Le 10 février 2023, le projet de règlement tant attendu (le « Règlement ») devant être pris en vertu de la Loi sur les activités associées aux paiements de détail (la « LAAPD ») a été publié. Le Règlement fournit des précisions très détaillées quant aux exigences de la LAAPD (pour un aperçu des exigences de la LAAPD, consultez notre Bulletin Blakes de mai 2021 intitulé Réglementation des paiements de détail au Canada : La Loi sur les activités associées aux paiements de détail est arrivée). L’approche adoptée dans le Règlement est très normative pour ce qui est des attentes à l’égard des fournisseurs de services de paiement (« FSP ») enregistrés, tout particulièrement en ce qui a trait à la gestion des risques opérationnels et à la protection des fonds. Alors que les droits d’enregistrement à titre de FSP auprès de la Banque du Canada sont minimes (initialement 2 500 $ CA), les coûts associés à la mise en œuvre d’un programme de conformité conforme à la LAAPD seront considérables.
La période de 45 jours prévue pour la soumission de commentaires sur ce projet de règlement prend fin le 28 mars 2023. Tous les commentaires soumis par les parties intéressées seront publiés en ligne lorsque la période de consultation aura pris fin. Une section du formulaire pour la soumission de commentaires permet d’inclure des renseignements qui seront traités comme des renseignements confidentiels. Dans ce cas-ci, les commentaires doivent être fournis dans le projet de règlement lui-même, à la fin de chaque section, et une limite de caractères a été fixée pour chaque commentaire. Étant donné l’importance que représentent ces dispositions réglementaires pour les FSP, notamment parce qu’elles pourraient avoir d’importantes répercussions sur leurs activités, ces derniers auront intérêt à examiner soigneusement le Règlement.
À l’heure actuelle, aucune date n’a encore été fixée pour l’entrée en vigueur de la LAAPD. Le résumé de l’étude d’impact de la réglementation indique que le ministère des Finances étudiera les commentaires soumis avant de prendre une décision quant à la mise en œuvre du Règlement.
Créant un régime de conformité complet et normatif pour les FSP, le Règlement obligera vraisemblablement ces derniers à y consacrer d’importantes ressources tant financières qu’humaines. Il est donc recommandé aux FSP d’examiner ces dispositions attentivement, d’envisager de formuler des commentaires au sujet de l’incidence que celles-ci auront sur leurs activités et de se préparer en vue de l’entrée en vigueur de la LAAPD.
GESTION DES RISQUES ET RÉPONSE AUX INCIDENTS
Certaines des dispositions les plus normatives et les plus exigeantes du Règlement portent sur le cadre de gestion des risques et de réponse aux incidents (le « Cadre ») que les FSP enregistrés doivent mettre en œuvre.
À cet égard, le Règlement énonce des exigences exhaustives auxquelles les FSP doivent se conformer pour la mise en œuvre de leur Cadre et précise les sujets devant être abordés dans celui-ci. Les exigences ne privilégient pas une approche fondée sur les risques et sont plutôt résolument normatives. Les FSP devraient examiner ces exigences afin d’en saisir la portée et la nature.
Voici quelques exemples des exigences applicables au Cadre des FSP :
-
Le Cadre doit contenir des objectifs expressément déclarés. Deux objectifs sont obligatoires aux termes du Règlement, soit :
-
le FSP doit pouvoir exécuter ses activités associées aux paiements sans « entrave, perturbation ou interruption » et veiller à la disponibilité des systèmes, données et renseignements engagés dans l’exécution de ces activités;
-
l’intégrité et la confidentialité des activités de paiement, des données et des renseignements d’un FSP doivent être préservées.
-
Le Cadre doit établir des « cibles de fiabilité mesurables et clairement définies » (c.-à-d. des niveaux de service) ainsi que des indicateurs à utiliser pour mesurer la réalisation des objectifs du Cadre susmentionnés.
-
Le Cadre doit également recenser les ressources humaines et financières nécessaires pour sa mise en œuvre et son maintien, ce qui comprend, à l’égard des ressources humaines, les compétences et la formation du personnel requises.
-
Le Cadre doit recenser les actifs du FSP (notamment les systèmes, les données et les renseignements) et les processus opérationnels engagés dans l’exécution des activités associées aux paiements du FSP. Ces actifs doivent ensuite être classés selon leur sensibilité et leur importance à l’exécution de ces activités de paiement.
