transmis aux membres potentiels du groupe. Toutefois, « nous sommes convaincus que [la demande] sera autorisée », précise-t-il.

Les données d’inscription détenues par l’OCRI — y compris des renseignements personnels comme les adresses, numéros de téléphone, ainsi que la couleur des yeux et des cheveux — ont été compromises le 11 août. Tous les courtiers en fonds communs de placement et en valeurs mobilières, ainsi que les personnes physiques inscrites, ont été touchés, y compris les courtiers et individus assujettis uniquement au Québec, selon l’organisme de réglementation. Les firmes membres ont été avisées de l’atteinte le 18 août, et l’OCRI a commencé à envoyer des lettres aux inscrits le 9 septembre pour les informer que leurs données avaient été touchées.

Les renseignements compromis comprenaient notamment des numéros de comptes bancaires, s’ils avaient été fournis dans le cadre de la divulgation de la solvabilité financière, ainsi que des renseignements sur les placements et les bénéficiaires, s’ils figuraient dans la divulgation relative à la propriété de titres et de dérivés.

La demande d’action collective allègue que l’OCRI a fait preuve de négligence à plusieurs égards, notamment en omettant de :

• mettre en œuvre des normes efficaces de sécurité des données conformes aux standards de l’industrie ;
• inscrire immédiatement des alertes de fraude aux dossiers de crédit des membres du groupe après l’atteinte ;
• chiffrer et protéger adéquatement les données personnelles et financières ;
• et aviser rapidement le demandeur et les membres du groupe de l’atteinte.

Selon la demande, le demandeur a reçu un avis environ 42 jours après l’atteinte, soit au cours de la semaine du 22 septembre.

La demande allègue également que l’OCRI « a commis une faute en conservant des renseignements hautement privés, personnels et financiers » du demandeur et des membres du groupe pendant plusieurs années au-delà de ce qui était requis, bien plus d’une décennie dans le cas du demandeur.

Comme le demandeur, « certaines personnes peuvent ne plus exercer — ou avoir changé de carrière — et demeurent néanmoins touchées » par l’atteinte, souligne David Assor.

L’OCRI indique sur son site Web que la collecte des données des inscrits est exigée par les ACVM en vertu du formulaire 33-109F4. L’organisme précise également qu’il « procédera à un nouvel examen de ses politiques de conservation des données ».

En s’appuyant sur la législation québécoise, la demande soutient que l’OCRI est tenu de verser au moins 1 000 $ en dommages-intérêts punitifs à chaque membre du groupe pour la perte de données, en plus de dommages-intérêts compensatoires potentiels (par exemple, des frais engagés pour une protection contre le vol d’identité, comme une assurance) et de dommages moraux (par exemple, le stress).

La demande sollicite l’autorisation d’une action collective nationale devant la Cour supérieure à Montréal.

Si l’action collective est autorisée, aucune démarche ne sera requise de la part des membres du groupe ainsi déterminé, indique David Assor. « Des avis seront envoyés et [les membres] auront ensuite la possibilité de se retirer », explique-t-il.

Pour l’instant, les inscrits peuvent s’inscrire afin de recevoir des avis concernant la demande d’action collective sur le site Web de Lex Group.

Comme cela a déjà été rapporté par cette publication, le Commissariat à l’information et à la protection de la vie privée de l’Ontario (IPC) a indiqué avoir communiqué avec la Commission des valeurs mobilières de l’Ontario (CVMO) pour obtenir davantage d’information sur l’atteinte à la cybersécurité de l’OCRI après sa survenance. Les organismes d’autoréglementation ne sont pas tenus de signaler les atteintes aux données à l’IPC, mais les institutions provinciales — y compris les organismes de la Couronne comme la CVMO — doivent signaler les atteintes qui posent un risque de « préjudice important ». Dans ce cas-ci, les données compromises avaient été recueillies en vertu de pouvoirs délégués à l’OCRI par la CVMO.

L’IPC a depuis indiqué à cette publication — dans une déclaration transmise par courriel en novembre — qu’il avait communiqué avec la CVMO le 18 septembre.

« On nous a informés qu’aucun dossier sous la garde et le contrôle de la CVMO n’avait été touché par l’atteinte », précise la déclaration.

L’atteinte aux données est survenue environ quatre mois après que la majorité des autorités provinciales en valeurs mobilières ont eu délégué des pouvoirs élargis en matière d’inscription à l’OCRI, et quelques semaines après que l’Autorité des marchés financiers (AMF) ait fait de même.

« Nous ne souhaitons pas commenter les échanges avec l’IPC », dit Debra Chan, spécialiste principale des affaires publiques à la CVMO par courriel. Elle a renvoyé à la réponse des ACVM transmise à cette publication en septembre, selon laquelle la Base de données nationale d’inscription n’avait pas été touchée par l’atteinte.

Tentative antérieure d’action collective liée à l’OCRCVM

Le prédécesseur de l’OCRI, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), avait subi une atteinte à la sécurité en 2013 après qu’un employé eut perdu un ordinateur portable contenant des renseignements personnels d’investisseurs.

