Le 7 juillet 2017, le ministère des Finances du Canada a publié un document de consultation attendu depuis longtemps sur un projet de réglementation des paiements de détail au Canada. Ce document de consultation, qui s’intitule Un nouveau cadre de surveillance des paiements de détail (le « document de consultation »), énonce les principales composantes d’un projet de cadre de surveillance fédéral des paiements de détail (le « projet de cadre »).

Ce projet marque une évolution significative du paysage des paiements canadiens compte tenu du fait que les fournisseurs de services de paiements de détail ne sont habituellement pas réglementés, sauf dans certaines circonstances, et ne le sont en aucun cas du point de vue de la sécurité et de la stabilité. La raison est que le cadre réglementaire actuel met l’accent sur le type d’entités qui exercent l’activité de paiement et sur le fait que l’entité en question accepte ou non les dépôts, et non sur les activités de paiement exercées en tant que telles; en d’autres termes, il prend en considération « qui vous êtes et non ce que vous faites ». En tant que tels, les fournisseurs de services de paiements non traditionnels, dont les entreprises de technologie financière (collectivement, les « FSP »), n’ont pas jusqu’à présent été régis par un cadre de surveillance réglementaire.

Les propositions contenues dans le document de consultation ouvrent des horizons nouveaux pour la réglementation des paiements de détail au Canada et suggèrent un régime réglementaire complet pour les FSP. Étant donné le sens large attribué au terme « FSP » dans le document de consultation, les fournisseurs de services qui interagissent avec des personnes au Canada (y compris les fournisseurs de portefeuilles mobiles et les entreprises de services monétaires) devraient examiner attentivement les propositions et envisager de soumettre des commentaires afin que le cadre résultant de la consultation soit réalisable et efficace pour les FSP. La période de consultation prend fin le 6 octobre 2017.

PRINCIPES DIRECTEURS

Ainsi que l’indique le document de consultation, on ne saurait appliquer un modèle unique pour l’imposition d’exigences réglementaires.

À cet égard, le projet de cadre a comme objectif de réglementation global d’appliquer « des mesures correspondant au niveau de risque présenté par chacun des FSP » au moyen des trois mécanismes suivants :

  1. Exigences fondées sur des principes : Selon le projet de cadre, les FSP devraient, plutôt que d’adopter un « modèle universel », mettre en place les mesures réglementaires décrites ci‑dessous en les adaptant à leur taille, à leur modèle d’entreprise et au niveau de risques associé à leurs activitéccs.
  2. Niveaux de mesures variés : Il est envisagé d’appliquer les exigences réglementaires selon plusieurs niveaux de risque dans le cas des FSP qui présentent un faible niveau de risque. Par exemple, les FSP pourraient être classés d’après les fonctions de paiement exercées (par exemple la détention de fonds), la valeur ou la quantité des paiements effectués, l’importance de l’entreprise sur le marché (c’est-à-dire le nombre d’utilisateurs finaux) et le degré d’interconnectivité avec d’autres systèmes ou fournisseurs de services de paiements de détail. Les FSP qui présentent un faible niveau de risque pourraient être assujettis à des exigences moins rigoureuses.
  3. Reconnaissance d’autres cadres de surveillance : Selon le document de consultation, le projet de cadre prévoirait, pour les FSP déjà soumis à des exigences essentiellement similaires en vertu d’autres lois fédérales ou provinciales, un mécanisme d’exemption selon lequel il reviendrait à l’organisme de réglementation de déterminer les circonstances dans lesquelles l’exemption devrait s’appliquer. Il reste à voir quelles exigences, dans les faits, l’organisme de réglementation considérerait comme des « exigences similaires » justifiant une exemption.

PORTÉE DU CADRE PROPOSÉ

Le document de consultation présente la réglementation proposée pour régir les FSP exécutant l’une des cinq fonctions de base dans le contexte de transferts de fonds électroniques demandés par un utilisateur final (c’est-à-dire une personne ou une entité qui n’est ni un FSP ni un intermédiaire financier). Il ne précise pas si le projet de règlement vise uniquement les consommateurs ou s’il s’appliquera également aux entreprises.

