(Mis à jour le 7 avril 2022)
Le 24 mars dernier est entrée en vigueur la première Ligne directrice de l’Autorité des marchés financiers (« AMF ») visant spécifiquement les activités des agents d’évaluation du crédit.
Cette ligne directrice, intitulée Ligne directrice sur les agents d’évaluation du crédit, précise les attentes de l’AMF à l’égard de plusieurs pratiques. En l’espèce, plutôt que d’adopter diverses lignes directrices consacrées à des thèmes précis, par exemple sur les risques opérationnels, la gestion des risques liés à l’impartition et ceux liés à la sécurité de l’information, l’AMF a choisi de regrouper ses attentes à l’égard des agents d’évaluation du crédit au sein d’une seule ligne directrice1.
Cette ligne directrice découle de la Loi sur les agents d’évaluation du crédit (la « Loi »). Cette Loi, adoptée en 2020, vient encadrer les pratiques commerciales et de gestion des agents d’évaluation du crédit. Elle crée également des droits au bénéfice des personnes sur lesquelles les agents d’évaluation du crédit ont constitué un dossier. En outre, cette Loi confie à l’AMF la surveillance et le contrôle des pratiques commerciales et des pratiques de gestion des agents d’évaluation du crédit. Elle lui octroie entre autres le pouvoir d’établir des instructions écrites, lignes directrices et ordonnances, de même que d’imposer des sanctions administratives pécuniaires.
Qu’est-ce qu’un agent d’évaluation du crédit?
C’est à l’AMF qu’il revient de désigner, de sa propre initiative, chaque entreprise à titre d’agent d’évaluation du crédit2. Ces désignations sont publiques et inscrites à un registre. La qualification d’agent d’évaluation du crédit découle donc nécessairement d’une désignation proactive par l’AMF. Cette désignation entraîne l’assujettissement de l’entreprise désignée à la Loi et à la surveillance de l’AMF et lui impose ainsi de nouvelles obligations.
Les agents d’évaluation du crédit sont des entreprises dont les activités commerciales consistent à constituer des dossiers sur des personnes et qui préparent et communiquent à des tiers des rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes sur lesquelles elles ont constitué des dossiers.
Les entreprises en cause doivent impérativement avoir des relations d’affaires significatives avec des institutions financières. Autrement dit, l’existence de liens d’affaires avec les institutions financières constitue un critère fondamental pour la désignation d’agent d’évaluation du crédit.
Rappel des mesures de protection créées par la Loi sur les agents d’évaluation du crédit
La Loi sur les agents d’évaluation du crédit crée principalement trois mesures de protection, lesquelles doivent être mises en œuvre par les agents d’évaluation du crédit à la demande soit de la personne sur laquelle ils détiennent un dossier, soit celle de son représentant ou du titulaire de l’autorité parentale, si applicable3. Ces mesures ont évidemment des impacts sur les individus au bénéfice desquels elles sont édictées, mais aussi sur les institutions financières et autres organisations qui consultent des dossiers de crédit. Ces mesures sont le gel de sécurité, l’alerte de sécurité et la note explicative.
Gel de sécurité
Le gel de sécurité vise à interdire à l’agent de communiquer les renseignements contenus au dossier dans le cadre de la conclusion d’un nouveau :
- contrat de crédit ou augmentation de limite de crédit;
- contrat de louage à long terme de biens (ex. : une automobile);
- contrat à exécution successive exécuté à distance (ex. : contrat de téléphonie cellulaire ou de service internet)4.
Le gel ne s’appliquera donc pas, par exemple, dans un contexte de contrat d’assurance. Il ne s’appliquera pas non plus quand un prêteur souhaite ajouter des informations sur les habitudes de paiement d’un emprunteur dans le dossier de crédit. Il s’appliquera cependant lorsqu’un prêteur souhaitera obtenir la cote de crédit pour les fins d’une demande d’augmentation de limite de carte de crédit.
Pour l’heure, le gel de sécurité n’est pas encore entré en vigueur, ceci afin de laisser un délai suffisant à toutes les parties prenantes pour mettre en place les mesures opérationnelles requises pour permettre sa mise en œuvre. Son exercice pourra être sujet à des frais, qui devront être raisonnables5 et dont un plafond maximal pourra être prévu par règlement. Ce règlement pourrait même en imposer la gratuité6.
