La version définitive du règlement pris en vertu de la Loi sur les activités associées aux paiements de détail (la « LAAPD ») sera publiée dans la Gazette du Canada le 22 novembre 2023 (le « Règlement »). Depuis la publication du projet de règlement (le « projet de règlement ») en février 2023, la Banque du Canada (la « Banque ») a mené une consultation auprès des intervenants du secteur afin d’obtenir des commentaires sur le contenu du Règlement. Bien que certaines modifications aient été apportées au projet de règlement afin de tenir compte de certains commentaires (voir ci-après), le Règlement est sensiblement similaire au projet de règlement publié plus tôt cette année.

Il y a lieu de noter que des commentaires additionnels pourraient être inclus dans le Résumé de l’étude d’impact de la réglementation lorsque le Règlement sera publié dans la Gazette du Canada.

Le Règlement entrera en vigueur graduellement comme suit :

• Les exigences d’enregistrement, ainsi que les pouvoirs en matière d’administration et d’application de la loi, entreront en vigueur le 1^er novembre 2024. Les fournisseurs de services de paiement (les « FSP ») devront être enregistrés auprès de la Banque au plus tard le 16 novembre 2024.

• Les exigences relatives à l’établissement d’un cadre de gestion des risques et d’un cadre de protection de fonds entreront en vigueur le 8 septembre 2025.

Les modifications importantes qui ont été apportées au projet de règlement sont les suivantes :

Cadre de gestion des risques et de réponse aux incidents

• En vertu du projet de règlement, un FSP ne pouvait rétablir ses opérations après la survenance d’un « incident » que si tous les problèmes avaient été réglés, que le FSP avait vérifié que « l’intégrité et la confidentialité des systèmes, [des] données et [des] renseignements [avaient] été rétablies » et que le FSP était capable « d’exécuter les activités associées aux paiements de détail sans entrave, perturbation ou interruption ». Cette exigence a été retirée, de sorte que les FSP peuvent rétablir leurs opérations alors qu’ils continuent de régler les problèmes ayant donné lieu à l’incident.

• Les exigences relatives aux tiers fournisseurs de services ont été clarifiées. Elles ne s’appliqueront qu’aux tiers fournisseurs de services dont les services sont assujettis à la LAAPD.

• Les règles relatives à l’approbation du cadre de gestion des risques et de réponse aux incidents (le « cadre de gestion des risques ») ont été modifiées. Le Règlement prévoit désormais que le cadre de gestion des risques doit être approuvé par un cadre dirigeant, tel que défini dans le Règlement, au moins une fois par année et à la suite de toute modification importante qui y a été apportée. De plus, le cadre de gestion des risques doit être approuvé par le conseil d’administration au moins une fois par année, que des modifications y aient été apportées ou non.

• Le Règlement exige désormais que le cadre de gestion des risques fasse l’objet d’un examen lorsqu’un changement important est apporté aux systèmes du FSP. Il s’agit d’une nouvelle exigence.L’exigence voulant qu’un examen soit mené à la suite d’un « incident » a été retirée.

• L’exigence normative selon laquelle un FSP devait mettre à l’essai son cadre de gestion des risques tous les trois ans a été retirée. Bien que des mises à l’essai soient encore exigées, il incombe désormais au FSP de déterminer leur fréquence et leur portée. Il y a lieu de noter que l’exigence prévue au Règlement selon laquelle le cadre de gestion des risques d’un FSP doit faire l’objet d’un examen indépendant au moins tous les trois ans demeure inchangée.

Cadre de protection des fonds

• Les règles relatives à l’approbation du cadre de protection des fonds ont été révisées pour les aligner sur celles relatives à l’approbation du cadre de gestion des risques (voir ci-dessus).

• Le Règlement apporte des précisions quant au moment où un examen du cadre de protection des fonds doit avoir lieu et aux documents devant être tenus à l’égard de cet examen.

