Le ministère des Finances ainsi que le Centre d’analyse des opérations et déclarations financières du Canada (le « CANAFE ») ont été bien occupés dans le cadre des préparatifs entourant la vérification du régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes par le Groupe d’action financière (le « GAFI »), prévue pour l’automne 2015. À cet égard, ils ont publié des lignes directrices visant à offrir aux entités déclarantes aux termes de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « Loi ») des renseignements sur les risques inhérents au recyclage des produits de la criminalité et au financement des activités terroristes au Canada, ainsi que sur la façon d’en tenir compte dans l’évaluation des risques qu’elles sont tenues de faire. 

En mai 2015, le CANAFE a discrètement publié sur son site Web un document intitulé Guide de l’approche axée sur les risques pour lutter contre le blanchiment d’argent et le financement des activités terroristes (le « Guide »). Bien que le CANAFE indique qu’il a élaboré le Guide afin d’« aider » les entités déclarantes à respecter leurs obligations en matière d’approche axée sur les risques en vertu de la Loi, le libellé du Guide ainsi que les expériences antérieures de certaines entités déclarantes avec le CANAFE portent plutôt à croire que les renseignements qui y figurent sont maintenant considérés comme des attentes réglementaires. Par conséquent, les entités déclarantes peuvent s’attendre à ce que leur approche axée sur les risques pour lutter contre le blanchiment d’argent et le financement des activités terroristes soit désormais évaluée en fonction des critères énoncés dans ce Guide. 

De plus, en juillet 2015, le ministère des Finances a publié son Évaluation des risques inhérents au recyclage des produits de la criminalité et au financement des activités terroristes au Canada (le « Rapport »), dont le but est « de mieux cerner, de mieux évaluer et de mieux comprendre les risques inhérents au recyclage des produits de la criminalité et au financement des activités terroristes au Canada, et ce, de façon continue ». Le gouvernement du Canada y « encourage » les entités déclarantes à se servir des constatations figurant dans le Rapport pour orienter les efforts qu’elles déploieront afin d’évaluer et d’atténuer les risques. 

Les renseignements fournis dans ces deux documents importants laissent entendre que les exigences en matière d’approche axée sur les risques stipulées dans la Loi, qui sont pour la plupart fondées sur des principes, sont dorénavant plus normatives et que les attentes réglementaires relatives aux évaluations axées sur les risques seront, elles aussi, interprétées de manière analogue.

Le Guide prévoit que le risque lié au blanchiment d’argent et au financement des activités terroristes peut être divisé en deux catégories :

  • Risque national : les menaces et les vulnérabilités représentées par le blanchiment d’argent / le financement des activités terroristes qui posent un risque à l’intégrité du système financier canadien et la sûreté et la sécurité des Canadiens;
  • Risque pour l’entité déclarante : les menaces et les vulnérabilités entraînant le risque que l’entité déclarante soit utilisée pour faciliter le blanchiment d’argent / le financement d’activités terroristes.

Le Guide porte sur le risque pour les entités déclarantes, tandis que le Rapport traite à la fois du risque pour les entités déclarantes et du risque national. Il est évident que l’intention est de faire en sorte que les entités déclarantes tiennent compte de tous les renseignements contenus dans ces deux documents quand elles mettent à jour ou élaborent leurs évaluations des risques. 

GUIDE 

À la base, les règlements d’application de la Loi (les « Règlements ») exigent que les entités déclarantes réalisent l’évaluation des risques inhérents aux activités de leur entreprise et de leurs clients en fonction de certains critères précis, dont les suivants : 

  • les clients et les relations d’affaires de l’entité déclarante;
  • les produits et modes de prestation de l’entité déclarante;
  • l’emplacement géographique des activités de l’entité déclarante;
  • d’autres facteurs pertinents. 

Les risques repérés doivent ensuite être ciblés, puis atténués par la mise en œuvre de contrôles. En outre, lorsque le risque est trop élevé, les entités déclarantes doivent prendre certaines mesures prévues par la loi.

Dans le Guide, il est indiqué que l’approche axée sur les risques doit reposer sur les six étapes suivantes :

  1. détermination des risques inhérents (risques liés à l’entreprise et risques liés aux relations d’affaires);
  2. détermination de la tolérance au risque de l’institution;
  3. création de mesures d’atténuation des risques et de contrôles clés;
  4. évaluation des risques résiduels de l’institution;
  5. mise en œuvre de l’approche axée sur les risques de l’institution;
  6. examen de l’approche axée sur les risques de l’institution.

À l’égard de ces étapes, l’établissement de la « tolérance au risque » est un nouveau concept qui n’est pas expressément mentionné dans les Règlements. Toutefois, d’après le Guide, il est évident qu’il s’agit désormais d’une attente réglementaire. D’ailleurs, le CANAFE précise que l’établissement de la tolérance au risque revient à répondre à la question suivante : « En tant qu’entreprise, quel niveau de risque jugez-vous acceptable? »

Le CANAFE souligne qu’une entité déclarante devrait prendre en compte les catégories de risque suivantes pour établir sa tolérance au risque : 

  • risque lié à la réglementation; 
  • risque d’atteinte à la réputation;
  • risque juridique;
  • risque financier.  

