Alors que la pandémie a accéléré le virage numérique, les conseillers sont confrontés à d’importants enjeux de conformité dans le traitement des renseignements confidentiels, a insisté la Chambre de la sécurité financière dans un webinaire auquel le Portail de l’assurance a assisté.
« Bien que nous constatons la progression du numérique dans nos activités, le consommateur doit continuer d’être bien servi », a affirmé la PDG de la Chambre, Marie-Elaine Farley, en ouverture du webinaire diffusé le 15 décembre.
Même si la machine prend de plus en plus de place dans la distribution de produits et services financiers, notre contribution à tous ne doit pas diminuer pour autant, a ajouté la PDG de la Chambre. « Nous devons veiller plus que jamais à la conformité de toutes nos opérations. »
Mode virtuel : mêmes obligations
Lors de ce webinaire, Mme Farley a rappelé à ses membres l’importance de bien protéger les renseignements personnels de leurs clients, particulièrement à l’ère des nouvelles technologies. Elle a invité Annik Bélanger-Krams à discuter de ces enjeux. Avocate à la direction des affaires juridiques et réglementaires de la Chambre, Mme Bélanger-Krams a révélé que la Chambre avait reçu beaucoup de questions de ses membres quant à leurs obligations de conformité dans le contexte d’une pratique à distance avec leurs clients.
« La pandémie a eu un impact important sur votre pratique et votre utilisation des nouvelles technologies, et a accéléré le virage numérique que nous vivions déjà. Vous avez les mêmes devoirs et responsabilités lorsque vous faites affaire avec votre client en utilisant ces outils que si vous le rencontriez en personne », a signalé Annik Bélanger-Krams.
Protéger les données sensibles
Parmi ces obligations, Mme Bélanger-Krams rappelle que le conseiller demeure responsable d’assurer la confidentialité des renseignements personnels qu’il recueille auprès de ses clients « indépendamment du support que vous utilisez ».
Entre autres, le conseiller doit respecter les dispositions de La Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP). La LPRSP désigne deux types de renseignements personnels : usuels et sensibles. Par exemple, les renseignements personnels médicaux, financiers ou sur le mode de vie sont de nature sensibles. « La loi dit que plus les renseignements sont sensibles, plus vous devez prendre des mesures pour les protéger », souligne Mme Bélanger-Krams.
En assurance de personnes, en assurance collective de personnes et en planification financière, deux articles du code de déontologie de la Chambre de la sécurité financière abordent l’utilisation et la divulgation des renseignements personnels des clients, soit l’article 26 et l’article 27. Dans la discipline des valeurs mobilières, deux articles du règlement sur la déontologie des représentants en épargne collective et en plan de bourses d’études traitent de ces aspects, soit les articles 8 et 9.
« La vaste majorité des renseignements qui se retrouvent dans les dossiers de vos clients sont très sensibles, donc vos obligations sont très importantes. Vous devez prendre les moyens de les protéger à chaque étape du cycle de vie de la donnée : la collecte; l’utilisation; le partage; la conservation; et la destruction », ajoute-t-elle.
Prévenez les cyberattaques
Alors que les cyberattaques se multiplient dans l’industrie, le partage d’informations sensibles sans filet de sécurité préoccupe la Chambre, Annik Bélanger-Krams invite les conseillers à configurer et protéger leur réseau wifi correctement. Il doit être privé, dit-elle. « Le réseau ouvert d’un café ou d’un aéroport n’est jamais adéquat pour utiliser ou consulter les documents de vos clients. »
Le conseiller doit aussi mettre régulièrement à jour le niveau de sécurité de son routeur, voire de le remplacer. « Ce qui était adéquat comme protection il y a cinq ans ne l’est peut-être plus aujourd’hui. »
L’avocate de la Chambre recommande de communiquer avec les clients par réseau virtuel privé (VPN). « Utilisez un logiciel antivirus et un mur pare-feu à jour. » De plus, les connexions Bluetooth doivent être désactivées lors des communications « parce qu’elles sont plus vulnérables aux cyberattaques », dit Mme Bélanger-Krams. Par exemple, il faut éviter les sessions de partage d’imprimantes par Bluetooth.