Alerte de sécurité
Quant à l’alerte de sécurité, elle permet à une personne d’ajouter sans frais à son dossier un avis, incluant notamment un numéro de téléphone pouvant être utilisé pour confirmer son identité7. Quand l’alerte de sécurité est en place, l’agent d’évaluation du crédit l’indique à quiconque demande un renseignement du dossier de la personne et avise que des mesures raisonnables doivent être prises pour vérifier l’identité de cette personne avant de conclure un contrat avec elle8.
Note explicative
Enfin, toute personne peut faire ajouter sans frais une note explicative à son dossier en cas de mésentente sur son contenu9. Cette note peut être consultée par toute entreprise qui prend connaissance du dossier10.
Contenu de la Ligne directrice sur les agents d’évaluation du crédit
D’abord, rappelons qu’une ligne directrice adoptée par l’AMF vise à informer les assujettis de son avis sur les mesures que ceux-ci peuvent établir afin de satisfaire à leurs obligations selon la Loi11. Il faut aussi préciser que les lignes directrices de l’AMF n’ont pas la même autorité qu’une loi ou un règlement et qu’elles sont d’ailleurs rédigées dans un style distinct12.
Dans le présent cas, l’adoption d’une ligne directrice était attendue, puisque la Loi comprend des obligations rédigées de manière vague et large et qui pouvaient par conséquent nécessiter des précisions supplémentaires sur les moyens de s’y conformer. C’est ainsi par exemple que la Loi exige « de suivre de saines pratiques commerciales » et d’assurer un « traitement équitable des personnes concernées »13.
La ligne directrice se divise en sept sections distinctes, soit : (1) gouvernance, (2) saines pratiques commerciales, (3) gestion du risque opérationnel, (4) gestion des risques liés aux technologies de l’information et des communications, (5) gestion du risque lié à l’impartition, (6) continuité des activités, (7) surveillance des pratiques de gestion appropriées et des saines pratiques commerciales. Le contenu de ces sections est plus amplement abordé ci-après.
1. Gouvernance
La ligne directrice insiste sur l’importance d’une culture d’entreprise fondée sur un comportement organisationnel éthique14. Il s’agit d’ailleurs d’une attente déjà énoncée envers d’autres assujettis sous l’autorité de l’AMF, par exemple dans la Ligne directrice sur la gouvernance. Le concept de comportement organisationnel éthique n’est pas spécifiquement défini, mais celui-ci est issu des Principes de gouvernance d’entreprise du G20 et de l’OCDE, lesquels fournissent des informations supplémentaires à cet égard. Par exemple, ces principes précisent que les normes éthiques de l’entreprise peuvent être énoncées dans le cadre d’un code de conduite adopté par le conseil d’administration et ajoutent qu’ « un cadre général en vue d’avoir une conduite éthique va au-delà de la question du respect de la loi, qui doit néanmoins toujours rester une obligation fondamentale »15.
Puisque les agents d’évaluation du crédit interagissent avec des institutions financières et gèrent des renseignements sensibles, l’AMF leur suggère de s’inspirer du modèle des trois lignes de défense en matière de gestion des risques et souligne qu’elle s’attend à ce que les agents d’évaluation du crédit « s’inspirent des mêmes standards que leurs principaux partenaires commerciaux ». Ce renvoi vise vraisemblablement les standards déployés par les institutions financières en matière de gestion des risques et se veut évolutif, puisque ces standards évolueront nécessairement dans le temps16.
Le modèle des trois lignes de défense est un modèle reconnu et appliqué par les institutions financières au Québec et au Canada. À l’origine, celui-ci a été développé par l’Institute of Internal Auditors en 201317, puis mis à jour en 202018.
2. Saines pratiques commerciales
La ligne directrice prévoit que l’information communiquée aux individus devrait l’être dans un langage simple, clair et précis, et ce, peu importe les moyens utilisés. Elle invite aussi à mettre à la disposition des consommateurs des moyens de communication qui permettent une prise de contact rapide et efficace, ajoutant que ces moyens devraient être variés (ex. : téléphone, courriel). Elle recommande par ailleurs que ces méthodes de communication soient facilement repérables sur l’ensemble des plateformes, comme les sites web et comptes de réseaux sociaux de l’agent.
La ligne directrice prévoit aussi expressément que la publicité devrait être exacte, claire et non trompeuse.
Au sujet de la gestion des données, la ligne directrice précise que l’agent devrait adopter des modes de fonctionnement pour s’assurer que l’information qu’il communique soit à jour et exacte.
