Le gouvernement du Canada, qui a publié le projet de Règlement sur les activités associées aux paiements de détail (le « projet de règlement ») à des fins de consultation le 10 février 2023, est maintenant beaucoup plus près de réglementer les activités des sociétés de paiement et des entreprises de technologie financière comme il le fait pour les fournisseurs de services de paiement (les « FSP »).
Ce que vous devez savoir
- Nous avons déjà discuté de la publication tant attendue de la Loi sur les activités associées aux paiements de détail du Canada (la « Loi ») lorsqu’elle a été présentée pour la première fois au printemps 2021. Le projet de règlement connexe, lui aussi très attendu, a été publié à des fins de consultation afin que les sociétés de paiement et les entreprises de technologie financière puissent se préparer à la mise en œuvre du nouveau régime réglementaire.
- Le nouveau cadre de supervision des paiements de détail repose sur une approche opérationnelle fondée sur des principes pour réglementer les fournisseurs de services de paiement canadiens et étrangers qui mènent leurs activités au pays.
- Le projet de règlement précise des exigences opérationnelles et de conformité pour 1) l’établissement d’un cadre de gestion des risques et de réponse aux incidents; 2) la protection des fonds des utilisateurs finaux; 3) la production de rapports; 4) l’enregistrement; 5) la tenue de documents.
- Jusqu’au 28 mars 2023, les intervenants du secteur peuvent envoyer des commentaires au gouvernement fédéral au sujet du projet de règlement à partir du menu déroulant de la section pertinente.
Les FSP sous la supervision de la Banque du Canada
Le gouvernement a enfin publié le tant attendu projet de règlement pour que les intervenants puissent en faire l’examen et présenter leurs observations, et pour que les sociétés de paiement et les entreprises de technologie financière soient en mesure d’évaluer les répercussions possibles et de se préparer à la mise en œuvre.
La Loi a été adoptée le 29 juin 2021. Toutefois, l’entrée en vigueur des obligations de conformité connexes était alors assujettie à la publication et à la finalisation du règlement nécessaire envisagé dans la Loi.
Maintenant qu’il a publié le projet de règlement, le gouvernement fédéral est beaucoup plus près de placer les FSP sous la supervision de la Banque du Canada (la « Banque »). Le libellé du projet de règlement nous en dit plus sur ce que la Banque attend des FSP qu’elle supervisera une fois le nouveau cadre en vigueur.
La période de consultation du gouvernement sur le projet de règlement prend fin le 28 mars 2023.
Qui sera assujetti au cadre de supervision des paiements de détail?
En raison du large champ d’application du nouveau cadre, on estime qu’environ 2 500 FSP seront touchés.
Comme nous l’avons expliqué plus en détail dans notre dernier article, le cadre s’appliquera à tout FSP de détail situé à l’intérieur ou à l’extérieur du Canada1 lorsqu’il exécute une ou plusieurs des fonctions de paiement ci-dessous en ce qui concerne un transfert de fonds électronique demandé par un utilisateur final :
- Fourniture ou tenue de comptes de paiement
- Initiation d’un paiement
- Autorisation d’un transfert électronique de fonds ou transmission d’instructions en vue d’un transfert électronique de fonds
- Détention de fonds au nom d’utilisateurs finaux
- Services de compensation ou de règlement
Un utilisateur final est défini comme une personne ou une entité qui utilise un service de paiement comme payeur ou comme bénéficiaire.
Qui sera exclu du cadre de supervision des paiements de détail?
Malgré la large définition des fonctions de paiement susmentionnées qui devraient être soumises au cadre, le projet de règlement apporte des précisions sur les entités qui peuvent en être exemptées.
Afin d’éviter les chevauchements en matière de réglementation et de supervision, la Loi donne au gouverneur de la Banque le droit d’exempter certaines entités ou catégories d’entités de certaines dispositions du cadre si elles sont déjà assujetties à des dispositions essentiellement similaires en vertu d’une autre loi fédérale ou provinciale du Canada.
Plus précisément, la Loi exclut du cadre certains types de transactions qui présentent un risque limité pour les utilisateurs finaux.
En outre, le projet de règlement exclut les transactions déjà réglementées (ou exemptées de la réglementation) en vertu des lois canadiennes sur les valeurs mobilières et de la Society for Worldwide Interbank Financial Telecommunications (SWIFT), ainsi que les activités de paiement qui sont considérées comme « accessoires » à un autre service ou à une autre activité. Sur la base d’un rapport de consultation publique du Comité consultatif sur les paiements de détail, la Banque tiendra compte, entre autres, des flux de paiement et de la participation de tiers aux activités de paiement pour déterminer si une activité est « accessoire ».