  Les exigences relatives au moment où le cadre de protection des fonds d’un FSP doit faire l’objet d’un examen ont été peaufinées légèrement. Bien qu’il soit toujours nécessaire qu’un tel examen soit effectué au moins une fois par année, un examen distinct devra également être effectué à la suite de chacune des occurrences suivantes, le cas échéant :

  • l’ouverture ou la fermeture d’un compte dans lequel sont détenus des fonds d’utilisateurs finaux;

  • tout changement de l’entité qui fournit un compte dans lequel sont détenus des fonds d’utilisateurs finaux;

  • tout changement des modalités de l’entente relative à un compte dans lequel sont détenus des fonds d’utilisateurs finaux;

  • tout changement d’assureur ou de fournisseur de garantie (lorsqu’il s’agit de la méthode de protection des fonds).

Le projet de règlement prévoyait une exigence selon laquelle un examen du cadre de protection des fonds devait être effectué pour certains changements, et ce, quelles que soient les circonstances. Or, le Règlement exige qu’un examen soit effectué seulement lorsque les changements pourraient avoir une incidence importante sur la façon dont les fonds sont protégés. Les FSP disposent donc d’une plus grande discrétion pour déterminer si l’exigence relative à la réalisation d’un examen est invoquée.

Les résultats de chaque examen doivent faire l’objet d’un rapport à l’intention d’un cadre dirigeant et être approuvés par ce dernier.

• Lorsqu’un FSP a recours à une assurance ou à une garantie pour protéger les fonds des utilisateurs finaux et qu’il relève un cas où ces fonds ne seraient pas payables aux utilisateurs finaux, il est tenu de prendre des mesures aussitôt que possible pour éviter qu’un tel cas ne se reproduise; cependant, le FSP n’est plus tenu d’en faire rapport à la Banque. Le FSP devra plutôt inclure ce rapport dans son rapport annuel.

• La fréquence à laquelle un examen indépendant du cadre de protection des fonds doit être mené a été modifiée, passant d’une fois tous les deux ans à une fois tous les trois ans.

• Le Règlement prévoit une nouvelle sanction administrative pécuniaire applicable aux FSP qui ne détiennent pas les fonds des utilisateurs finaux dans un compte comme l’exige la LAAPD; le Règlement qualifie ce manquement de violation « très grave ».

Autres changements

Rapport annuel

• Le Règlement apporte des modifications mineures pour ce qui est des mesures devant être incluses dans le rapport annuel du FSP à la Banque, y compris les renseignements relatifs aux fonds des utilisateurs finaux et aux transferts électroniques de fonds.

• Tandis que le projet de règlement exigeait qu’un FSP décrive dans son rapport annuel toute modification apportée à ses activités associées aux paiements de détail, le Règlement n’exige que seuls les changements « importants » fassent l’objet d’un avis à la Banque, tel qu’il est prévu au paragraphe 22(1) de la LAAPD. Aux termes du paragraphe 22(2) de la LAAPD, « [pour] l’application du paragraphe (1), constitue un changement important le changement dont on peut raisonnablement prévoir qu’il aura un effet important sur les risques opérationnels ou sur la manière dont les fonds des utilisateurs finaux sont protégés ». Il y a lieu de noter que dans la Loi sur la compensation et le règlement des paiements (laquelle est également administrée par la Banque), un « changement important » est défini comme étant un « changement dont on peut raisonnablement prévoir qu’il aura un effet important sur l’efficacité, la sécurité ou la solidité » de l’entité réglementée. Bien que ces deux définitions susmentionnées ne soient pas identiques, celle prévue à la Loi sur la compensation et le règlement des paiements aura vraisemblablement une influence sur ce que la Banque considère comme un changement important dans le contexte de la LAAPD.

Autres questions

• Un FSP qui entreprend un changement important ou qui exerce une nouvelle activité est tenu de fournir à la Banque un avis à cet effet. Aux termes du projet de règlement, le FSP devait fournir à la Banque une copie de tous les documents liés à son cadre de gestion des risques et à son cadre de protection des fonds qui ont été modifiés pour refléter tout changement important ou toute activité nouvelle. Le Règlement exige seulement un sommaire des changements importants ou des activités nouvelles.

