Date de publication : 17 avril 2024
La présente politique explique quels documents les fournisseurs de services de paiement doivent tenir et conserver pour respecter leurs obligations à ce titre en vertu de la Loi sur les activités associées aux paiements de détail et du Règlement sur les activités associées aux paiements de détail.
Introduction
Les fournisseurs de services de paiement (FSP) doivent tenir et conserver des documents suffisants pour démontrer qu’ils se conforment à la Loi sur les activités associées aux paiements de détail (LAAPD) et au Règlement sur les activités associées aux paiements de détail1.
La présente politique vise à aider les FSP à respecter leurs obligations en matière de tenue de documents conformément aux articles 40 à 42 du Règlement.
Sous réserve des engagements pris au titre de l’article 42 et des conditions imposées en vertu de l’article 43 de la LAAPD2, le jour où un document ne sert plus à démontrer qu’un FSP respecte les exigences de la LAAPD et du Règlement, il doit être conservé pendant cinq ans à compter de ce jour.
Documents à tenir et à conserver
La Banque s’attend à ce que les FSP tiennent et conservent tous les documents relatifs à leur respect des exigences liées aux aspects suivants :
- la gestion des risques opérationnels et la réponse aux incidents, conformément au paragraphe 17(1) de la LAAPD3
- la déclaration des incidents, conformément aux articles 18 et 19 de la LAAPD4
- la détention de fonds, conformément à l’alinéa 20(1)a), b) ou c) de la LAAPD5
- la communication de renseignements à la Banque, notamment en ce qui a trait aux :
- rapports annuels6
- avis de changement important ou d’activité nouvelle7
- modalités et renseignements de la demande d’enregistrement8
- avis de modification des renseignements de la demande d’enregistrement9
- avis de modification des renseignements sur un FSP10
- avis de modification des renseignements prévus par règlement relatifs à un FSP ou à ses activités associées aux paiements de détail aux fins d’un examen lié à la sécurité nationale dans le cadre du processus de demande d’enregistrement11
- demandes de renseignements12
- vérifications spéciales13
- demandes de renseignements relatives aux cotisations14
- cas où les fonds des utilisateurs finaux ou le produit équivalent d’une assurance ou d’une garantie n’auraient pas été versés aux utilisateurs finaux, y compris en ce qui concerne les résultats d’enquêtes et les mesures prises15
Exemples
Cette section fournit quelques exemples illustratifs de ce que les FSP devraient tenir et conserver comme documents. Certains articles du Règlement énoncent des obligations précises pour la tenue de documents (notamment en ce qui a trait à la gestion des risques et la réponse aux incidents ainsi qu’à la protection des fonds), mais celles-ci ne représentent qu’une partie – et non l’ensemble – des obligations des FSP à ce chapitre.
Cadre de gestion des risques et de réponse aux incidents
Conformément à l’article 17 de la LAAPD et aux articles 5 à 10 du Règlement :
- le cadre de gestion des risques et de réponse aux incidents du FSP, sous forme écrite, tel que visé à l’article 5 du Règlement, ainsi que les documents attestant de tout examen ou de toute approbation prévue au paragraphe 5(6) du Règlement
- tout document où sont consignées les politiques et procédures sur le recensement et la classification des actifs et des processus opérationnels du FSP, la description de ces actifs et processus opérationnels, ainsi que leur sensibilité et leur importance
- tout document relatif aux systèmes, politiques, procédures, processus, contrôles et autres moyens mis en place pour :
- atténuer les risques opérationnels et protéger les actifs et les processus opérationnels
- déceler les incidents, les anomalies et les défaillances dans la mise en œuvre du cadre
- répondre aux incidents
- tout document où sont consignés les objectifs, cibles de fiabilité et indicateurs
- tout document où sont consignés les intrants, extrants, méthodes, modèles et processus liés à la gestion des risques opérationnels et à la réponse aux incidents
- tout document où sont consignés les rôles et responsabilités, y compris les lignes hiérarchiques et les procédures pour la transmission des problèmes aux échelons supérieurs, les ententes d’approbation et la délégation de pouvoirs
- tout document attestant de l’identification de chaque incident et de l’exécution des enquêtes connexes par le FSP, ainsi que des mesures prises par celui-ci pour atténuer les répercussions de l’incident et en traiter la cause première, notamment les documents précis qui sont exigés en vertu du sous-alinéa 5(1)i)(viii) du Règlement
- en ce qui concerne les tiers fournisseurs de services et les mandataires :
- tout document où sont consignées les évaluations exécutées par précaution et les méthodes connexes
- les ententes contractuelles et tout autre document relatif aux produits et services fournis et aux rôles et responsabilités de chaque partie
- les communications entre le FSP et ses tiers fournisseurs de services et mandataires relativement à la gestion des risques opérationnels ainsi qu’à la détection des incidents et la réponse à ceux-ci