Obligations réglementaires proposées pour les FSP
Nous avons résumé les exigences générales qui s’appliqueront aux FSP. Le projet de règlement élargit ces exigences en fournissant une explication plus détaillée des obligations des FSP, notamment en ce qui concerne les points suivants :
- Cadre de gestion des risques et réponse aux incidents. Le projet de règlement vise à assurer que les FSP établissent, mettent en œuvre et maintiennent un cadre de gestion des risques et de réponse aux incidents pour cerner et atténuer les risques opérationnels, comme les cyberattaques, et répondre aux incidents. Les FSP seront tenus d’établir des objectifs visant à préserver l’intégrité, la confidentialité et la disponibilité de leurs activités de paiement de détail et de leurs systèmes. Ils devront aussi 1) cerner les risques opérationnels, les atténuer et s’en protéger; et 2) définir des mesures pour détecter les incidents, intervenir et se rétablir à la suite des incidents.
Le cadre de gestion des risques doit également tenir compte des tiers qui fournissent des services liés aux activités de paiement, lesquels devront probablement être pris en considération dans le contexte des ententes commerciales des FSP avec leurs fournisseurs et leurs partenaires.
- Protection des fonds des utilisateurs finaux. Les FSP qui détiennent des fonds d’utilisateurs finaux doivent établir, mettre en œuvre et maintenir un cadre écrit de protection des fonds conforme au projet de règlement.
Pour garantir aux utilisateurs finaux un accès fiable et opportun à leurs fonds, le projet de règlement exige que les comptes utilisés pour détenir les fonds des utilisateurs finaux soient tenus de l’une des deux manières suivantes. D’abord, les comptes peuvent être détenus en fiducie dans une institution financière assujettie à une réglementation prudentielle, comme une banque ou une coopérative de crédit. Les FSP peuvent également choisir l’option d’assurance ou de garantie pour protéger les fonds des utilisateurs finaux, auquel cas l’assurance ou la garantie doit être fournie par une institution financière assujettie à une réglementation prudentielle qui n’est pas une filiale du FSP.
- Production de rapports. Le projet de règlement comporte des exigences étendues en matière d’avis et de production de rapports.
Par exemple, les FSP seront tenus de présenter à la Banque un rapport annuel contenant des renseignements prescrits au plus tard le 31 mars de chaque année. Ils devront aussi aviser la Banque de toute nouvelle activité et de tout changement important à la manière dont ils exécutent une activité de paiement. Les obligations connexes en matière de tenue de documents s’appliquent.
De plus, dans certaines circonstances, les FSP seront notamment tenus d’aviser la Banque des incidents, définis par la Loi comme un événement ou une série d’événements « liés qui sont non planifiés par le fournisseur de services de paiement et qui entravent, perturbent ou interrompent – ou qui pourraient vraisemblablement entraver, perturber ou interrompre – une activité associée aux paiements de détail exécutée par le fournisseur de services de paiement ». Les FSP devront également communiquer avec les personnes et les entités ayant subi des répercussions importantes à la suite d’un incident.
- Enregistrement et registre public. Une fois un FSP enregistré en vertu du cadre, une nouvelle demande d’enregistrement sera nécessaire si une personne ou une entité cherche à en acquérir le contrôle, que ce soit directement ou indirectement. Une nouvelle demande d’enregistrement est également requise si un FSP envisage d’apporter des changements « prévus », notamment l’acquisition par une entreprise d’État et l’entreposage ou le traitement de certains renseignements par le FSP ou un tiers fournisseur de services situé à l’extérieur du Canada.
Comme prévu, la Banque tiendra un registre public des FSP contenant des renseignements tels que leur adresse et les activités qu’ils sont autorisés à exercer en vertu du cadre.
Le projet de règlement précise également les circonstances dans lesquelles la Banque aura le pouvoir d’imposer des sanctions administratives pécuniaires, qui peuvent atteindre 10 M$ dans le cas d’une violation grave du cadre. Parmi les violations graves, mentionnons le défaut d’établir, de mettre en œuvre et de maintenir un cadre de gestion des risques et de réponse aux incidents conforme au projet de règlement, ainsi que le défaut de détenir les fonds des utilisateurs finaux dans un compte de fiducie qui n’est pas utilisé à d’autres fins et qui est conforme au Règlement.
Prochaines étapes
À ce stade, la Banque examinera les commentaires reçus au cours de la période de consultation de 45 jours, après quoi la version finale du Règlement sera publiée. Une fois que le cadre sera pleinement en vigueur, nous nous attendons à ce que les acteurs du marché disposent d’une période de mise en œuvre pour se conformer pleinement aux nouvelles règles.
Compte tenu des similitudes importantes entre le cadre et le régime canadien de lutte contre le blanchiment d’argent, les entités qui sont déjà des entreprises de services monétaires doivent être au courant des questions réglementaires qui pourraient toucher leurs activités de paiement en vertu du cadre à venir.
Si vous souhaitez en savoir davantage sur la Loi ou le projet de règlement, ou si vous avez des questions sur l’incidence potentielle du cadre sur vos activités, veuillez communiquer avec l’une des personnes-ressources ci-dessous ou avec un·e membre du groupe Réglementation des services financiers de BLG.
1 Les FSP situés à l’extérieur du Canada sont assujettis à la Loi lorsqu’ils effectuent toute activité de paiement de détail (le cas échéant) pour un utilisateur final situé au Canada.