• L’une des modifications les plus importantes apportées au projet de règlement concerne le stockage des renseignements personnels et financiers. Le projet de règlement prévoyait qu’un FSP devait présenter une nouvelle demande à la Banque s’il stockait des renseignements dans un pays autre que le Canada qui n’avait pas été précisé dans sa demande initiale. Cette exigence a été retirée du Règlement. Plutôt que d’exiger la présentation d’une nouvelle demande pour modifier le lieu où les renseignements sont stockés, le Règlement prévoit qu’un tel changement du lieu de stockage doit désormais être signalé à la Banque 60 jours avant le changement.

• Pour ce qui est de l’enregistrement, le projet de règlement exigeait que les FSP fournissent un grand nombre de renseignements financiers et de renseignements sur les opérations pour les activités commerciales exercées au cours des deux années précédant l’enregistrement. Le Règlement exige uniquement que ces renseignements soient fournis à l’égard de l’année précédant l’enregistrement, ce qui constitue un changement bien accueilli par les FSP.

  Le projet de règlement prévoyait une formule pour déterminer annuellement le montant de la cotisation de chaque FSP. Cette formule a été retirée du Règlement. Bien que la Banque soit encore tenue, en vertu de la LAAPD, de déterminer ses dépenses ainsi que la cotisation qu’elle doit imposer à chaque FSP, la méthode pour ce faire n’est plus prescrite.

Par souci d’exhaustivité et de commodité, nous présentons ci-après un résumé des dispositions importantes de la version définitive du Règlement en mettant à jour notre Bulletin Blakes de février 2023 intitulé Publication du projet de règlement pris en vertu de la Loi sur les activités associées aux paiements de détail.

Le règlement 

Le Règlement crée un régime de conformité complet et normatif pour les FSP et oblige ces derniers à y consacrer d’importantes ressources tant financières qu’humaines.

Gestion des risques et réponsee aux incidents

Certaines des dispositions les plus normatives et les plus exigeantes du Règlement portent sur le cadre de gestion des risques et de réponse aux incidents (le « Cadre ») que les FSP enregistrés doivent mettre en œuvre.

À cet égard, le Règlement énonce des exigences exhaustives auxquelles les FSP doivent se conformer pour la mise en œuvre de leur Cadre et précise les sujets devant être abordés dans celui-ci. Les exigences ne privilégient pas une approche fondée sur les risques et sont plutôt résolument normatives. Les FSP devraient examiner ces exigences afin d’en saisir la portée et la nature.

Voici quelques exemples des exigences applicables au Cadre des FSP :

• Le Cadre doit contenir des objectifs expressément déclarés. Deux objectifs sont obligatoires aux termes du Règlement, soit :

  1. le FSP doit pouvoir exécuter ses activités associées aux paiements sans « entrave, perturbation ou interruption » et veiller à la disponibilité des systèmes, données et renseignements engagés dans l’exécution de ces activités;

  2. l’intégrité et la confidentialité des activités de paiement, des données et des renseignements d’un FSP doivent être préservées.

• Le Cadre doit établir des « cibles de fiabilité mesurables et clairement définies » (c.-à-d. des niveaux de service) ainsi que des indicateurs à utiliser pour mesurer la réalisation des objectifs du Cadre susmentionnés.

• Le Cadre doit également recenser les ressources humaines et financières nécessaires pour sa mise en œuvre et son maintien, ce qui comprend, à l’égard des ressources humaines, les compétences et la formation du personnel requises.

• Le Cadre doit recenser les actifs du FSP (notamment les systèmes, les données et les renseignements) et les processus opérationnels engagés dans l’exécution des activités associées aux paiements du FSP. Ces actifs doivent ensuite être classés selon leur sensibilité et leur importance à l’exécution de ces activités de paiement.

• Le FSP doit recenser et décrire toutes les causes éventuelles de ses risques opérationnels. Le Règlement énonce une liste détaillée des risques à présenter dans le cadre de cet exercice, notamment la continuité des activités, la cybersécurité, la fraude, la gestion des données, les technologies de l’information, les ressources humaines, la conception et la mise en œuvre des produits et des processus, et la gestion du changement. Une fois que ces risques opérationnels ont été recensés, le Cadre doit décrire les systèmes, les politiques et les procédures que le FSP a en place pour atténuer ses risques opérationnels et protéger ses actifs.

