Cadre de supervision : la supervision

Familiarisez-vous avec vos obligations de fournisseur de services de paiement enregistré et découvrez comment nous évaluerons la conformité.

En vertu de la Loi sur les activités associées aux paiements de détail (LAAPD), les fournisseurs de services de paiement (FSP) enregistrés auprès de nous doivent atténuer leurs risques opérationnels, répondre aux incidents et protéger les fonds des utilisateurs finaux. Pour clarifier certaines dispositions de la LAAPD, le ministère des Finances du Canada a publié un règlement dans la Partie II de la Gazette du Canada le 22 novembre 2023.

L’obligation d’établir des cadres de gestion des risques et de protection des fonds s’appliquera à compter du 8 septembre 2025.

Atténuation des risques opérationnels et réponse aux incidents

Les FSP doivent avoir un cadre pour gérer leurs risques opérationnels et leur réponse aux incidents.

Pour satisfaire à cette exigence, le FSP doit :

  • recenser ses risques opérationnels, ses actifs et ses processus opérationnels
  • protéger ses activités associées aux paiements de détail, ses actifs et ses processus opérationnels contre les risques en question
  • détecter les incidents, y réagir et reprendre ses opérations à la suite d’un incident
  • établir les rôles et les responsabilités entourant la gestion des risques opérationnels et la réponse aux incidents
  • disposer de ressources adéquates pour tenir à jour son cadre
  • réviser et mettre à l’essai son cadre selon les besoins
  • gérer les risques qui pourraient provenir de tiers fournisseurs de services et de mandataires dans le cadre de ses activités associées aux paiements de détail

Le FSP doit adapter le cadre à sa situation, c’est-à-dire :

  • la nature de ses activités commerciales
  • les services qu’il offre
  • la structure de son organisation
  • tout autre facteur pertinent

Enfin, le FSP est tenu de déclarer tout incident ayant des répercussions importantes sur les utilisateurs finaux, d’autres FSP ou certains systèmes de compensation et de règlement.

Pour en savoir plus sur la façon dont nous nous attendons à ce que les FSP répondent aux exigences relatives à l’atténuation des risques opérationnels et la réponse aux incidents, consultez la ligne directrice Le risque opérationnel et la réponse aux incidents.

Protection des fonds des utilisateurs finaux

Les FSP qui détiennent des fonds d’utilisateurs finaux doivent protéger ces fonds jusqu’à leur retrait ou à leur transfert, et ce, de l’une ou l’autre des manières suivantes :

  • détenir les fonds en fiducie ou en fidéicommis dans un compte en fiducie ou en fidéicommis
  • détenir les fonds dans un compte distinct et les faire couvrir par une assurance ou une garantie

Cette exigence vise à :

  • protéger les fonds des utilisateurs finaux contre la perte financière en cas d’insolvabilité du FSP
  • veiller à ce que les utilisateurs aient un accès fiable et sans délai à leurs fonds

Le FSP qui détient des fonds d’utilisateurs finaux doit ainsi avoir un cadre qui établit, par écrit :

  • comment il veille à ce que les utilisateurs finaux aient un accès fiable et sans délai à leurs fonds
  • comment les fonds seraient versés aux utilisateurs finaux en cas d’insolvabilité

Pour en savoir plus sur la façon dont nous nous attendons à ce que les FSP répondent aux exigences relatives à la protection des fonds des utilisateurs finaux, consultez la ligne directrice La protection des fonds des utilisateurs finaux.

Rapports et avis obligatoires

Les FSP sont tenus de fournir les rapports et avis ci-dessous pour nous aider à surveiller et à évaluer leur conformité selon nos attentes envers eux.

Rapport annuel

  • But : Nous fournir des renseignements à jour relatifs à l’enregistrement et aux pratiques de gestion des risques opérationnels, de réponse aux incidents et de protection des fonds des utilisateurs finaux, s’il y a lieu
  • Échéancier : Rapport exigé au plus tard le 31 mars suivant la fin de l’année visée par le rapport

Avis de changement important ou d’activité nouvelle

  • But : Nous informer avant d’apporter un changement important à la manière dont une activité associée aux paiements de détail est exécutée ou avant d’en exécuter une nouvelle
  • Échéancier : Avis exigé au moins cinq jours ouvrables avant la date du changement important ou l’exécution d’une nouvelle activité associée aux paiements de détail
Les changements dits « importants » sont ceux susceptibles d’influer substantiellement sur la gestion des risques opérationnels ou la protection des fonds des utilisateurs finaux.

Pour en savoir plus sur la façon dont nous nous attendons à ce que les FSP répondent aux exigences relatives aux avis de changement important ou d’activité nouvelle, consultez la ligne directrice Les avis de changement important ou d’activité nouvelle.

Avis d’incident

  • But : Nous signaler les incidents ayant des répercussions importantes sur les utilisateurs finaux, d’autres FSP et certains systèmes de compensation et de règlement
  • Échéancier : Avis exigé dès la survenance d’un incident

Pour en savoir plus sur la façon dont nous nous attendons à ce que les FSP répondent aux exigences relatives aux avis d’incident, consultez la ligne directrice La déclaration des incidents.