Cette affaire ne peut être directement comparée à la présente. Néanmoins, dans le dossier de l’ordinateur portable, la Cour supérieure du Québec avait rejeté une action collective proposée au nom des investisseurs touchés, concluant qu’il n’y avait aucune preuve que les renseignements compromis aient été utilisés de manière abusive et que l’organisme de réglementation avait « réagi avec diligence », de sorte qu’il ne devait pas être tenu responsable de dommages-intérêts punitifs.

Le tribunal avait statué que le préjudice subi par les investisseurs ne justifiait pas une indemnisation et qu’il constituait des inconvénients normaux « que toute personne vivant en société rencontre et doit accepter ».

L’article Un ancien représentant demande l’autorisation d’une action collective contre l’OCRI est apparu en premier sur Finance et Investissement.

Raymond Chabot Grant Thornton s’adjoint ainsi les services des 40 professionnels de Lemieux Cantin pour mieux satisfaire les besoins en certification et en fiscalité de ses clients et pour consolider sa présence dans la région du Grand Montréal.

En contrepartie, la clientèle de Lemieux Cantin aura accès à l’éventail de services offerts par Raymond Chabot Grant Thornton, allant de la cybersécurité aux stratégies de performance organisationnelle et d’innovation, ainsi qu’à une gamme de services-conseils spécialisés.

« Cette alliance est guidée par la volonté de créer un environnement où nos équipes et nos clients s’épanouissent et évoluent à la hauteur de leurs ambitions. Nous sommes donc ravis d’accueillir les professionnels de Lemieux Cantin au sein de la plus importante société comptable du Québec », souligne le président et chef de la direction de RCGT, Samuel Havida.

« La force d’une équipe deviendra désormais la force d’une belle grande équipe. Ensemble, nous continuerons à bâtir des relations solides et à servir nos clients avec excellence, diligence et efficacité », ajoute de son côté l’associé-directeur de Lemieux Cantin, Marco Cartier.

L’équipe de Lemieux Cantin continuera à desservir la clientèle à partir de son bureau de Saint-Léonard, tout en arborant les couleurs de Raymond Chabot Grant Thornton. Le Bureau de Boisbriand sera quant à lui fermé le 31 décembre 2025. Le personnel bénéficiera des infrastructures actuelles de Raymond Chabot Grant Thornton, notamment celles de Laval et de Saint-Jérôme.

L’article L’équipe Lemieux Cantin intègre Raymond Chabot Grant Thornton est apparu en premier sur Finance et Investissement.

Ces efforts ne sont pas en vain, comme en témoigne le Baromètre de l’assurance 2025. « Nous avons accès à beaucoup de technologies avancées qui facilitent notre travail à tout point de vue », se réjouit un répondant.

« C’est inspirant ! Cela nous éclaire, donne des pistes pour mieux servir nos clients et nous aide à renouveler nos approches en matière de prospection et d’offres de service », ajoute un autre.

Un troisième souligne pour sa part la valeur ajoutée de ces outils. « Par exemple, lorsqu’on intègre une stratégie d’assurance dans notre outil de planification financière, il devient immédiatement clair si elle est efficace ou non. On peut aussi explorer facilement différents scénarios et comparer les résultats. L’intelligence artificielle nous oriente même sur les stratégies à privilégier. »

Nombre de sondés mentionnent ainsi le gain de temps et la simplification du travail qu’apportent ces nouvelles technologies, auxquelles l’IA est parfois greffée. Mais si les noms de nouveaux logiciels — qu’ils soient de back office, de front office ou autres — se multiplient dans la bouche des conseillers, qu’en est-il de la formation nécessaire pour bien les maîtriser et composer avec les enjeux de sécurité qu’ils soulèvent ?

Tous les conseillers ne sont pas logés à la même enseigne. Certains peinent à intégrer ces nouvelles façons de faire dans leur rythme de travail. « Je vieillis et c’est plus long pour moi d’apprendre, alors, je cherche. Il faudrait que ce soit plus simple… », confie un répondant.

« Les nouvelles technologies me causent plus de maux de tête [qu’elles ne m’aident] », dit un autre.

L’IA fait certes des miracles, mais à condition de savoir bien l’utiliser. Pour soutenir leur force de vente, les AA misent sur la formation et sur l’accompagnement personnalisé de spécialistes affectés à cette transition numérique.

Carl Thibeault, vice-président principal, Ventes et distribution à IG Gestion de patrimoine, se dit conscient d’avoir « bombardé le réseau de changements technologiques ». La firme s’est donc dotée de ressources humaines pour épauler les conseillers dans l’intégration de ces technologies.

« Nous avons des ressources entièrement consacrées à cet accompagnement. On en embauche un nombre élevé pour répondre directement aux conseillers. En moyenne, on compte une ressource à temps plein pour deux grandes régions », précise-t-il.