• Il est attendu de la part du FSP qu’il assure le contrôle continu de ses activités de paiement, systèmes et contrôles afin de déceler les incidents ou d’autres anomalies pouvant signaler un risque opérationnel ou des défaillances du Cadre. Toutes ces mesures doivent être décrites dans le Cadre.

• Si le FSP a recours à des tiers fournisseurs de services ou à des mandataires, le Cadre doit également inclure des politiques et des procédures concernant la supervision de ces parties.

Réponse aux incidents

Le Cadre du FSP doit également comprendre un plan complet de réponse et de rétablissement en cas d’incidents. Le terme « incident » s’entend « d’un événement ou d’une série d’événements liés qui sont non planifiés et qui entravent, perturbent ou interrompent — ou qui pourraient vraisemblablement entraver, perturber ou interrompre — une activité associée aux paiements de détail exécutée par le FSP ». Le Règlement énonce des exigences normatives en ce qui a trait au contenu du plan de réponse aux incidents du FSP. En ce qui a trait à la réponse aux incidents, le Cadre doit également prévoir une obligation d’enquêter, de prendre des mesures d’atténuation visant à prévenir ou à atténuer toute autre atteinte et de prendre, aussitôt que possible, des mesures permettant de traiter la cause première de l’incident. Des documents détaillés doivent être conservés à l’égard de chaque incident.

Cadre fondé sur les risques?

Les exigences relatives au Cadre sont très détaillées. Toutefois, le Cadre d’un FSP doit être proportionnel aux répercussions que pourrait avoir une entrave ou une interruption de ses activités associées aux paiements sur les utilisateurs finaux et les autres FSP, en tenant compte de « l’ubiquité et de l’interconnexion » du FSP ainsi que de la taille relative de celui-ci. Ainsi, plus la taille d’un FSP est imposante, plus le Cadre devra être robuste. Il faut cependant garder à l’esprit que toutes les exigences relatives au Cadre sont obligatoires, ce qui signifie que, peu importe la taille, l’ubiquité et l’interconnexion, tous les FSP doivent mettre en œuvre un Cadre complet conforme aux exigences énoncées dans le Règlement.

Lorsqu’un FSP a recours à un tiers fournisseur de services, il doit inclure chacun de ces fournisseurs dans son Cadre et évaluer la capacité de chacun d’eux de composer avec des risques opérationnels précis. Cette évaluation doit avoir lieu au moins une fois par année et avant de conclure, de renouveler, de proroger ou de modifier substantiellement un contrat avec le tiers. Les documents relatifs à l’évaluation doivent être conservés. Des exigences similaires s’appliquent au recours à des mandataires par le FSP.

Examens et mise à l’essai du Cadre

Conformité

Le Cadre et la conformité de celui-ci aux exigences réglementaires doivent faire l’objet d’un examen au moins une fois par année. Un examen du Cadre sera également requis avant que soit apporté un changement important aux activités ou aux contrôles du FSP. Un document dans lequel sont consignés la portée, la méthodologie et les résultats de l’examen doit être tenu. Les résultats de l’examen doivent être communiqués à un cadre dirigeant.

Efficacité

Outre de tels examens, l’efficacité du cadre doit également pouvoir être mise à l’essai afin de déceler toute lacune et toute vulnérabilité compte tenu de certains facteurs précis. Une mise à l’essai doit également avoir lieu avant l’adoption de tout changement important aux systèmes ou aux procédures du FSP. Des documents relatifs aux essais portant sur l’efficacité doivent être tenus (y compris des renseignements sur la méthode utilisée et les mesures correctives prises à l’égard des résultats) et une copie de ceux-ci doit être fournie à un cadre dirigeant.

Examen indépendant

En plus des exigences relatives aux examens et aux mises à l’essai portant sur l’efficacité, le Cadre doit être soumis à un examen indépendant (à l’interne ou en faisant appel à un auditeur externe) au moins une fois tous les trois ans. L’examen doit être documenté et décrire la portée de celui-ci, la méthodologie utilisée et les résultats obtenus. Les lacunes et les vulnérabilités doivent faire l’objet de mesures correctives et d’un rapport présenté à un cadre dirigeant.