Les cinq fonctions de base qui déclencheront l’application de la surveillance réglementaire dans le cadre du régime proposé sont les suivantes :

  1. Fournir et effectuer la tenue d’un compte détenu au nom d’un utilisateur final dans le but de faire des transferts de fonds électroniques.
  2. Permettre l’initiation d’un paiement à la demande d’un utilisateur final.
  3. Offrir des services visant à approuver une opération et/ou à permettre la transmission de messages de paiement.
  4. Permettre aux utilisateurs finaux de détenir des fonds dans un compte détenu auprès du FSP jusqu’à ce que ces fonds soient retirés par l’utilisateur final ou qu’ils soient transférés à un tiers dans le cadre d’un transfert de fonds électronique.
  5. Permettre le processus d’échange et de rapprochement des effets de paiement (compensation) qui entraîne le transfert de fonds et/ou un redressement aux positions financières (règlement).

Selon le document de consultation, il est prévu que le nouveau régime réglementaire s’appliquera aux opérations effectuées par cartes de crédit, aux paiements en ligne, aux dépôts de paie, aux opérations de débit, aux paiements préautorisés et aux transferts d’argent entre pairs. D’après les fonctions de base décrites ci-dessus, les fournisseurs de portefeuilles mobiles et les acquéreurs seraient visés par le régime.

Il est proposé que certaines opérations qui représentent un risque limité pour les utilisateurs finaux, dont celles qui sont indiquées ci-dessous, soient exclues du régime réglementaire :

  • les opérations effectuées entièrement en espèces;
  • les opérations menées à l’aide d’un agent autorisé à négocier ou à conclure la vente ou l’achat de produits ou de services pour le compte du payeur ou du bénéficiaire, si les fonds détenus par l’agent pour le compte du payeur ou du bénéficiaire sont détenus en fiducie (par exemple, un agent immobilier ou un avocat);
  • les opérations effectuées à l’aide d’instruments qui permettent au détenteur d’acquérir des produits ou des services uniquement sur les lieux du marchand émetteur (par exemple, les cartes de magasin) ou au sein d’un réseau limité de marchands qui ont conclu un accord commercial avec un émetteur (par exemple, les cartes de centres commerciaux);
  • les opérations liées aux services d’actifs ou de titres (par exemple, la distribution de dividendes, les remboursements ou les ventes) et aux dérivés;
  • les opérations aux guichets automatiques dans le but de retirer ou de déposer de l’argent;
  • les opérations entre des entités du même groupe de sociétés, si aucun intermédiaire à l’extérieur du groupe de sociétés ne participe à l’opération;
  • la compensation et le règlement des opérations effectuées dans le cadre de systèmes désignés en vertu de la Loi sur la compensation et le règlement des paiements.

Le document de consultation limite l’application du régime réglementaire aux opérations qui sont effectuées uniquement en monnaie ayant cours légal (c’est-à-dire les monnaies réglementées, comme le dollar canadien). Les opérations effectuées au moyen du bitcoin et d’autres monnaies numériques débordent le cadre du régime réglementaire, sauf si les FSP exercent à cet égard d’autres activités accessoires qui font partie des fonctions de base.

Étant donné sa large portée en la matière, le régime réglementaire régira les nouveaux intervenants dans l’écosystème des paiements de détail, tels que les entreprises de technologie financière et d’autres FSP qui ne sont pas actuellement réglementés. Compte tenu de la structure de la Constitution canadienne, la question est de savoir si le gouvernement fédéral a véritablement le pouvoir constitutionnel de réglementer les paiements de détail.

À cet égard, dans le jugement de la Cour suprême du Canada Renvoi relatif à la Loi sur les valeurs mobilières, la Cour suprême a soutenu que la réglementation des valeurs mobilières ne relevait pas du volet général du pouvoir fédéral de réglementation en matière de trafic et de commerce et relevait plutôt de la compétence des provinces en matière de propriété et de droits civils. Il reste à savoir si le régime réglementaire proposé fera l’objet de contestations constitutionnelles similaires.

OBLIGATION D’INSCRIPTION

Le régime réglementaire prévoit l’imposition d’une obligation d’inscription aux FSP. Les FSP existants (à l’exception des entités qui ne font qu’appuyer l’exécution des fonctions de paiements à titre de fournisseur d’un autre FSP) devront s’inscrire dès l’entrée en vigueur du cadre de surveillance, tandis que les nouveaux FSP devront s’inscrire avant le lancement de tout service de paiement.

Dans le cadre du processus d’inscription, les propriétaires et les administrateurs d’un demandeur devraient se soumettre à une vérification du casier judiciaire. Plus important encore, le demandeur serait tenu de se conformer à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « LRPCFAT »).