Chez Cloutier Groupe Financier, les conseillers peuvent également compter sur une équipe interne. Celle-ci les aide notamment à utiliser le logiciel Conquest Planning, à bâtir des plans financiers et à les présenter à leurs clients. « Nos spécialistes appuient les conseillers dans la préparation de planifications de retraite, de stratégies de protection successorale et de solutions d’assurance afin qu’ils puissent offrir à leurs clients une information claire et précise », explique Patrick Cloutier, président du groupe. L’IA permet également aux conseillers du Groupe Cloutier d’automatiser certaines tâches.

De son côté, le Groupe SFGT mise sur un accompagnement soutenu : formations, webinaires et ligne d’assistance technique. L’agence ne développe pas ses propres outils, mais s’assure que ces derniers sont tout de même bien compris par leurs conseillers.

« Notre philosophie est que, si on a un outil informatique, on l’utilise à son plein potentiel. Et on ne laisse jamais le conseiller seul face à la technologie », affirme sa présidente, Caroline Thibeault.

L’un des défis consiste à convaincre les plus réticents. Chaque année, SFGT encourage par exemple davantage de conseillers à adopter les propositions électroniques. « Ce n’est pas nécessairement pour notre propre gain. Après une seule utilisation, le conseiller réalise à quel point tout est plus rapide : l’assureur traite l’information plus vite et le client est mieux servi. »

Dans un secteur en constante évolution, certains outils technologiques sont devenus des incontournables. Caroline Thibeault mentionne ainsi le cas d’Apexa, qui n’est pourtant pas une plateforme intuitive. « Nous aidons le conseiller à créer son profil et nous l’accompagnons jusqu’à la signature. Pour plusieurs, Apexa représente le premier contact avec l’agent général, alors on veut leur offrir un soutien à la hauteur. »

Enjeux de sécurité complexes

L’IA n’a pas que de bons côtés. Travailler avec ces outils signifie aussi renforcer la vigilance en matière de sécurité. « Cela ajoute une complexité, se plaint un sondé. Le mot de passe doit être changé chaque mois, ce qui entraîne parfois une perte d’accès temporaire ! »

Carl Thibeault admet que l’un des enjeux les plus importants en travaillant avec l’IA est de le faire dans un environnement sécuritaire. L’entreprise a ainsi choisi d’intégrer Copilot plutôt que ChatGPT afin de garder les échanges à l’intérieur de ses propres systèmes. « Nous avons vraiment sécurisé l’environnement de travail. Maintenant, prétendre qu’il n’y aura jamais aucun risque serait illusoire. L’objectif, c’est de les réduire au minimum », souligne-t-il. Par mesure de sécurité, il ajoute que certaines fonctionnalités sont bloquées, comme la prise de photo de courriels.

SFGT offre une formation sur la cybersécurité par année. « Je dirais que tout le monde est hyper sensibilisé de nos jours et nos partenaires font un bon travail pour renforcer cette vigilance », observe Caroline Thibeault.

La cybersécurité et l’usage responsable de l’IA sont au cœur du programme de formation « Les journées de la conformité » de PPI. Le but est de « garantir que les conseillers sont équipés de tous les outils et tous les conseils dont ils ont besoin pour avancer avec ces technologies », explique Christian McGuire, vice-président régional, ventes — Québec à PPI.

L’accent y est mis sur la transparence, la confidentialité des données et la conformité lors de l’utilisation d’outils alimentés par l’IA dans les échanges avec les clients. La formation en cybersécurité chez PPI, quant à elle, met surtout l’accent sur la détection des tentatives d’hameçonnage, la protection des données des clients et le respect des protocoles liés aux communications numériques et au traitement des documents, selon le dirigeant.

Au Groupe Cloutier, les conseillers reçoivent une formation régulière en cybersécurité et en usage responsable de l’IA. « Nous avons établi un partenariat avec une firme québécoise qui gère notre infrastructure informatique et qui offre à nos conseillers un ensemble de solutions de protection et de sécurité liées à l’IA afin qu’ils n’aient pas à se casser la tête », précise Patrick Cloutier. Ce service inclut aussi l’accès à un consultant en TI, un soutien particulièrement apprécié, selon lui.

Plus qu’une simple mode

Caroline Thibeault reconnaît que l’IA est le « sujet de l’heure ». « Il n’y a pas une semaine où on ne parle pas de la façon dont on peut l’intégrer à notre domaine. » Toutefois, elle est loin de penser qu’il s’agit d’une mode passagère et aborde cette évolution avec optimisme.

« Ce que j’aime avec l’IA, c’est que ce ne seront pas les grands assureurs qui en dicteront le développement, mais bien les conseillers eux-mêmes, qui pousseront pour l’adopter et l’intégrer davantage », estime-t-elle. Chez SFGT, on utilise l’IA à des fins de formation et de sélection du meilleur produit, tout en sensibilisant les conseillers à l’importance d’éviter d’y inclure des informations confidentielles.

En général, les AA déploient beaucoup d’efforts afin d’offrir une formation technologique adaptée aux besoins des conseillers en tentant de gérer les nombreux défis de sécurité. Au cœur du virage numérique, c’est la compétence humaine qui aura un effet décisif.

Avec la collaboration de Carole Le Hirez et Guillaume Poulin-Goyer

Pour accéder au tableau, cliquez ici.