-
Le FSP doit recenser et décrire toutes les causes éventuelles de ses risques opérationnels. Le Règlement énonce une liste détaillée des risques à présenter dans le cadre de cet exercice, notamment la continuité des activités, la cybersécurité, la fraude, la gestion des données, les technologies de l’information, les ressources humaines, la conception et la mise en œuvre des produits et des processus, et la gestion du changement. Une fois que ces risques opérationnels ont été recensés, le Cadre doit décrire les systèmes, les politiques et les procédures que le FSP a en place pour atténuer ses risques opérationnels et protéger ses actifs.
-
Il est attendu de la part du FSP qu’il assure le contrôle continu de ses activités de paiement, systèmes et contrôles afin de déceler les incidents ou d’autres anomalies pouvant signaler un risque opérationnel ou des défaillances du Cadre. Toutes ces mesures doivent être décrites dans le Cadre.
-
Si le FSP a recours à des tiers fournisseurs de services ou à des mandataires, le Cadre doit également inclure des politiques et des procédures concernant la supervision de ces parties.
Réponse aux incidents
Le Cadre du FSP doit également comprendre un plan complet de réponse et de rétablissement en cas d’incidents. Le terme « incident » s’entend « d’un événement ou d’une série d’événements liés qui sont non planifiés et qui entravent, perturbent ou interrompent — ou qui pourraient vraisemblablement entraver, perturber ou interrompre — une activité associée aux paiements de détail exécutée par le FSP ». Le Règlement énonce des exigences normatives en ce qui a trait au contenu du plan de réponse aux incidents du FSP. En ce qui a trait à la réponse aux incidents, le Cadre doit également prévoir une obligation d’enquêter, de prendre des mesures d’atténuation visant à prévenir ou à atténuer toute autre atteinte et de prendre, aussitôt que possible, des mesures permettant de traiter la cause première de l’incident. Des documents détaillés doivent être conservés à l’égard de chaque incident. Les FSP ne peuvent rétablir leurs opérations qu’après avoir vérifié l’intégrité et la confidentialité des systèmes, des données et des renseignements.
Cadre fondé sur les risques?
Les exigences relatives au Cadre sont très détaillées. Toutefois, le Cadre d’un FSP doit être proportionnel aux répercussions que pourrait avoir une entrave ou une interruption de ses activités associées aux paiements sur les utilisateurs finaux et les autres FSP, en tenant compte de « l’ubiquité et de l’interconnexion » du FSP ainsi que de la taille relative de celui-ci. Ainsi, plus la taille d’un FSP est imposante, plus le Cadre devra être robuste. Il faut cependant garder à l’esprit que toutes les exigences relatives au Cadre sont obligatoires, ce qui signifie que, peu importe la taille, l’ubiquité et l’interconnexion, tous les FSP doivent mettre en œuvre un Cadre complet conforme aux exigences énoncées dans le Règlement.
Lorsqu’un FSP a recours à un tiers fournisseur de services, il doit inclure chacun de ces fournisseurs dans son Cadre et évaluer la capacité de chacun d’eux de composer avec des risques opérationnels précis. Cette évaluation doit avoir lieu au moins une fois par année et avant de conclure, de renouveler, de proroger ou de modifier substantiellement un contrat avec le tiers. Les documents relatifs à l’évaluation doivent être conservés. Des exigences similaires s’appliquent au recours à des mandataires par le FSP.
Le Cadre d’un FSP doit être approuvé par un cadre dirigeant et par le conseil d’administration du FSP chaque année et chaque fois qu’une modification importante y est apportée. Tous les employés et toute autre personne ayant un rôle relativement au Cadre doivent recevoir la formation requise pour s’acquitter de leurs rôles respectifs.
Examens et mise à l’essai du Cadre
Conformité
Le Cadre et la conformité de celui-ci aux exigences réglementaires doivent faire l’objet d’un examen au moins une fois par année. Un examen du Cadre sera également requis après tout « incident » susceptible d’avoir des répercussions importantes sur le FSP, ou avant que soit apporté un changement important aux activités ou aux contrôles du FSP. Un document dans lequel sont consignés la portée, la méthodologie et les résultats de l’examen doit être tenu. Les résultats de l’examen doivent être communiqués à un cadre dirigeant.
Efficacité
Outre de tels examens, l’efficacité du cadre doit également pouvoir être mise à l’essai au moins une fois tous les trois ans afin de déceler toute lacune et toute vulnérabilité compte tenu de certains facteurs précis. Une mise à l’essai doit également avoir lieu avant l’adoption de tout changement important aux systèmes ou aux procédures du FSP. Des documents relatifs aux essais portant sur l’efficacité doivent être tenus (y compris des renseignements sur la méthode utilisée et les mesures correctives prises à l’égard des résultats) et une copie de ceux-ci doit être fournie à un cadre dirigeant.