Par conséquent, le Cadre est non seulement normatif, mais exigeant; il oblige les FSP à consacrer une attention et des ressources considérables à la gestion de la conformité à la LAAPD. Ces exigences représenteront un fardeau particulièrement lourd pour les sociétés en démarrage dotées de ressources limitées et auparavant soumises à des exigences de conformité moins lourdes. Bien que le Règlement fasse mention de proportionnalité, aucune exemption ni dispense n’est prévue pour les organisations de petite taille à l’égard de ces exigences.

Protections des fonds

L’une des principales caractéristiques de la LAAPD est l’imposition d’un cadre rigoureux pour la protection des fonds des utilisateurs finaux. Le régime de protection des fonds s’applique aux FSP qui détiennent des fonds d’utilisateurs finaux jusqu’à ce que ces fonds soient transférés à une autre personne, ou jusqu’à ce que l’utilisateur final les retire. Lorsqu’un FSP détient des fonds d’utilisateurs finaux, il est tenu de mettre en œuvre un programme de conformité et un cadre à l’égard de ceux-ci.

En vertu de la LAAPD, les FSP doivent détenir les fonds d’un utilisateur final en fiducie, dans un compte en fiducie séparé ou dans un compte séparé assorti d’une assurance ou d’une garantie à l’égard des fonds. Le Règlement énonce des exigences détaillées pour chacune de ces options aux fins de la protection des fonds des utilisateurs finaux :

• Exigences relatives aux comptes : Les FSP sont tenus de détenir les fonds d’un utilisateur final dans un compte détenu auprès d’une institution financière admissible. Au Canada, les institutions admissibles sont les banques, les coopératives de crédit provinciales et les sociétés de prêt et de fiducie. En vertu du Règlement, les fonds d’un utilisateur final peuvent également être détenus auprès d’une institution financière étrangère qui est sujette à une réglementation imposant des normes équivalentes en matière de fonds propres, de liquidité, de gouvernance, de surveillance et de gestion du risque à celles qui s’appliquent aux institutions financières admissibles au Canada. Il sera permis aux FSP de détenir les fonds d’un utilisateur final auprès d’institutions financières réglementées canadiennes et étrangères, ce qui sera particulièrement important pour les FSP étrangers enregistrés auprès de la Banque et pouvant détenir des fonds d’utilisateurs finaux dans de multiples ressorts.

• Exigences en matière d’assurance et de garantie : Les FSP qui souhaitent remplir les exigences relatives à la protection des fonds des utilisateurs finaux en détenant une assurance ou une garantie doivent veiller à ce que l’assurance ou la garantie soit fournie par une institution financière canadienne ou étrangère admissible. Les institutions financières admissibles sont les mêmes que les institutions assujetties à une réglementation prudentielle susmentionnées et comprennent les sociétés d’assurance. L’institution financière qui fournit une assurance ou une garantie à l’égard de fonds d’un utilisateur final ne peut être affiliée au FSP, mais rien n’empêche la même institution financière admissible de détenir le compte séparé pour la détention des fonds de l’utilisateur final et de fournir l’assurance ou la garantie requise. À cet égard, nous notons que les lois sur les institutions financières fédérales précisent que les garanties comprennent les lettres de crédit. Bien que la LAAPD n’aborde pas précisément cette question, l’exigence en matière d’assurance ou de garantie ne sera pas satisfaite si les fonds de l’utilisateur final sont simplement détenus dans un compte auprès d’une banque tierce qui est couvert par une assurance sur les dépôts. En effet, l’assurance sur les dépôts, comme celle offerte par la Société d’assurance dépôts du Canada (la « SADC »), fournit une protection contre le défaut de la banque détenant le compte du FSP et non contre le défaut du FSP lui-même.

• Protection offerte contre le risque de faillite : Si un FSP s’appuie sur une assurance ou une garantie pour satisfaire aux exigences en matière de protection des fonds, il doit notamment veiller à ce que le produit de l’assurance ou de la garantie ne fasse pas partie des actifs du FSP en cas de faillite et à ce que ce produit soit payable aux utilisateurs finaux dès que possible après un cas d’insolvabilité. Ces exigences relatives à la protection offerte contre le risque de faillite ne s’appliquent qu’à l’option relative à la protection des fonds au moyen d’une assurance ou d’une garantie. Si les fonds d’un utilisateur final sont détenus en fiducie dans un compte séparé auprès d’une institution financière admissible, nous nous attendons à ce que les fonds en fiducie soient exclus des actifs de FSP aux termes des principes généraux du droit de l’insolvabilité, y compris l’alinéa 67(1)a) de la Loi sur la faillite et l’insolvabilité.