- tout document où sont consignés la date, la portée, la méthode et les résultats de chaque examen du cadre de gestion des risques et de réponse aux incidents du FSP
- tout document décrivant la méthode suivie par le FSP pour la mise à l'essai de son cadre de gestion des risques et de réponse aux incidents et tout document où sont consignés la date et le résultat de chaque essai, ainsi que toute mesure corrective prise ou à prendre
- tout document attestant des examens indépendants menés à l’égard de la conformité du FSP aux exigences de gestion des risques opérationnels, indiquant notamment le nom de l'examinateur ainsi que la date, la portée, la méthodologie et les résultats de l'examen
- tout autre document démontrant la manière dont le FSP s’est conformé aux exigences de la LAAPD, y compris en ce qui concerne l’établissement, la mise en œuvre et le maintien de son cadre de gestion de risques et de réponse aux incidents
Protection des fonds des utilisateurs finaux
Conformément à l’article 20 de la LAAPD et aux articles 13 à 17 du Règlement :
- l’entente juridique du FSP avec son ou ses fournisseurs de compte et toute documentation connexe
- si le FSP détient des fonds d’utilisateurs finaux en fiducie ou en fidéicommis dans un compte en fiducie ou en fidéicommis, tout document concernant le ou les arrangements en fiducie ou en fidéicommis conclues avec ses utilisateurs finaux
- si le FSP protège des fonds d’utilisateurs finaux au moyen d’une assurance ou d’une garantie, l’entente juridique conclue avec son ou ses fournisseurs d’assurance ou de garantie et toute documentation connexe
- le cadre de protection des fonds du FSP, sous forme écrite, ainsi que des documents attestant de tout examen ou de toute approbation de ce cadre en application de l’article 15 du Règlement
- tout document relatif au registre des fonds détenus par le FSP pour des utilisateurs finaux
- tout document attestant de l’évaluation, par le FSP, des mesures prises aux fins de protection contre l’insolvabilité, indiquant notamment une description détaillée des cas repérés, leurs causes premières et les mesures prises pour éviter d’autre cas semblables, conformément à l’article 16 du Règlement
- tout document attestant des examens indépendants menés au nom du FSP à l’égard de sa conformité aux exigences de protection des fonds des utilisateurs finaux, indiquant notamment le nom de l’examinateur ainsi que la date, la portée, la méthodologie et les résultats de l’examen, conformément à l’article 17 du Règlement
- si le FSP se prévaut de l’exception prévue au paragraphe 20(2) de la LAAPD, tout document démontrant qu’il accepte les dépôts assurés ou garantis en vertu d’un régime provincial d’assurance-dépôts et qu’il est membre de ce régime d’assurance-dépôts
Avis d’incident
Conformément aux articles 18 et 19 de la LAAPD et aux articles 11 et 12 du Règlement :
Déclarations
Toute copie des avis, rapports et renseignements fournis à la Banque, incluant :
- les rapports annuels soumis à la Banque, y compris les renseignements prévus par règlement ayant été déclarés18
- tout avis de changement important ou d’activité nouvelle soumis à la Banque, y compris les renseignements prévus par règlement ayant été déclarés19
- la demande d’enregistrement présentée à la Banque, y compris les renseignements prévus par règlement et les renseignements supplémentaires demandés par la Banque relativement à la demande20
- tout avis de modification des renseignements de la demande d’enregistrement soumis à la Banque21
- tout avis de modification de renseignements soumis à la Banque22
- tout avis de modification des renseignements prévus par règlement relatifs à un FSP ou à ses activités associées aux paiements de détail23
- tout renseignement fourni à la Banque dans la mesure des pouvoirs qui lui sont conférés à ce titre24
- les résultats d’une vérification spéciale dont le FSP a fait l’objet et qui ont été fournis à la Banque25
- tout autre document ou rapport fourni à la Banque en vertu de la LAAPD
Tous les éléments d’information liés à ces avis et rapports, mentionnés dans ceux-ci ou ayant été utilisés pour les produire, notamment :
- les données sous-jacentes utilisées pour compiler les mesures quantitatives des activités du FSP déclarées à la Banque
- les documents liés à une vérification spéciale, telle que prévue à l’article 67 de la LAAPD, ou encore mentionnés ou préparés dans le cadre de cette vérification
Durée et seuils de conservation
Si les documents mentionnés ci-dessus deviennent désuets ou cessent d’être applicables, le FSP doit tout de même les conserver pendant cinq ans après la date à laquelle ils n’attestent plus de sa conformité actuelle aux exigences de la LAAPD et du Règlement, et ce, même si ses activités changent. Voici des exemples de tels documents :
- politiques, procédures, documents sur les systèmes et les contrôles, et ententes et contrats juridiques
- Par exemple, si une version du cadre de gestion des risques du FSP ne s’applique plus au 31 décembre 2024, le document doit être conservé jusqu’au 1er janvier 2030.