De plus, la ligne directrice énonce certaines attentes en matière de gestion des plaintes, notamment qu’elles soient traitées équitablement et avec diligence, de même que d’une manière simple et accessible pour les consommateurs. Elle précise aussi que l’AMF s’attend à ce que les agents d’évaluation du crédit adoptent, conformément à la Loi, une politique de gestion des plaintes et sur le règlement des différends, en plus de tenir un registre des plaintes19. Elle ajoute aussi qu’un responsable de gestion des plaintes devrait être nommé et qu’un résumé de la politique de gestion des plaintes devrait être accessible aux consommateurs sur le site web de l’agent.
3. Gestion du risque opérationnel
La section relative au risque opérationnel précise que l’agent devrait gérer adéquatement ce risque, notamment de manière conforme à la stratégie élaborée pour le gérer. La ligne directrice indique aussi, entre autres, que la culture organisationnelle devrait promouvoir la gestion adéquate des risques et émaner des instances décisionnelles de l’agent.
4. Gestion des risques liés aux technologies de l’information et des communications
La ligne directrice avance que la fonction de sécurité de l’information devrait être bien délimitée afin de favoriser son indépendance et son objectivité, tout en précisant qu’elle ne devrait pas être responsable des travaux d’audit interne. Autrement dit, il s’agit ici notamment d’assurer une certaine indépendance des fonctions de sécurité et des équipes de technologies de l’information dédiées au développement des outils informatiques de l’entreprise. La ligne directrice précise aussi que la gestion des risques liés aux technologies de l’information et des communications devrait s’appuyer sur des sources, recommandations et normes reconnues, comme celles issues de l’OCDE, du G7, du NIST, ISASCA-COBIT ou lSO.
En cette matière, il est recommandé d'assigner un responsable de la haute direction ayant pour rôle la surveillance et le déploiement de l’encadrement relatif à la sécurité de l’information, de même qu'un responsable de la haute direction responsable de surveiller l’encadrement en matière de réception, emmagasinage et utilisation des données dans l’organisation, tel un chef des données. Parmi les mesures à mettre en place, l’agent d’évaluation du crédit devrait entre autres mettre en œuvre un processus de recensement périodique des actifs informationnels et leurs vulnérabilités, et s’assurer que les privilèges d’accès soient accordés selon le principe du moindre privilège et de la ségrégation des tâches.
5. Gestion des risques liés à l’impartition
Les exigences prévues par la ligne directrice visent spécifiquement les risques d’impartition pouvant toucher les mesures de protection créées par la Loi sur les agents d’évaluation du crédit. La portée des exigences en la matière est donc différente de celle des exigences plus générales qui peuvent s’appliquer aux institutions financières sous l’autorité de l’AMF en vertu de la Ligne directrice sur la gestion des risques liés à l’impartition. À titre d’exemple, dans le cas d’un agent d’évaluation du crédit, les recommandations de l’AMF pourraient s’appliquer à une impartition d’une partie ou de la totalité de ses processus internes liés au gel de sécurité.
La ligne directrice prévoit aussi que toute entente d’impartition avec un fournisseur opérant à l’extérieur du Canada, ou qui traite, emmagasine ou fait transiter des données à l’extérieur du Canada, devrait être divulguée à l’AMF sur demande, dans la mesure où cette entente est relative aux droits des consommateurs issus de la Loi.
6. Continuité des activités
En matière de continuité des activités, la ligne directrice insiste notamment sur l’importance d’établir un plan de continuité des activités critiques et de documenter en détail les activités requises par ce plan, y compris quant aux événements de cybersécurité. Elle précise aussi que l’AMF souhaite être avisée en cas d’activation du plan de continuité des affaires20.
7. Surveillance des pratiques de gestion appropriées et des saines pratiques commerciales
La ligne directrice précise que l’AMF procédera à l’évaluation du respect des principes qu’elle y a énoncé, notamment en évaluant l’efficacité et la pertinence des stratégies, politiques et procédures mises en place, ainsi que la qualité de la supervision et du contrôle exercé par les instances décisionnelles. Elle invite par ailleurs les agents d’évaluation du crédit à s’inspirer des meilleures pratiques pour les matières visées par la ligne directrice et à les mettre en œuvre si celles-ci répondent à leurs besoins.
Des pratiques davantage encadrées et définies
En conclusion, l’adoption de cette ligne directrice vient compléter l’exercice d’encadrement de certaines pratiques d’agents d’évaluation du crédit suivant l’adoption de la Loi. La prochaine étape dans le cadre du déploiement des mesures créées par cette Loi sera l’entrée en vigueur des règles en matière de gel de sécurité. Un décret publié dans l’édition du 6 avril de la partie II de la Gazette officielle du Québec a fixé au 1er février 2023 l’entrée en vigueur du gel de crédit.