L’article Virage IA : entre gains d’efficacité et apprentissage accéléré est apparu en premier sur Finance et Investissement.

La quasi-totalité des firmes de services financiers (93 %) estiment être bien préparées pour faire face à une cyberattaque, selon un rapport de la firme de conseil en cybersécurité NCC Group.

Cette proportion n’est guère différente de celle de la plupart des autres secteurs d’activité qui, toujours selon le rapport, varie de 88 % à 100 %.

Pourtant, près de la moitié des entreprises (45 %) ont subi une brèche en matière de cybersécurité au cours des 12 derniers mois. Cette proportion s’élève même à 50 % pour les firmes de services financiers.

La moitié des entreprises (49 %) qui ont subi une violation de données ont précisé que l’attaque avait entraîné la suspension de leurs activités.

L’écart entre les différents résultats montre un fossé entre la confiance presque unanime et la réalité qui vient affecter une firme sur deux.

Le rapport montre également que l’Amérique du Nord fait partie des régions où les entreprises s’attendent le plus à une augmentation des cybermenaces.

Aux États-Unis, 76 % des organisations s’attendent à une hausse des attaques, un niveau de préoccupation dépassé uniquement par celui observé en Australie (82 %).

L’article Trop confiant dans la cybersécurité est apparu en premier sur Finance et Investissement.

Des écosystèmes complémentaires

Les grandes banques doivent gérer des volumes colossaux de transactions et de paiements en temps réel, tout en assurant la cybersécurité et la conformité. Alourdies par le poids de systèmes informatiques hérités et des structures en silos, elles voient dans les fintechs des partenaires agiles et flexibles.

« Dans un monde où l’informatique dans le nuage et les API (interfaces de programmation) permettent une connectivité plus fluide, les fintechs ont réussi à rendre les services bancaires plus simples, rapides et agréables, et ont amené les banques à se transformer », souligne Jean-François Courville, président, Québec de la Banque Scotia.

Alors que les banques s’investissent massivement dans les contrôles réglementaires, les fintechs se concentrent davantage sur l’expérience utilisateur. « Cette complémentarité rend la collaboration entre institutions financières et fintechs non seulement possible, mais nécessaire », affirme Ellen Linardi, cheffe des produits et de la technologie de Synctera. Elle en veut pour preuve l’échec de nombreuses jeunes pousses qui ont cru pouvoir contourner les contraintes réglementaires et le besoin croissant de synergie pour répondre aux attentes des consommateurs.

Synctera, société californienne spécialisée dans la banque en tant que service (Baas), a fait son entrée en 2023 sur le marché canadien grâce à un partenariat avec la Banque Nationale. Objectif : aider la banque à créer et à lancer des applications fintech et des produits bancaires intégrés. En mars dernier, Synctera a reçu un investissement de 15 millions de dollars (M$) de NAdventures, la division de capital-risque de BNC, portant à 94 M$ le montant recueilli à ce jour. L’entreprise compte aujourd’hui une cinquantaine d’employés au Canada.

« Auparavant, les banques souhaitaient tout contrôler et développer en interne. Mais depuis quelques années, elles sont de plus en plus ouvertes aux partenariats avec les fintechs », constate Malik Yacoubi, président et cofondateur de Nesto. La fintech montréalaise, fondée en 2018, multiplie les ententes avec des institutions financières canadiennes : Banque Nationale, Banque de Montréal, Equitable, IG Gestion de patrimoine, Canada Vie, Alterna…

Ces collaborations profitent aux deux parties, explique Malik Yacoubi : les institutions financières obtiennent un niveau de service à la hauteur des attentes de 2025, tandis que Nesto bénéficie d’une plus grande portée auprès des consommateurs et d’une croissance accélérée de ses revenus. « La rapidité de mise en marché et la technologie offertes par Nesto accélèrent la transformation numérique des institutions partenaires », ajoute-t-il.

Le client au centre

Pour Julien Crowe, directeur principal, intelligence artificielle à la Banque Nationale, la collaboration des institutions financières est indispensable pour répondre aux attentes des clients. « Ils ne veulent pas jongler avec des dizaines d’applications financières, mais recherchent une expérience fluide, efficace et centralisée. Les banques peuvent devenir ce point de contact unique, à condition qu’elles adoptent des approches collaboratives et flexibles, et ne cherchent plus à tout contrôler. »

Historiquement, les banques ont conçu leurs produits en priorisant la stabilité et la fiabilité plutôt que l’innovation, affirme-t-il. « Mais ce modèle est désormais insuffisant. Les banques doivent penser comme des designers de solutions technologiques. Cela implique d’intégrer des offres fintech et de transformer leur manière d’innover », poursuit-il.

Souvent, les banques définissent leurs limites avant même d’avoir réfléchi aux besoins des utilisateurs, observe Ellen Linardi. « Il faut concevoir les services financiers non plus comme des outils à livrer, mais comme des produits vivants et évolutifs, alignés sur les attentes toujours plus élevées des clients », affirme-t-elle.