- autres éléments d’information, tels que des approbations, des résultats d’essais, de vérifications et d’examens, ou des écritures dans des journaux, registres et livres de comptes
- chaque poste du journal, registre ou livre de comptes doit être conservé. Par exemple, l’écriture indiquant le montant des fonds que le FSP détenait pour un utilisateur final le 31 décembre 2024 doit être conservé jusqu’au 1er janvier 2030.
Les FSP peuvent conserver ces documents au-delà de la période de cinq ans, par exemple pour leurs propres besoins ou pour répondre aux exigences d’autres organismes de réglementation ou autorités. Dans tous les cas, la période de conservation ne doit pas être inférieure à cinq ans.
Forme de conservation et autres responsabilités relatives à la tenue de documents
Les FSP doivent conserver les documents de manière à ce qu’ils puissent être fournis sous une forme et d’une manière compréhensibles pour la Banque. Les documents doivent être tenus en français ou en anglais. Les FSP doivent être en mesure de les fournir dans un format jugé acceptable par la Banque, soit conforme à ses instructions.
Les FSP peuvent être tenus de soumettre des documents sous la forme et de la manière prescrites par la Banque à l’aide du système électronique ou d’autres moyens spécialement fournis par celle-ci, conformément aux exigences :
- d’aviser la Banque s’ils ont connaissance d’un incident ayant des répercussions importantes sur un utilisateur final, un autre FSP ou une chambre de compensation d’un système de compensation et de règlement26
- de présenter un rapport annuel à la Banque27
- d’aviser la Banque avant d’apporter un changement important ou de commencer à exécuter une nouvelle activité28
- de présenter une demande d’enregistrement29
- d’aviser la Banque lorsque des renseignements qu’ils lui ont fournis changent30
- de donner accès aux documents pouvant être requis pour une vérification spéciale31
- de donner à la personne autorisée qui examine leurs documents et leurs activités l’accès aux documents dont elle pourrait avoir besoin32
Les documents doivent être tenus de manière à ce qu’ils puissent être :
- fournis à la Banque dans les délais prescrits pour vérifier le respect de la LAAPD et du Règlement, à la demande de la Banque33
- examinés par une personne autorisée pour vérifier le respect de la LAAPD et du Règlement (à partir des données du FSP concerné, la personne autorisée doit être en mesure de reproduire ou faire reproduire tout document sous forme d’imprimé ou toute autre forme intelligible qu’elle peut emporter pour examen ou reproduction)34
- utilisés dans le cadre d’une vérification spéciale pour vérifier le respect de la LAAPD, durant laquelle les FSP doivent fournir tout document ou renseignement et l’accès aux données que précise la personne ou l’entité nommée pour mener cette vérification35
Les FSP doivent prendre des mesures raisonnables à l’égard de tous les documents pour :
- prévenir leur perte ou leur destruction
- prévenir leur falsification
- déceler et corriger toute inexactitude s’y trouvant
- prévenir l’accès et l’utilisation des renseignements qu’ils contiennent par des personnes non autorisées
Les lignes directrices sur le risque opérationnel et la déclaration des incidents traitent des outils pouvant être utilisés pour déterminer de quelles façons la perte, la destruction ou la falsification de documents ou leur accès non autorisé pourraient se produire et pour les protéger contre ces risques.