Notre évaluation

Pour évaluer si un FSP satisfait aux exigences indiquées dans la LAAPD et son règlement d’application, nous tiendrons compte des renseignements recueillis au moyen de sources diverses, notamment :

  • sa réponse à nos demandes de renseignements
  • les rapports et avis qu’il soumet, dont le rapport annuel et les avis de changement important et d’incident

Notre évaluation pourrait nécessiter des rencontres et des discussions avec les FSP, notamment :

  • une évaluation de dossier – nous pourrions demander à un FSP de nous fournir des renseignements et des documents – par exemple, des politiques et des procédures – aux fins d’analyse.
  • une évaluation sur les lieux – nous pourrions nous rendre aux bureaux d’un FSP pour observer ses pratiques et tenir des rencontres ou des discussions avec des spécialistes
  • une vérification spéciale – nous pourrions exiger qu’un FSP se soumette à une vérification qui cible les aspects de notre choix

Il est attendu du FSP qu’il réponde à nos demandes de renseignements et présente des documents justificatifs au besoin.

Les délais de réponse aux demandes de renseignements sont précisés dans le règlement. Normalement, le FSP a 15 jours pour répondre à une demande, mais pourrait aussi devoir présenter des renseignements dans les 24 heures en cas de circonstances particulières. Dans tous les cas, il doit fournir les documents demandés dans les délais prévus par règlement.

À la suite de notre évaluation, nous pourrions cerner des domaines où le FSP ne répond pas aux attentes de la Banque. Le cas échéant, nous nous attendons à ce qu’il prenne des mesures correctives pour combler les écarts décelés. Nous vérifierons ensuite qu’il a effectivement mis en place les mesures nécessaires.

Fonctionnement attendu

Nous établirons une fréquence minimale à laquelle nous évaluerons si les FSP respectent les attentes de la Banque. De cette façon, nous pourrons :

  • mener notre analyse selon une approche fondée sur les risques
  • travailler efficacement
  • promouvoir la conformité

Nous reconnaissons que les structures organisationnelles et processus opérationnels varient d’un FSP à l’autre. C’est pourquoi nous tiendrons compte du risque posé par chacun et adopterons une approche proportionnelle pour déterminer si les attentes de la Banque sont respectées ou non.

Lorsqu’un FSP ne respecte pas les attentes de la Banque, nous communiquerons avec lui pour :

  • l’informer des écarts de conformité
  • prendre des mesures d’application de la loi s’il y a lieu

Application de la loi

Nous avons divers outils et mesures d’application de la loi à notre disposition pour intervenir en cas de violation de la LAAPD et de son règlement. Ces mesures, que nous pouvons prendre dès l’entrée en vigueur de ces textes législatifs, visent à favoriser la conformité et la confiance dans le secteur canadien des paiements de détail.

Enquêtes

Nous pourrions mener des enquêtes auprès d’un FSP pour déceler d’éventuels écarts de conformité avec la LAAPD et son règlement. Si nous avons des motifs raisonnables de croire qu’il a commis une violation, nous pourrions alors prendre des mesures d’application de la loi contre lui.

Pour déterminer si une violation a été commise, nous pouvons utiliser des renseignements obtenus dans le cadre de nos activités de surveillance des risques et d’enregistrement. Nous pourrions avoir recours aux méthodes suivantes dans le cadre de notre enquête :

Nous pouvons prendre des mesures d’application de la loi contre les FSP qui omettent de :

  • nous présenter une demande d’enregistrement avant d’exécuter des activités de paiement de détail
  • nous présenter les rapports et avis obligatoires
  • répondre à une demande de renseignements
  • respecter les pratiques de gestion des risques opérationnels et de réponse aux incidents prévues par la LAAPD
  • respecter les pratiques de protection des fonds des utilisateurs finaux prévues par la LAAPD

Outils d’application de la loi

Différents moyens s’offrent à nous pour favoriser la conformité. Nous pouvons choisir l’outil d’application de la loi à utiliser parmi les suivants, selon la violation.

Lettre d’avertissement

Nous pouvons remettre une lettre d’avertissement au FSP pour l’aviser de ses manquements et demander des mesures correctives. Cette lettre indiquera :

  • la violation réelle ou potentielle
  • les mesures correctives attendues de notre part
  • l’escalade possible des mesures d’application de la loi en cas de violations futures

Accord de conformité

Nous pouvons conclure un accord de conformité formel (appelé « transaction » dans la LAAPD) avec un FSP afin de rectifier la conformité, notamment en cas de préoccupations concernant le risque opérationnel ou les pratiques de protection des fonds des utilisateurs finaux du FSP.

Si le FSP contrevient aux modalités de l’accord de conformité, nous pouvons dresser un procès-verbal accompagné d’une sanction administrative pécuniaire.

Pour en savoir plus sur les accords de conformité, consultez la politique La conclusion d’un accord de conformité avec la Banque du Canada.

Procès-verbal

Nous pouvons également dresser un procès-verbal en cas de violation de la LAAPD. Il peut alors être accompagné d’une sanction administrative pécuniaire ou d’une proposition d’accord de conformité.