Pour réussir, une répartition claire des rôles et responsabilités entre banque et fintech s’impose. « La normalisation des données, la clarté des responsabilités et une répartition efficace des tâches sont essentielles pour réussir la collaboration », insiste-t-elle. À l’inverse, une banque trop restrictive ou une fintech trop ambitieuse nuisent à l’efficacité du partenariat. Le succès repose donc sur une entente précise sur ce que chaque partie apporte.

L’article Quand fintechs et banques réinventent ensemble la finance est apparu en premier sur Finance et Investissement.

S’appuyant sur notre rapport 2023 Getting in Pole Position, cette nouvelle étude offre une vision prospective de la manière dont les gestionnaires de fonds et les allocataires naviguent à la fois dans les occasions et les risques de l’IA générative (Gen AI).

Avec la contribution de plus de 150 gestionnaires de fonds (représentant près de 800 milliards de dollars américains d’actifs sous gestion) et de 18 investisseurs institutionnels dans le monde entier, le rapport distille les leçons les plus importantes tirées des premiers utilisateurs du secteur. Les conclusions soulignent que si la gouvernance et l’atténuation des risques restent des priorités absolues, les entreprises qui adoptent l’expérimentation et la formation sont les mieux placées pour exploiter tout le potentiel de ces outils.

Le rapport confirme que l’adoption de l’IA se généralise dans le secteur des placements non traditionnels. 95 % des gestionnaires utilisent aujourd’hui l’IA générative dans une certaine mesure, et les trois quarts d’entre eux affirment que leur utilisation a augmenté au cours de l’année écoulée. Mais l’adoption ne signifie pas une utilisation illimitée. La plupart des grands gestionnaires ont mis en place des garde-fous à l’échelle de l’entreprise, notamment des restrictions sur le partage des données et des politiques exigeant la divulgation lorsque l’IA a été utilisée dans le cadre d’un travail en contact avec le client.

Là où les petits gestionnaires sont souvent à la traîne, c’est dans la gouvernance formelle. Près de la moitié d’entre eux opèrent encore sans restriction ni politiques, ce que les responsables de l’IA interrogés dans le cadre de l’étude ont qualifié de « signal d’alarme ». La leçon est claire : la taille d’une entreprise ne doit pas déterminer son approche de la gestion des risques.

L’un des messages les plus constants des investisseurs est qu’ils attendent désormais des dirigeants qu’ils disposent d’une politique générale d’utilisation de l’IA générative. Pourtant, seule la moitié des entreprises en ont développé une. En l’absence de telles politiques, les entreprises sont confrontées à la « triple menace » des outils en libre accès, de l’utilisation sans restriction et de l’absence de directives formelles. Il s’agit d’une combinaison qui augmente considérablement le risque de fuite de données sensibles.

Même outre des politiques, la formation du personnel reste essentielle. Les grandes entreprises ont une longueur d’avance à cet égard et intègrent la formation à l’IA générative dans le cadre d’initiatives plus larges de transformation numérique. La formation couvre à la fois les risques (par exemple, les hallucinations, la sécurité des données) et les compétences avancées telles que l’ingénierie rapide. Les petites entreprises accordent souvent peu d’importance à la formation, mais le rapport souligne que même une sensibilisation de base est essentielle pour rassurer les investisseurs et les régulateurs.

Quelle utilisation fait-on de l’IA ?

Les cas d’utilisation de l’IA générative sont de plus en plus nombreux. Au début, l’adoption s’est concentrée sur des tâches administratives telles que le résumé de documents et la rédaction de questionnaires. De plus en plus, les gestionnaires expérimentent des applications de gestion de clientèle, en particulier pour la recherche, la génération de signaux et l’analyse du sentiment des appels à bénéfices ou des comptes rendus de la Fed par exemple. Bien que seul un faible pourcentage de gestionnaire utilise actuellement l’IA pour l’optimisation de leur portefeuille, les attentes sont passées de « si » à « quand » l’IA se généralisera.

Les relations avec les investisseurs sont un autre domaine d’expérimentation active. Les gestionnaires utilisent l’IA générative pour rationaliser les réponses au questionnaire de diligence raisonnable, rédiger des lettres trimestrielles et contribuer aux voyages de marketing. Le rapport met toutefois en garde contre une automatisation excessive : l’authenticité et la confiance restent les fondements de la communication avec les investisseurs.

Les associés commanditaires surveillent de près la situation. Près d’un tiers d’entre eux incluent déjà des questions relatives à l’IA dans leurs questionnaires de diligence raisonnable, et un autre tiers prévoit de le faire cette année. Les investisseurs se concentrent surtout sur la gouvernance des données, la conformité et l’explicabilité. Il est encourageant de constater que 60 % des investisseurs se disent plus enclins à allouer des fonds aux gestionnaires qui prévoient un budget significatif pour l’adoption de l’IA générative, ce qui suggère que la transparence et l’engagement peuvent se traduire par un avantage concurrentiel.

Mais la crédibilité est essentielle. La surestimation des capacités de l’IA — « blanchiment de l’IA » — a été signalée comme un risque pour la réputation. Les investisseurs sont favorables à l’expérimentation, mais attendent des progrès mesurables dans les mois et les années à venir.