De surcroît, le CANAFE s’attend à ce que la détermination de la tolérance au risque d’une entité déclarante constitue un exercice devant obtenir l’approbation de la haute direction. À ce propos, il note que l’approche de la gestion des risques et des mesures d’atténuation des risques requiert généralement le leadership et l’engagement de la haute direction.

Notons que le Guide semble élargir le rôle du CANAFE : au lieu de seulement réglementer la conformité à la Loi, celui-ci sera aussi chargé d’exiger la mise en place de processus de gestion du risque plus stricts. 

En plus d’établir leur tolérance au risque, les entités déclarantes sont tenues, conformément au Guide, d’évaluer leur risque résiduel, c’est-à-dire le « risque qui subsiste après que les mesures d’atténuation des risques et les contrôles sont en place ». Le Guide fait état de deux types de risques résiduels : 

  • Risques tolérés : bien qu’ils soient tolérés, ils n’en demeurent pas moins des risques. L’acceptation s’entend au sens que le fait de tenter de les réduire n’apporte aucun bénéfice. Les risques tolérés peuvent s’accroître avec le temps.
  • Risques atténués : bien qu’ils soient « atténués », ils n’en demeurent pas moins des risques. Ces risques ont été réduits, non éliminés.

Le CANAFE mentionne dans le Guide qu’il s’attend à ce que les entités déclarantes prennent le temps d’évaluer leur niveau de risques résiduels et confirment que celui-ci correspond à ce qu’elles jugent acceptable pour assurer l’intégrité de leur entreprise. À cet égard, il ajoute que si le risque résiduel d’une entité déclarante ne correspond pas à sa tolérance au risque, cette dernière doit retourner à l’étape précédente et augmenter le niveau et/ou la quantité de mesures d’atténuation mises en place. Bien que le CANAFE précise que l’évaluation des risques résiduels ne constitue pas une obligation juridique, le ton adopté dans le Guide indique le contraire. 

Hormis l’exigence selon laquelle les entités déclarantes doivent établir et documenter leur tolérance au risque, le Guide renferme quelques nouveautés qu’il vaut la peine de noter. 

En ce qui concerne le risque géographique, le Guide stipule qu’il se peut que les risques inhérents soient plus élevés si une entité déclarante se trouve près d’un poste frontalier, étant donné que l’entité peut constituer un premier point d’entrée dans le système financier canadien. Le document contient également bon nombre d’hyperliens vers des cartes et des renseignements relatifs aux régions affichant un taux de criminalité élevé. L’information sur le risque géographique cadre avec la position adoptée par le CANAFE, à savoir qu’il ne suffit pas d’utiliser le « Canada » comme région géographique; ce dernier devrait plutôt être divisé par régions et par caractéristiques démographiques. 

Par ailleurs, les points devant être considérés lors de l’évaluation des risques englobent la vaste catégorie des « Autres facteurs pertinents ». À ce sujet, le Guide explique dans une certaine mesure ce que le CANAFE considère comme des « facteurs pertinents ». Plus précisément, il indique que les facteurs suivants pourraient être pertinents : 

  • les facteurs juridiques : liés aux lois et règlements nationaux et aux menaces potentielles; 
  • les facteurs structurels : liés aux modèles et processus particuliers de l’entreprise;
  • les tendances et les typologies du secteur d’activités de l’entité déclarante;
  • la structure opérationnelle, y compris un fort roulement d’employés ou un grand nombre d’employés; 
  • les tiers et/ou les fournisseurs de service : il relève de l’entité déclarante d’assurer la conformité, et ce, même si elle a recours à ces tierces parties. 

Bref, le Guide contient beaucoup de renseignements utiles sur les attentes du CANAFE, notamment des lignes directrices détaillées quant à la manière de mettre en œuvre l’approche axée sur les risques conformément à ces attentes. Les entités déclarantes devraient donc se familiariser avec les exigences qui y figurent, puisqu’il s’agit vraisemblablement d’attentes réglementaires.

RAPPORT

Comme nous l’avons mentionné, dans le cadre de l’évaluation des risques, les entités déclarantes sont tenues d’établir les risques inhérents au fait d’être utilisées dans le cadre du recyclage des produits de la criminalité (le « RPC ») ou du financement des activités terroristes (le « FAT »). Le Rapport fournit d’ailleurs des renseignements quant aux risques inhérents au RPC-FAT au Canada. Plus précisément, on y a détecté des vulnérabilités au RPC-FAT dans 27 secteurs économiques et produits financiers. Le gouvernement du Canada s’attend à ce que les entités déclarantes utilisent les renseignements contenus dans le Rapport pour comprendre leur vulnérabilité aux risques inhérents au RPC-FAT. Toutefois, à cet égard, ces renseignements sont de nature très générale, et ajoutent peu d’information à ce qu’il est déjà possible d’obtenir par l’entremise du GAFI et d’autres sources. Néanmoins, il est important que les entités déclarantes y portent attention dans le cadre de leur évaluation des risques.