Examen indépendant
En plus des exigences relatives aux examens et aux mises à l’essai portant sur l’efficacité, le Cadre doit être soumis à un examen indépendant (à l’interne ou en faisant appel à un auditeur externe) au moins une fois tous les trois ans. L’examen doit être documenté et décrire la portée de celui-ci, la méthodologie utilisée et les résultats obtenus. Les lacunes et les vulnérabilités doivent faire l’objet de mesures correctives et d’un rapport présenté à un cadre dirigeant.
Par conséquent, le Cadre est non seulement normatif, mais exigeant; il oblige les FSP à consacrer une attention et des ressources considérables à la gestion de la conformité à la LAAPD. Ces exigences représenteront un fardeau particulièrement lourd pour les sociétés en démarrage dotées de ressources limitées et auparavant soumises à des exigences de conformité moins lourdes. Bien que le Règlement fasse mention de proportionnalité, aucune exemption ni dispense n’est prévue pour les organisations de petite taille à l’égard de ces exigences.
PROTECTION DES FONDS
L’une des principales caractéristiques de la LAAPD est l’imposition d’un nouveau cadre rigoureux pour la protection des fonds des utilisateurs finaux. Le régime de protection des fonds s’applique aux FSP qui détiennent des fonds d’utilisateurs finaux jusqu’à ce que ces fonds soient transférés à une autre personne, ou jusqu’à ce que l’utilisateur final les retire. Lorsqu’un FSP détient des fonds d’utilisateurs finaux, il est tenu de mettre en œuvre un programme de conformité et un cadre à l’égard de ceux-ci.
En vertu de la LAAPD, les FSP doivent détenir les fonds d’un utilisateur final en fiducie, dans un compte en fiducie séparé ou dans un compte séparé assorti d’une assurance ou d’une garantie à l’égard des fonds. Le projet de règlement énonce des exigences détaillées pour chacune de ces options aux fins de la protection des fonds des utilisateurs finaux :
-
Exigences relatives aux comptes : Les FSP sont tenus de détenir les fonds d’un utilisateur final dans un compte détenu auprès d’une institution financière admissible. Au Canada, les institutions admissibles sont les banques, les coopératives de crédit provinciales et les sociétés de prêt et de fiducie. En vertu du Règlement, les fonds d’un utilisateur final peuvent également être détenus auprès d’une institution financière étrangère qui est sujette à une réglementation imposant des normes équivalentes en matière de fonds propres, de liquidité, de gouvernance, de surveillance et de gestion du risque à celles qui s’appliquent aux institutions financières admissibles au Canada. Il sera permis aux FSP de détenir les fonds d’un utilisateur final auprès d’institutions financières réglementées canadiennes et étrangères, ce qui sera particulièrement important pour les FSP étrangers enregistrés auprès de la Banque du Canada et pouvant détenir des fonds d’utilisateurs finaux dans de multiples ressorts.
-
Exigences en matière d’assurance et de garantie : Les FSP qui souhaitent remplir les exigences relatives à la protection des fonds des utilisateurs finaux en détenant une assurance ou une garantie doivent veiller à ce que l’assurance ou la garantie soit fournie par une institution financière canadienne ou étrangère admissible. Les institutions financières admissibles sont les mêmes que les institutions assujetties à une réglementation prudentielle susmentionnées et comprennent les sociétés d’assurance. L’institution financière qui fournit une assurance ou une garantie à l’égard de fonds d’un utilisateur final ne peut être affiliée au FSP, mais rien n’empêche la même institution financière admissible de détenir le compte séparé pour la détention des fonds de l’utilisateur final et de fournir l’assurance ou la garantie requise. À cet égard, nous notons que les lois sur les institutions financières fédérales précisent que les garanties comprennent les lettres de crédit. Bien que la LAAPD n’aborde pas précisément cette question, l’exigence en matière d’assurance ou de garantie ne sera pas satisfaite si les fonds de l’utilisateur final sont simplement détenus dans un compte auprès d’une banque tierce qui est couvert par une assurance sur les dépôts. En effet, l’assurance sur les dépôts, comme celle offerte par la Société d’assurance dépôts du Canada (la « SADC »), fournit une protection contre le défaut de la banque détenant le compte du FSP et non contre le défaut du FSP lui-même.