La conclusion la plus prospective de l’étude est peut-être l’émergence de l’« IA agentique » — des systèmes capables d’agir avec une plus grande autonomie, de planifier et d’exécuter des tâches plutôt que de se contenter de répondre à des invites. Bien qu’encore naissante, l’IA agentique est déjà explorée par des entreprises de pointe pour la recherche, la surveillance des risques et les flux de travail opérationnels.

Si l’IA générative était le meilleur stagiaire du monde, l’IA agentique pourrait devenir le copilote de confiance du secteur. Les entreprises qui prospéreront seront celles qui se préparent dès maintenant en renforçant la gouvernance, en formant le personnel et en construisant des bases de données solides.

La nécessité de recourir aux ressources

Le rapport conclut en rappelant aux membres qu’aucune entreprise ne devrait naviguer seule dans cette voie. L’AIMA propose une bibliothèque croissante de ressources — depuis sa liste de contrôle sur l’IA et son répertoire des fournisseurs de technologies jusqu’aux podcasts, groupes de travail et tables rondes organisées par ses membres — conçues pour aider les gestionnaires à échanger leurs points de vue et à apprendre de leurs pairs.

Dans un contexte où les attentes des investisseurs augmentent et où la technologie évolue rapidement, l’engagement et la collaboration au sein de la communauté de l’AIMA seront essentiels. Les entreprises qui mettent en place une gouvernance solide, forment leur personnel et expérimentent de manière responsable seront en mesure de transformer les gains de productivité d’aujourd’hui en percées concurrentielles de demain.

Téléchargez le rapport complet ici.

L’article Les leçons des leaders de l’IA dans les placements non traditionnels est apparu en premier sur Finance et Investissement.

Selon McKinsey, ce marché en pleine expansion devrait croître de 14 % d’ici 2028, porté par la complexification des exigences et l’essor de solutions spécialisées.

Les amendes liées à la non-conformité atteignent des sommets. Rien qu’en 2024, les banques à travers le monde ont payé 19,3 milliards de dollars en sanctions réglementaires, un record historique, selon Fintech Global. Dans ce contexte, les institutions financières intensifient leurs investissements dans la technologie réglementaire, ou RegTech, afin d’automatiser leurs processus de conformité et de réduire leurs risques opérationnels.

Née dans le sillage de la crise financière de 2008, la RegTech combine intelligence artificielle (IA), apprentissage automatique, informatique nuagique et biométrie pour aider les banques à répondre à des réglementations toujours plus nombreuses et exigeantes.

Alors que le terme s’est imposé dès 2016, le secteur mondial compte aujourd’hui près de 1 000 entreprises, des start-up spécialisées aux grands fournisseurs de services informatiques.

Quatre grandes catégories d’applications

McKinsey distingue quatre grands champs d’application de la RegTech :

• La gestion des risques financiers et du capital. Les outils d’actif-passif (ALM) permettent aux banques d’équilibrer liquidités, dépôts et financements tout en se conformant à Bâle III. Certaines institutions européennes recourent déjà à des solutions de planification dynamique pour anticiper l’impact de hausses de taux ou de crises de liquidité.
• La gouvernance, le risque et la conformité (GRC). Dans un environnement où une banque multinationale peut être soumise à plusieurs centaines de textes réglementaires, la RegTech permet de cartographier automatiquement les obligations et de les mettre en correspondance avec les politiques internes. Une banque américaine a ainsi automatisé la quasi-totalité de son processus de conformité et atteint un taux de conformité supérieur à 95 %.
• La cybersécurité. Plus de 150 000 entreprises européennes devront bientôt se conformer à la directive NIS2 (Network and Information Security 2) qui vise à renforcer la cybersécurité au sein de l’Union européenne. Elle impose notamment des exigences plus strictes en matière de gestion des risques et de notification des incidents. Pa anticipation, certaines institutions déploient des solutions RegTech capables de comparer leurs systèmes actuels aux nouvelles normes et d’identifier les écarts à corriger.
• La lutte contre la criminalité financière. Les solutions combinant IA et règles transactionnelles permettent de mieux détecter le blanchiment d’argent et le financement du terrorisme. Par exemple, une grande banque latino-américaine a amélioré son taux de détection des fraudes à plus de 90 % grâce à la biométrie comportementale, tout en réduisant de 66 % ses faux positifs.

Des cas concrets

Les exemples d’adoption se multiplient :

• En Europe, plusieurs institutions déploient des RegTech spécialisées pour répondre aux obligations liées aux rapports ESG (environnement, social et gouvernance), afin de suivre et vérifier les données de durabilité exigées par la réglementation européenne sur la finance durable.
• Aux États-Unis, les solutions de surveillance automatisée des transactions sont devenues centrales pour répondre aux exigences de la loi sur le secret bancaire. Une banque a ainsi réduit drastiquement sa dépendance à des cabinets juridiques externes en intégrant un logiciel de mappage réglementaire.
• En Amérique latine, la prévention de la fraude en temps réel, grâce à l’analyse comportementale, a permis d’accroître la confiance des clients tout en réduisant les pertes financières.
• En Asie, certaines fintechs bancaires adoptent des solutions RegTech modulaires afin de répondre à des réglementations locales très variables d’un pays à l’autre, tout en contrôlant leurs coûts.