Le règlement contient des critères précis pour déterminer le montant des sanctions, soit :

  • la gravité du tort effectivement causé par la violation
  • la gravité du tort qui aurait pu être causé par la violation
  • les antécédents de violation
  • la nature de l’intention ou de la négligence

Si la partie concernée conclut un accord de conformité qui a été proposé dans le procès-verbal, le montant de la sanction est réduit de moitié. Cette réduction se veut un moyen d’encourager le FSP à respecter l’accord et à consacrer ses ressources à la correction du problème sous-jacent.

Dans le cas où un FSP ne respecterait pas l’accord de conformité conclu dans le cadre d’un procès-verbal, il est tenu de payer la moitié restante de la sanction administrative pécuniaire en plus d’une sanction additionnelle prévue par règlement. Le montant de cette sanction additionnelle correspond à celui de la sanction originale mentionnée dans le procès-verbal.

Dès que la procédure liée à une mesure d’application de la loi prend fin, nous publions sur notre site Web des renseignements au sujet des procès-verbaux, notamment :

  • le nom du FSP
  • la nature de la violation
  • le montant de la sanction administrative pécuniaire imposée, le cas échéant
  • les raisons du procès-verbal
  • une brève description de l’accord de conformité, le cas échéant

Pour en savoir plus sur les sanctions administratives pécuniaires, consultez la politique Les sanctions administratives pécuniaires.

Pour en savoir plus sur les accords de conformité, consultez la politique La conclusion d’un accord de conformité avec la Banque du Canada.

Arrêté de conformité

Si le gouverneur de la Banque du Canada estime qu’un FSP commet ou s’apprête à commettre un acte qui pourrait avoir des conséquences négatives importantes sur les utilisateurs finaux, d’autres FSP ou certains systèmes de compensation et de règlement, il peut, par arrêté, ordonner à ce FSP de :

  • mettre un terme à l’acte en question
  • s’abstenir de commettre l’acte en question
  • remédier à la situation

Les démarches pour prendre un arrêté de conformité peuvent être entamées à n’importe quel stade de la supervision pour empêcher un acte porteur de conséquences négatives importantes, du moment que le FSP s’apprête à commettre l’acte en question.

Le gouverneur peut confier l’arrêté de conformité à un délégué. Des informations complémentaires concernant la délégation des attributions du gouverneur ont été publiées dans la Gazette du Canada le 15 juin 2024.

Pour en savoir plus sur les conséquences négatives importantes, consultez la politique Les conséquences négatives importantes.

Exécution judiciaire

Le gouverneur peut demander à une cour supérieure de rendre une ordonnance obligeant un FSP à :

  • mettre fin à un acte qui contrevient à la LAAPD
  • respecter une disposition de la LAAPD
  • respecter un arrêté de conformité

Fonctionnement attendu

Nos mesures d’application de la loi suivent une approche graduelle, ce qui nous permet d’utiliser l’outil approprié en fonction des circonstances et de la nature de la violation. Par exemple, si la situation n’est pas corrigée en temps utile après notre intervention, nous pourrions choisir d’utiliser un autre outil.

Cette façon de procéder concorde avec l’approche fondée sur les risques que nous suivons dans tous les aspects de notre supervision.

Nos décisions sont guidées et appuyées par l’équité procédurale. Nous reconnaissons que nos décisions d’application de la loi doivent découler d’un processus équitable pour la personne physique ou l’entité visée. Par exemple, nous aviserions cette personne physique ou entité que nous comptons prendre une mesure d’application de la loi et lui donnerions l’occasion de réagir.

Les mesures d’application de la loi servent à encourager un changement de comportement et à produire un effet dissuasif général.

Révisions et appels

Les personnes physiques ou entités qui reçoivent un procès-verbal ou un avis de défaut peuvent demander une révision du gouverneur dans les 30 jours suivant la date où la décision parvient au FSP.

Le gouverneur analyse la demande en se reportant à la décision initiale, puis il confirme cette décision ou il en rend une nouvelle.

Les personnes physiques ou entités peuvent porter la décision du gouverneur en appel auprès de la Cour fédérale.

Le gouverneur peut confier sa décision à un délégué. Des informations complémentaires concernant la délégation des attributions du gouverneur ont été publiées dans la Gazette du Canada le 15 juin 2024.

Pour en savoir plus sur les révisions par le gouverneur, consultez la politique La révision par le gouverneur.

Mise en garde

Nous pourrions actualiser les renseignements contenus ici avant ou après l’entrée en vigueur de la LAAPD pour tenir compte :

  • des commentaires issus de notre consultation publique au sujet des lignes directrices sur :
    • la gestion des risques opérationnels et la réponse aux incidents
    • la protection des fonds des utilisateurs finaux
    • la déclaration des changements importants
    • la déclaration des incidents
  • des changements dans le secteur des paiements de détail
  • des leçons tirées au fil de la mise en œuvre du cadre
Pour recevoir des nouvelles au sujet notre consultation publique, abonnez-vous à l’infolettre sur la supervision des paiements de détail.

Sur cette page
Table des matières