-
Protection offerte contre le risque de faillite : Si un FSP s’appuie sur une assurance ou une garantie pour satisfaire aux exigences en matière de protection des fonds, il doit notamment veiller à ce que le produit de l’assurance ou de la garantie ne fasse pas partie des actifs du FSP en cas de faillite et à ce que ce produit soit payable aux utilisateurs finaux dès que possible après un cas d’insolvabilité. Ces exigences relatives à la protection offerte contre le risque de faillite ne s’appliquent qu’à l’option relative à la protection des fonds au moyen d’une assurance ou d’une garantie. Si les fonds d’un utilisateur final sont détenus en fiducie dans un compte séparé auprès d’une institution financière admissible, nous nous attendons à ce que les fonds en fiducie soient exclus des actifs de FSP aux termes des principes généraux du droit de l’insolvabilité, y compris l’alinéa 67(1)a) de la Loi sur la faillite et l’insolvabilité.
-
Politiques et contrôles : En plus de devoir établir le Cadre, les FSP sont tenus d’établir, d’appliquer et de tenir à jour un cadre de protection des fonds en veillant à ce que les utilisateurs finaux aient un accès fiable et sans délai à leurs fonds et que ces fonds, ou le produit de l’assurance ou de la garantie, leur soient versés dès que possible après un cas d’insolvabilité. Parmi les autres exigences qui s’appliquent, le cadre de protection des fonds du FSP doit décrire les moyens mis en place notamment à l’égard de l’utilisation d’ententes relatives à la liquidité et à l’égard de la détention des fonds d’utilisateurs finaux sous forme d’actifs sûrs et liquides, de la tenue d’un registre de fonds comprenant les noms et coordonnées des utilisateurs finaux et des fonds de ceux-ci, et pour permettre à l’administrateur d’insolvabilité agissant pour le compte du FSP d’avoir accès aux dossiers et aux documents pertinents et d’administrer la restitution des fonds protégés ou le produit de l’assurance ou de la garantie aux utilisateurs finaux en présence d’un cas d’insolvabilité. En comparaison, dans le contexte de l’assurance sur les dépôts administrée par la SADC pour le compte d’institutions de dépôt fédérales, de telles ententes sont assujetties à une importante réglementation qui, dans le contexte de la LAAPD, semblent s’appliquer selon une approche plutôt fondée sur des principes ou les résultats. Voilà qui pourrait créer de complexes enjeux juridiques et opérationnels pour les FSP, quoique le résumé de l’étude d’impact de la réglementation qui accompagne le projet de règlement précise que des clarifications additionnelles sont attendues de la Banque du Canada au chapitre de la protection des fonds. Il reste à voir dans quelle mesure l’approche adoptée par la Banque du Canada dans ses lignes directrices sera normative à cet égard.
-
Examens et mises à l’essai de l’efficacité : Le cadre de protection des fonds doit être supervisé par un cadre dirigeant désigné et, comme dans le cas du Cadre, il doit faire l’objet d’un examen au moins une fois par année. Un examen annuel doit également servir à évaluer les mesures de protection des fonds des utilisateurs finaux mises en œuvre l’année précédente et à communiquer à la Banque du Canada les résultats de l’enquête et toute mesure corrective prise si des lacunes ont été décelées. En outre, comme dans le cas des exigences applicables au Cadre, le FSP qui détient des fonds d’utilisateurs finaux doit veiller à ce que son cadre de protection des fonds fasse l’objet d’un examen indépendant tous les deux ans.
RENSEIGNEMENTS
Outre les exigences relatives à l’établissement du Cadre, au programme de protection des fonds, aux examens de l’efficacité, aux mises à l’essai et à l’examen indépendant, les FSP sont également tenus de soumettre à la Banque du Canada un rapport annuel renfermant des renseignements détaillés et d’autres rapports (le « Rapport »). Le volume de renseignements additionnels qu’un FSP devra inclure dans son Rapport est sans doute un des aspects les plus étonnants du Règlement. Ces nouvelles obligations ont été une importante source d’incertitude auprès des FSP dans l’attente du projet de règlement. Les renseignements requis comprennent de vastes catégories de données des FSP, tout particulièrement en ce qui concerne les FSP ayant un établissement au Canada.
Aux termes du programme de rapports, le FSP doit fournir à la Banque du Canada une description des mesures prises pour se conformer à chaque exigence se rapportant aux éléments relatifs à la conformité dont il est question ci-dessus à la section portant sur le Cadre. Ces éléments comprennent les renseignements sur la formation et les mises à l’essai, ainsi que l’information sur tous les examens réalisés. Le Rapport doit également décrire comment le Cadre a été approuvé de manière appropriée et comment celui-ci a été communiqué aux employés du FSP et aux autres personnes ayant un rôle relativement au Cadre. Le Rapport doit aussi inclure un sommaire et une analyse similaires de tous les éléments devant figurer dans le programme de protection des fonds.