Des perspectives de croissance soutenues

Selon McKinsey, la demande en RegTech continuera d’être alimentée par :

• des réglementations plus strictes et fragmentées,
• la volonté des institutions d’éviter des sanctions coûteuses,
• et l’accélération de la numérisation et du recours à l’infonuagique.

Si l’Amérique du Nord et l’Europe concentrent aujourd’hui l’essentiel du marché (avec 81 des 100 premières entreprises qui y ont leur siège social), le Moyen-Orient et l’Afrique devraient connaître une croissance plus rapide grâce à un taux de pénétration encore faible.

Enjeux pour les investisseurs et les institutions

Pour les investisseurs en capital-investissement, le secteur présente un double visage : des cycles de vente longs, mais des revenus récurrents et fidélisants. McKinsey souligne toutefois la nécessité d’évaluer finement la logique réglementaire sous-jacente à chaque solution, car des évolutions géopolitiques pourraient en réduire la pertinence.

Quant aux institutions financières, elles doivent veiller à la qualité de leurs données et envisager des combinaisons de solutions spécialisées plutôt qu’un modèle unique « tout-en-un ».

L’article La RegTech, nouvelle bouée de sauvetage des institutions financières est apparu en premier sur Finance et Investissement.

Les premiers résultats de l’enquête, dévoilés le 17 août, ont révélé que des renseignements personnels de courtiers membres et de leurs personnes inscrites avaient été touchés. Les données compromises pourraient inclure des identifiants professionnels et d’autres données personnelles en lien avec la conformité des membres.

Les données des investisseurs ne sont pas touchées à ce stade, selon l’OCRI. L’organisme indique qu’il détient un échantillon restreint d’informations sur les investisseurs dans le cadre de ses activités de conformité.

Pour cerner l’ampleur de l’attaque, l’organisme collabore avec des experts en cybersécurité, des conseillers juridiques spécialisés et les forces de l’ordre. L’organisme s’est engagé à aviser individuellement les personnes concernées et à leur offrir des mesures de protection, notamment en matière de sécurité d’identité.

« Étant donné les normes de sécurité élevées que l’OCRI attend d’elle-même et de ses membres, nous sommes profondément préoccupés par cette situation, et nous savons que nos membres le seront aussi », a indiqué l’organisme dans un communiqué.

L’article Cyberattaque à l’OCRI : des données de conseillers exposées est apparu en premier sur Finance et Investissement.

Dans le cadre du Pointage des régulateurs 2025, nous avons posé la question suivante aux responsables de la conformité des organisations de l’industrie financière : « Est-ce que votre entreprise est pleinement en mesure de se conformer aux nouvelles obligations de la loi 25 sur la portabilité des données des clients? » Résultat : la majorité (78 %) des répondants ont répondu que leur entreprise était pleinement en mesure de se conformer. Certains appréhendent toutefois des défis.

Un répondant d’un important assureur au Québec indique que les grandes organisations possèdent des ressources, des lignes directrices et des budgets pour y parvenir. « Il s’agira probablement d’un défi plus important pour les petits courtiers, qui sont également ceux que nous trouvons les moins respectueux de la réglementation en la matière », dit-il.

Les commentaires des sondés sur le sujet varient en fonction de l’expérience des firmes. Un représentant signale que l’application de la loi nécessite beaucoup d’effort des équipes, tandis qu’un autre mentionne que les demandes de clients en lien avec le droit à la portabilité sont plutôt rares. Quoi qu’il en soit, la nécessité de s’adapter aux demandes représente une source de préoccupation pour plusieurs répondants. « Si les demandes sont sporadiques, c’est faisable. Sinon, ce sera complexe », mentionne un responsable de la conformité.

Bien que la portabilité des données soit officiellement en vigueur, plusieurs organisations n’ont encore jamais traité une telle demande. Chez Cloutier Groupe financier, par exemple, aucun cas concret n’a été recensé à ce jour. « On est capable de répondre, mais on n’a eu aucune demande », confirme François Bruneau, vice-président administration. Même constat chez MICA Cabinets de services financiers : le processus est prêt, mais n’a jamais été mis à l’épreuve, indique Francis Ménard, vice-président transformation numérique.

Chez Mérici Services financiers, la mise à jour des systèmes a été relativement fluide, grâce à des fournisseurs de logiciels qui ont intégré les exigences de la Loi 25 sans imposer de frais supplémentaires, rapporte le président et chef de la conformité, Maxime Gauthier. Mais même là, l’exploitation concrète des données transférées reste incertaine. Le défi demeure pour l’instant théorique.

L’éléphant dans la pièce : l’absence de standardisation
Derrière l’apparente simplicité du droit à la portabilité se cache un défi technique de taille : le manque de standardisation des formats de données. Même si l’information est fournie dans un format structuré, chaque organisation classe et encode les informations différemment, ce qui exige un effort d’adaptation de la part de celui qui la reçoit.