Le Rapport confirme que les menaces découlant des activités suivantes constituent des « menaces très élevées de recyclage des produits de la criminalité » : 

  • fraude sur les marchés de capitaux;
  • fraude commerciale;
  • corruption et pots de vin;
  • contrefaçon et piratage;
  • trafic de drogues illicites;
  • fraude par marketing de masse;
  • fraude hypothécaire;
  • blanchiment d’argent par des tiers;
  • contrebande et trafic du tabac.

Mis à part ces menaces « très élevées » de recyclage des produits de la criminalité, le Rapport met également en lumière des menaces « élevées » et « moyennes », ainsi qu’une menace « faible », soit celle découlant de la criminalité liée aux espèces sauvages. 

Le Rapport renferme par ailleurs une évaluation des risques de FAT et énumère (sans grande surprise) les pays considérés comme les plus susceptibles de recevoir de tels fonds et biens : Afghanistan, Égypte, Inde, Liban, Pakistan, territoires palestiniens, Somalie, Sri Lanka, Syrie, Turquie, Émirats arabes unis et Yémen. Il dresse aussi la liste des 10 groupes terroristes ayant des liens avec le Canada et décrit le risque de FAT que posent ces groupes en fonction des critères suivants : sophistication, capacité, portée du financement des activités terroristes, financement estimé, diversification des méthodes et utilisation soupçonnée des fonds. Toutefois, bien que le Rapport indique que ces 10 groupes terroristes posent un risque de FAT faible, moyen ou élevé au Canada, il ne précise pas, probablement par mesure de sécurité, la catégorie à laquelle appartient chacun de ces groupes.

Qui plus est, le Rapport révèle que les six banques d’importance systémique nationale ont obtenu une cote de vulnérabilité inhérente très élevée compte tenu de leur taille, de leur ampleur et de leur portée, ainsi que du fait qu’elles sont très actives dans de nombreux secteurs d’activité. En outre, quelques entités non réglementées spécialistes et produits ont été pris en compte dans le calcul des risques de RPC-FAT, notamment les sociétés, les fiducies expresses, les avocats, les organismes à but non lucratif, les entreprises d’encaissement de chèques, les cartes prépayées à utilisation restreinte, les sociétés d’affacturage, les sociétés de financement et de crédit-bail, les casinos flottants, les prêteurs hypothécaires non réglementés et les fournisseurs de guichets automatiques indépendants. Il faudrait donc tenir compte des constatations du Rapport quand on établit des relations d’affaires avec de telles entités et lorsqu’on réalise des évaluations des risques connexes. 

Pour ce qui est des résultats globaux des cotes de vulnérabilité inhérentes au RPC-FAT, les sociétés, les banques nationales, les fiducies expresses, les entreprises de services monétaires (les « ESM ») nationales offrant des services complets ainsi que les petites ESM indépendantes ont reçu une cote de vulnérabilité très élevée. 

En somme, 14 secteurs et produits sont exposés à des risques inhérents au RPC très élevés concernant des individus mal intentionnés (par exemple des groupes criminels organisés).

Fait intéressant, le Rapport conclut aussi que la contrebande d’argent comptant ou l’utilisation de messagers d’argent, au Canada ou au-delà de la frontière, est une méthode de RPC qui est souvent utilisée, y compris par les blanchisseurs d’argent professionnels. Il faut d’ailleurs noter que cette méthode de RPC n’implique pas de secteur, de produit ou de service particulier. En outre, bien que nombre de secteurs non réglementés aient été identifiés comme posant un risque de RPC-FAT élevé, le Rapport n’indique pas si le gouvernement entend réglementer ces secteurs, quoique nous croyions comprendre que le ministère des Finances compte réglementer les cartes prépayées émises par des institutions financières. 

Les entités déclarantes devraient examiner le Rapport pour déterminer les ajustements ou précisions qu’elles devraient apporter à leurs méthodes d’évaluation des risques à la lumière des renseignements et des conclusions présentés dans le Guide et le Rapport.

Sur le plan de l’évaluation des risques en général, soulignons également que les modifications récemment proposées aux Règlements d’application de la Loi (consultez notre Bulletin Blakes de juillet 2015 intitulé Législation canadienne en matière de lutte contre le recyclage des produits de la criminalité : nouveautés et perspectives) ont pour effet d’ajouter des exigences réglementaires qui doivent être prises en compte dans le cadre de l’évaluation des risques. Ces critères supplémentaires sont les suivants : 

  • les nouveaux développements ou l’impact de nouvelles technologies eu égard aux clients ou aux relations d’affaires de l’entité, à ses produits ou moyens de distribution ou à l’emplacement géographique de ses activités;
  • dans le cas d’une entité financière ou d’un courtier en valeurs mobilières, tout risque découlant des activités d’une entité financière ou d’un courtier en valeurs mobilières canadien du même groupe, ou des activités d’une entité étrangère du même groupe qui exerce des activités semblables.

Au vu des nouveaux renseignements publiés, les entités réglementées auraient intérêt à revoir leur méthodologie d’évaluation des risques pour s’assurer de respecter les attentes réglementaires.