En plus de communiquer des renseignements au sujet des obligations de conformité du FSP, le Rapport doit également contenir des renseignements détaillés sur les activités du FSP au cours de l’année précédente. Les renseignements exigés à cet égard sont très pointus. Par exemple, les renseignements suivants doivent figurer dans le Rapport à l’égard de chaque année visée :
-
la valeur maximale de chaque monnaie détenue en tant que fonds d’utilisateurs finaux par le FSP à tout moment, et ce, pour tous les utilisateurs finaux et les utilisateurs finaux se trouvant au Canada;
-
la valeur moyenne quotidienne de toutes les monnaies détenues chaque mois en tant que fonds d’utilisateurs finaux;
-
le nombre et la valeur des transferts électroniques de fonds exécutés pour des utilisateurs finaux se trouvant au Canada;
-
le nombre total d’utilisateurs finaux pour lesquels le FSP a exécuté une activité de paiement;
-
les indicateurs financiers pour l’année visée, notamment les recettes, le bénéfice brut ou la perte brute, le bénéfice ou la perte d’exploitation, l’actif, le passif et les capitaux propres.
Des renseignements détaillés sont également exigés au sujet des activités associées au paiement et des recettes pour chaque mois de l’année visée.
Outre des renseignements financiers et de l’information en matière de conformité, le FSP doit également fournir dans le Rapport une description de tout changement apporté aux activités associées aux paiements du FSP au cours de l’année visée, ainsi que des renseignements sur toute activité que le FSP a commencé ou cessé d’exécuter.
Ce processus normatif et détaillé pour la production de rapports annuels obligera vraisemblablement la plupart des FSP à apporter des changements à leurs activités de collecte de renseignements et de tenue de documents et de dossiers ainsi qu’à leurs processus de conformité et de communication de l’information. Les FSP devront également consacrer d’importantes ressources à leurs efforts de conformité au régime de la LAAPD.
Il est important de noter que les FSP qui n’ont pas d’établissement au Canada sont toujours tenus d’établir leur ubiquité et leur interconnexion au Canada. Toutefois, il leur est permis de fournir des renseignements plus limités que ceux décrits ci-dessus.
Tenue et conservation de documents
Le Règlement énonce également les obligations de tenue et de conservation de documents d’un FSP. À cet égard, un FSP doit tenir, dans une forme intelligible à la Banque du Canada, des documents suffisants pour démontrer sa conformité à la LAAPD et au Règlement. En outre, le FSP doit prendre des mesures raisonnables pour préserver ces documents.
Sanctions administratives pécuniaires
Enfin, le Règlement fournit des détails sur les violations de la LAAPD, la qualification de ces violations et les barèmes des sanctions applicables à celles-ci. Comme dans le cas du Règlement sur les pénalités administratives pris en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « LRPCFAT »), les violations sont qualifiées de « graves » ou de « très graves ». Parmi les violations très graves, on retrouve celles se rapportant aux obligations d’un FSP de mettre en œuvre et de maintenir le Cadre, ce qui comprend le défaut d’effectuer les examens, les mises à l’essai de l’efficacité et les examens indépendants exigés dans les délais prescrits, et le défaut de protéger adéquatement les fonds des utilisateurs finaux.
Les sanctions applicables à une violation grave peuvent aller jusqu’à 1 M$ CA par violation, tandis que celles qui s’appliquent à une violation très grave peuvent aller jusqu’à 10 M$ CA par violation. Ces sanctions sont beaucoup plus élevées que celles prévues par la LRPCFAT (la sanction la plus élevée pouvant aller jusqu’à 500 000 $ CA par violation) et correspondent plus au régime étendu des sanctions administratives pécuniaires administré par l’Agence de la consommation en matière financière du Canada à l’égard des institutions financières fédérales.
En ce qui a trait à la LRPCFAT, mentionnons que la majorité des FSP sont également des entreprises de services monétaires en vertu de la LRPCFAT. À ce titre, les FSP seront assujettis aux exigences du régime de lutte contre le recyclage des produits de la criminalité de la LRPCFAT ainsi qu’à celles de la LAAPD et du règlement pris en vertu de cette dernière. L’effet combiné des obligations de conformité aux termes de ces deux lois constitue tout un défi pour les FSP et les ressources nécessaires pour s’acquitter de ces obligations seront considérables. À l’avenir, les FSP devront consacrer d’importantes ressources à leurs obligations de conformité à la réglementation.