• Politiques et contrôles : En plus de devoir établir le Cadre, les FSP sont tenus d’établir, d’appliquer et de tenir à jour un cadre de protection des fonds en veillant à ce que les utilisateurs finaux aient un accès fiable et sans délai à leurs fonds et que ces fonds, ou le produit de l’assurance ou de la garantie, leur soient versés dès que possible après un cas d’insolvabilité. Parmi les autres exigences qui s’appliquent, le cadre de protection des fonds du FSP doit décrire les moyens mis en place notamment à l’égard de l’utilisation d’ententes relatives à la liquidité et à l’égard de la détention des fonds d’utilisateurs finaux sous forme d’actifs sûrs et liquides, de la tenue d’un registre de fonds comprenant les noms et coordonnées des utilisateurs finaux et des fonds de ceux-ci, et pour permettre à l’administrateur d’insolvabilité agissant pour le compte du FSP d’avoir accès aux dossiers et aux documents pertinents et d’administrer la restitution des fonds protégés ou le produit de l’assurance ou de la garantie aux utilisateurs finaux en présence d’un cas d’insolvabilité. En comparaison, dans le contexte de l’assurance sur les dépôts administrée par la SADC pour le compte d’institutions de dépôt fédérales, de telles ententes sont assujetties à une importante réglementation qui, dans le contexte de la LAAPD, semble s’appliquer selon une approche plutôt fondée sur des principes ou les résultats. Voilà qui pourrait créer de complexes enjeux juridiques et opérationnels pour les FSP, quoique le résumé de l’étude d’impact de la réglementation qui accompagne le projet de règlement précise que des clarifications additionnelles sont attendues de la Banque au chapitre de la protection des fonds. Il reste à voir dans quelle mesure l’approche adoptée par la Banque dans ses lignes directrices sera normative à cet égard.

• Examens et mises à l’essai de l’efficacité : Le cadre de protection des fonds doit être supervisé par un cadre dirigeant désigné et, comme dans le cas du Cadre, il doit faire l’objet d’un examen au moins une fois par année. Un examen annuel doit également servir à évaluer les mesures de protection des fonds des utilisateurs finaux mises en œuvre l’année précédente et à communiquer à la Banque les résultats de l’enquête et toute mesure corrective prise si des lacunes ont été décelées. En outre, comme dans le cas des exigences applicables au Cadre, le FSP qui détient des fonds d’utilisateurs finaux doit veiller à ce que son cadre de protection des fonds fasse l’objet d’un examen indépendant tous les trois ans.

Renseignements

Outre les exigences relatives à l’établissement du Cadre, au programme de protection des fonds, aux examens de l’efficacité, aux mises à l’essai et à l’examen indépendant, les FSP sont également tenus de soumettre à la Banque un rapport annuel renfermant des renseignements détaillés et d’autres rapports (le « Rapport »). Le volume de renseignements additionnels qu’un FSP devra inclure dans son Rapport est sans doute un des aspects les plus étonnants du Règlement.

Aux termes du programme de rapports, le FSP doit fournir à la Banque une description des mesures prises pour se conformer à chaque exigence se rapportant aux éléments relatifs à la conformité dont il est question ci-dessus à la section portant sur le Cadre. Ces éléments comprennent les renseignements sur la formation et les mises à l’essai, ainsi que l’information sur tous les examens réalisés. Le Rapport doit également décrire comment le Cadre a été approuvé de manière appropriée et comment celui-ci a été communiqué aux employés du FSP et aux autres personnes ayant un rôle relativement au Cadre. Le Rapport doit aussi inclure un sommaire et une analyse similaires de tous les éléments devant figurer dans le programme de protection des fonds.