L’envoi de courriels d’hameçonnage s’est intensifié en temps de pandémie et la Chambre dit s’en inquiéter. « En temps de COVID, nous avons observé une recrudescence des courriels d’hameçonnage. Vérifiez que c’est bien votre client qui vous contacte par courriel », dit Mme Bélanger-Krams Pour le faire, le conseiller peut consigner trois questions auxquelles seul le client connait les réponses. « Si l’avocat ou le notaire du client vous contacte, les mêmes règles de confidentialité qu’à un autre tiers s’appliquent », ajoute-t-elle.
Mme Bélanger-Krams rappelle aux conseillers d’empêcher les tiers d’accéder à leur portable. « En télétravail, la ligne devient moins claire entre vie personnelle et professionnelle. Vous devez vous assurer qu’aucun tiers ne puisse voir votre écran, y compris vos proches. Même chose si vous travaillez à une fenêtre. » Enfin, le conseiller doit se déconnecter à chaque session d’utilisation. « Si vous êtes du genre à oublier, programmez cette déconnexion. »
Plateformes de rencontre numériques
Avant de fixer une rencontre en vidéoconférence, le conseiller doit s’assurer que le client y consent, précise Annik Bélanger-Krams. Dans ce mode, la rencontre se déroule rapidement et le conseiller doit prévoir du temps pour consigner des notes, en demandant par exemple à son client de prendre une courte pause.
Comme une partie du langage corporel du client échappe au conseiller dans ce mode de rencontre, il lui sera plus difficile de déceler une réticence ou une interrogation chez son client. « N’hésitez pas à lui poser plus de questions pour vous assurer que tout est bien compris », dit Mme Bélanger-Krams.
Les trois questions secrètes seront utiles au conseiller pour identifier le client dont la caméra ne fonctionne pas. En ce qui touche un nouveau client, le conseiller peut l’authentifier en lui demandant de présenter une pièce d’identité avec photo à l’écran, dit l’avocate.
Authentification à double facteur
Dans les cas qui justifient l’envoi de documents par courriel, le conseiller doit s’assurer que le courriel ne contient pas de renseignements personnels et qu’il est protégé par un mot de passe. Mme Bélanger-Krams recommande un système qui crypte le courriel de l’expéditeur au destinataire.
« Cumulez d’autres méthodes comme l’authentification à double facteur. Vous communiquez alors le code pour accéder au courriel à votre client dans un canal différent, par exemple par message texte. Vous pouvez aussi le lui dire verbalement. »
La signature d’un témoin à distance est seulement permise en vidéoconférence si le client est visible, rappelle l’avocate. « Pour signer à titre de témoin, vous devez avoir vérifié l’identité du témoin et vous devez l’avoir vu signer à la caméra. S’il s’agit d’une signature électronique, vous devez la partager à l’écran », ajoute-t-elle. Elle suggère fortement que le client retourne le document au même moment ou lors de la même rencontre.
Modération sur les réseaux sociaux
Mme Bélanger-Krams exhorte les conseillers à utiliser prudemment les réseaux sociaux lorsqu’ils le font à des fins professionnelles. Tout ce qu’ils y publient peut être vu d’une multitude de personnes, peut porter préjudice aux clients et engager la responsabilité du conseiller. Une seule publication inappropriée « peut amener vos clients à prendre de mauvaises décisions financières », ajoute-t-elle.
Le conseiller doit ainsi éviter de recommander des produits ou des services en particulier. Pour tracer la ligne, Annik Bélanger-Krams donne l’exemple d’une publication conforme d’une conseillère sur sa page LinkedIn professionnelle : « Je recommande à tous mes clients d’évaluer leurs besoins financiers avant que les modifications réglementaires réduisant les avantages fiscaux de certains produits n’entrent en vigueur dans trois ans. » Ce commentaire est conforme. Si la conseillère avait suggéré un produit ou une stratégie dans son commentaire, elle aurait été en infraction, dit-elle.
Un conseiller doit aussi éviter de dénigrer ou diffamer ses collègues, car il commet ainsi une faute déontologique mais peut également engager sa responsabilité professionnelle et civile. Attention aussi à la critique constructive un collègue : la ligne est très mince. Le conseiller aura plutôt avantage à mettre de l’avant sa valeur ajoutée et expliquer comment il se démarque.