« Il y aura un effort du côté du destinataire, car les données ne seront pas organisées selon ses propres structures », explique Francis Ménard. « Un client peut vouloir recevoir ses informations dans un format exploitable pour lui, mais cela ne signifie pas que nos systèmes peuvent les lui fournir de cette manière », signale Maxime Gauthier.

L’absence de standardisation complique l’intégration des renseignements personnels par les destinataires. Même dans un scénario où un client obtiendrait ses données, leur réutilisation par une firme concurrente demeure peu probable, du moins à l’heure actuelle, ajoute François Bruneau.

Par exemple, un client qui transfère un compte d’investissement vers une autre institution pourrait souhaiter importer son historique de transactions. Cependant, cette opération est délicate tant sur le plan technique que réglementaire : « Il n’y a aucune façon que je vais rentrer ça dans mon système. On ne veut pas contaminer notre environnement avec des données externes qu’on ne peut pas valider », dit François Bruneau. Résultat : le client se retrouve avec un fichier dont l’utilité reste limitée, sauf à des fins personnelles.

Le fait que les données sont souvent réparties entre plusieurs systèmes : épargne collective, assurance collective, assurance individuelle, représente un défi supplémentaire. Les différentes plateformes n’étant pas interconnectées, récupérer des informations pour un client actif dans plusieurs unités d’affaires peut donc devenir complexe et chronophage. « Il faut aller chercher les données dans chacun des systèmes, ce qui rallonge les délais. »

Pour l’instant, la grande majorité des démarches nécessite un traitement manuel. « Il n’y a pas de bouton magique pour extraire les données. Chaque demande requiert une intervention humaine », indique François Bruneau. Il craint un engorgement si le volume de requêtes devait augmenter soudainement. Dans ce cas, la gestion du volume deviendrait plus problématique que la capacité à livrer les renseignements.

Sur le plan juridique, la Loi 25 établit un droit à la portabilité, mais sans indiquer comment l’exercer concrètement, soulève Yvan Morin, chef de la protection des renseignements personnels chez MICA : « Il faut traiter les demandes dans un délai raisonnable et s’assurer que la transmission se fait de façon sécuritaire, mais on n’a pas de directives détaillées. »

La nécessité d’utiliser un mode de transmission sécuritaire pour protéger les renseignements personnels complexifie les choses, alors qu’aucune méthode spécifique n’a été déterminée pour l’instant par le législateur. Selon Yvan Morin, l’adoption de normes communes et d’outils technologiques standardisés réduirait l’effort requis des firmes pour se conformer aux exigences de la Loi 25.

La méconnaissance du public fait en sorte que la portabilité des données reste peu demandée. « Malheureusement, la majorité des gens ignorent ce que la Loi 25 leur permet. Ce n’est pas une priorité pour eux », constate Maxime Gauthier, ajoutant que la loi résulte plus d’une volonté gouvernementale que d’une pression des usagers.

François Bruneau entrevoit un potentiel d’innovation prometteur dans cette disposition. Une application FinTech pourrait, à terme, automatiser les demandes de portabilité, agréger les données de diverses institutions et les rendre exploitables pour les clients, à condition que les infrastructures technologiques suivent, illustre-t-il.

L’essor de l’intelligence artificielle (IA) soulève également des questions sur la sécurité des données personnelles. Maxime Gauthier rappelle que, selon la Loi 25, aucune donnée ne doit être utilisée par un outil d’IA sans le consentement éclairé du client. Il n’exclut pas certains dérapages. « Ce n’est pas censé arriver, mais si une IA est mal utilisée ou mal encadrée, le risque de fuite est bien réel. »

Réforme nécessaire à long terme

Des discussions sont en cours pour déterminer comment des données sensibles, telles que la tolérance au risque, pourraient être transférées entre firmes. Cela suppose un travail de coordination technique, car les méthodes de collecte et de conservation des données diffèrent souvent d’une institution à l’autre. « Il faudra s’entendre sur des protocoles communs. Ce sera long et exigeant », affirme Maxime Gauthier.

Ces efforts s’inscrivent dans un contexte plus vaste de transformation numérique, à l’image du transfert de comptes entre représentants (TCR), qui mobilise déjà les ressources informatiques des firmes.

Pour Kateri-Anne Grenier, associée et cocheffe, protection des renseignements confidentiels, vie privée et cybersécurité, et avocate en litige commercial chez Fasken, la portabilité des données est une avancée importante, mais encore largement théorique.

« Il faut des audits réguliers pour vérifier si les processus sont en place, s’ils fonctionnent, s’ils peuvent être améliorés, et s’ils respectent la loi », expliquait-elle dans un précédent article dans Finance et Investissement. Elle met notamment en garde contre la tentation de stocker indéfiniment des données inutiles, au risque d’être pris de court en cas d’incident de confidentialité.

Si l’outil est en place et les règles établies, un écart demeure donc entre l’intention du législateur et les usages réels sur le terrain.

L’article Portabilité des données : les défis invisibles de la Loi 25 est apparu en premier sur Finance et Investissement.