En plus de communiquer des renseignements au sujet des obligations de conformité du FSP, le Rapport doit également contenir des renseignements détaillés sur les activités du FSP au cours de l’année précédente. Les renseignements exigés à cet égard sont très pointus. Par exemple, les renseignements suivants doivent figurer dans le Rapport à l’égard de chaque année visée :

• la valeur maximale (exprimée en dollars canadiens) des fonds d’utilisateurs finaux détenus par le FSP à tout moment, et ce, pour tous les utilisateurs finaux et les utilisateurs finaux se trouvant au Canada;

• pour chaque mois, la valeur moyenne de toutes les monnaies détenues en tant que fonds d’utilisateurs finaux;

• pour chaque mois, le nombre de transferts électroniques de fonds exécutés pour les utilisateurs finaux dans l’ensemble et pour les utilisateurs finaux se trouvant au Canada;

• le nombre total d’utilisateurs finaux pour lesquels le FSP a exécuté une activité de paiement;

• les indicateurs financiers pour l’année visée, notamment les recettes, le bénéfice brut ou la perte brute, le bénéfice ou la perte d’exploitation, l’actif, le passif et les capitaux propres.

Des renseignements détaillés sont également exigés au sujet des activités associées au paiement et des recettes.

Le FSP doit également fournir dans le Rapport une description de tout changement apporté aux activités associées aux paiements du FSP au cours de l’année visée, ainsi que des renseignements sur toute activité que le FSP a commencé à exécuter ou a cessé d’exécuter.

Ce processus normatif et détaillé pour la production de rapports annuels obligera vraisemblablement la plupart des FSP à apporter des changements à leurs activités de collecte de renseignements et de tenue de documents et de dossiers ainsi qu’à leurs processus de conformité et de communication de l’information. Les FSP devront également consacrer d’importantes ressources à leurs efforts de conformité au régime de la LAAPD.

Il est important de noter que les FSP qui n’ont pas d’établissement au Canada sont toujours tenus d’établir leur ubiquité et leur interconnexion au Canada. Toutefois, il leur est permis de fournir des renseignements plus limités que ceux décrits ci-dessus.

Tenue et conservation de documents

Le Règlement énonce également les obligations de tenue et de conservation de documents d’un FSP. À cet égard, un FSP doit tenir, dans une forme intelligible à la Banque, des documents suffisants pour démontrer sa conformité à la LAAPD et au Règlement. En outre, le FSP doit prendre des mesures raisonnables pour préserver ces documents.

Sanctions administratives pécuniaires

Enfin, le Règlement fournit des détails sur les violations de la LAAPD, la qualification de ces violations et les barèmes des sanctions applicables à celles-ci. Comme dans le cas du Règlement sur les pénalités administratives pris en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « LRPCFAT »), les violations sont qualifiées de « graves » ou de « très graves ». Parmi les violations très graves, on retrouve celles se rapportant aux obligations d’un FSP de mettre en œuvre et de maintenir le Cadre, ce qui comprend le défaut d’effectuer les examens, les mises à l’essai de l’efficacité et les examens indépendants exigés dans les délais prescrits, et le défaut de protéger adéquatement les fonds des utilisateurs finaux.

Les sanctions applicables à une violation grave peuvent aller jusqu’à 1 M$ CA par violation, tandis que celles qui s’appliquent à une violation très grave peuvent aller jusqu’à 10 M$ CA par violation. Ces sanctions sont beaucoup plus élevées que celles prévues par la LRPCFAT (la sanction la plus élevée pouvant aller jusqu’à 500 000 $ CA par violation) et correspondent plus au régime étendu des sanctions administratives pécuniaires administré par l’Agence de la consommation en matière financière du Canada à l’égard des institutions financières fédérales.

En ce qui a trait à la LRPCFAT, mentionnons que la majorité des FSP sont également des entreprises de services monétaires en vertu de la LRPCFAT. À ce titre, les FSP seront assujettis aux exigences du régime de lutte contre le recyclage des produits de la criminalité de la LRPCFAT ainsi qu’à celles de la LAAPD et du règlement pris en vertu de cette dernière. L’effet combiné des obligations de conformité aux termes de ces deux lois constitue tout un défi pour les FSP et les ressources nécessaires pour s’acquitter de ces obligations seront considérables. À l’avenir, les FSP devront consacrer d’importantes ressources à leurs obligations de conformité à la réglementation.