Les FSP sont responsables de la tenue et de la conservation, par leurs mandataires et tiers fournisseurs de services (selon le cas), de tous les documents qui ont rapport à leur conformité à la LAAPD, et doivent s’assurer d’avoir accès à ces documents.
Cette exigence implique que les FSP veillent à avoir accès à tout document tenu et conservé par un mandataire ou un tiers fournisseur de services et ayant rapport à leur conformité à la LAAPD après l’échéance du contrat avec ce mandataire ou tiers, conformément à la période de conservation de cinq ans.
Notes
- 1. Les FSP peuvent également être assujettis à des exigences de tenue de documents établies par le ministère des Finances du Canada à l’appui de la sécurité nationale, en vertu du Règlement ou d’engagements (ententes individuelles) au sens de la LAAPD.[←]
- 2. Les articles 42 et 43 de la LAAPD, qui portent sur les engagements et les conditions, ont été mis en place par le ministre des Finances pour des raisons liées à la sécurité nationale.[←]
- 3. Voir les exigences des articles 5 à 10 du Règlement.[←]
- 4. Voir les exigences des articles 11 et 12 du Règlement.[←]
- 5. Voir les exigences des articles 13 à 17 du Règlement.[←]
- 6. Voir les exigences de l’article 21 de la LAAPD et de l’article 19 du Règlement.[←]
- 7. Voir les exigences de l’article 22 de la LAAPD et de l’alinéa 20(1)c) du Règlement.[←]
- 8. Voir les exigences des paragraphes 29(1) et 29(3) de la LAAPD et de l’article 24 du Règlement.[←]
- 9. Voir les exigences de l’article 30 de la LAAPD.[←]
- 10. Voir les exigences du paragraphe 59(1) de la LAAPD.[←]
- 11. Voir les exigences du paragraphe 60(1) de la LAAPD et du paragraphe 36(1) du Règlement.[←]
- 12. Voir les exigences du paragraphe 65(1) de la LAAPD.[←]
- 13. Voir les exigences de l’article 67 de la LAAPD.[←]
- 14. Voir les exigences du paragraphe 100(1) de la LAAPD.[←]
- 15. Voir les exigences à l’article 16 du Règlement.[←]
- 16. Voir les exigences de l’article 18 de la LAAPD et des articles 11 et 12 du Règlement.[←]
- 17. Voir les exigences de l’article 19 de la LAAPD.[←]
- 18. Voir les exigences de l’article 21 de la LAAPD et des articles 18 et 19 du Règlement.[←]
- 19. Voir les exigences de l’article 22 de la LAAPD et de l’article 20 du Règlement.[←]
- 20. Voir les exigences des paragraphes 29(1) et 29(3) de la LAAPD et de l’article 24 du Règlement.[←]
- 21. Voir les exigences de l’article 30 de la LAAPD.[←]
- 22. Voir les exigences du paragraphe 59(1) de la LAAPD.[←]
- 23. Voir les exigences du paragraphe 60(1) de la LAAPD et du paragraphe 36(1) du Règlement.[←]
- 24. Voir les exigences des articles 65 et 100 de la LAAPD.[←]
- 25. Voir les exigences du paragraphe 67(3) de la LAAPD.[←]
- 26. Conformément au paragraphe 18(2) de la LAAPD.[←]
- 27. Conformément à l’article 21 de la LAAPD.[←]
- 28. Conformément à l’alinéa 22(1)b) de la LAAPD.[←]
- 29. Conformément aux paragraphes 29(1) et 29(3) de la LAAPD.[←]
- 30. Conformément au paragraphe 59(1) de la LAAPD.[←]
- 31. Conformément à l’article 67 de la LAAPD.[←]
- 32. Conformément à l’article 69 de la LAAPD.[←]
- 33. Conformément à l’article 65 de la LAAPD.[←]
- 34. Conformément à l’article 69 de la LAAPD.[←]
- 35. Conformément à l’article 67 de la LAAPD.[←]