Une telle obligation revêt une grande importance, car les FSP qui font des affaires avec des Canadiens ne sont pas nécessairement soumis à la LRPCFAT. Il est difficile de déterminer si cette obligation est censée être une obligation indirecte pour tous les FSP d’être soumis à la législation sur le recyclage des produits de la criminalité ou si elle est uniquement censée s’appliquer aux FSP dont les activités sont déjà soumises à la LRPCFAT. En outre, l’obligation de se conformer à la LRPCFAT est de portée très générale. Pour les entités réglementées par la LRPCFAT, le respect complet de chacune des dispositions de la LRPCFAT est idéal, mais non réaliste.

Il est intéressant de constater que le régime réglementaire proposé confère à l’organisme de réglementation le pouvoir de refuser ou de révoquer l’inscription auprès du Centre d’analyse des opérations et déclarations financières du Canada (« CANAFE ») d’un FSP qui a été sanctionné pour une violation « très grave » ou qui est une entreprise de services monétaires non inscrite auprès de CANAFE.

Ce pouvoir réglementaire est quelque peu préoccupant, et ce, pour de nombreuses raisons. Pour commencer, il impose aux FSP assujettis à la LRPCFAT un ensemble d’obligations différent de celui qui est imposé aux autres FSP qui ne sont pas assujettis à la LRPCFAT. En outre, il a pour effet de créer à l’intention des FSP une norme différente des normes réglementaires imposées aux institutions financières offrant les mêmes types de services. Qui plus est, il n’est pas rare qu’une organisation soit trouvée coupable de violation « très grave » aux termes de la LRPCFAT. Cela s’explique en partie par le fait que, dans le contexte de l’obligation de présenter des déclarations des opérations douteuses (l’omission de présenter une telle déclaration est définie comme une violation « très grave »), l’analyse de la nécessité de présenter ou non une telle déclaration est effectuée par CANAFE a posteriori et, selon notre expérience, est souvent subjective. La capacité de CANAFE d’empêcher dans les faits un FSP d’exercer ses activités au Canada n’est pas inscrite dans la LRPCFAT, d’où l’existence de sanctions administratives et pécuniaires.

EXIGENCES RÉGLEMENTAIRES

Les exigences réglementaires envisagées pour gérer le risque financier, le risque opérationnel et le risque lié à la conduite sur le marché sont présentées ci-dessous.

Protection des fonds des utilisateurs finaux

Il est proposé d’exiger que les FSP placent les fonds des utilisateurs finaux détenus durant la nuit ou sur une plus longue période dans un compte de fiducie auprès d’une institution financière canadienne. Même si cette exigence paraît relativement simple et admise par tous, elle a deux ramifications importantes. Premièrement, exiger que les FSP détiennent un compte de fiducie auprès d’une institution financière canadienne aura probablement pour effet d’assujettir ces FSP à la LRPCFAT à titre d’entreprise de services monétaires (peut être à escient). Deuxièmement, plus important encore, il est difficile pour une entreprise de services monétaires d’obtenir des facilités bancaires au Canada. L’intégration au régime réglementaire de l’obligation de détenir un compte bancaire canadien aura pour effet de disqualifier de nombreux FSP qui ne parviennent pas à obtenir des comptes bancaires canadiens même s’ils offrent leurs services au Canada, ce qui constitue dans les faits un obstacle à la concurrence et est contraire aux objectifs déclarés du régime réglementaire.

Normes opérationnelles

Les FSP qui exécutent n’importe quelle des cinq fonctions de paiement de base seront tenus de se conformer aux objectifs opérationnels et de sécurité ainsi qu’aux objectifs de planification de la continuité des activités adaptés en fonction des risques opérationnels. Les principes de base suivants s’appliqueront à cet égard :

  • Établir un cadre rigoureux de gestion des risques opérationnels comportant des systèmes, des politiques, des procédures et des contrôles appropriés pour déterminer, surveiller et gérer les risques opérationnels.
  • Définir les rôles et les responsabilités de gestion liés au traitement du risque opérationnel et appuyer le cadre de gestion des risques opérationnels du FSP. Les systèmes, les politiques opérationnelles, les procédures et les contrôles devraient être examinés, vérifiés et testés périodiquement, ainsi qu’après des changements importants.
  • Définir clairement les objectifs de fiabilité opérationnelle et avoir des politiques en place visant à réaliser ces objectifs.
  • Mettre en place des politiques exhaustives sur la sécurité physique et des renseignements qui refléteraient toutes les vulnérabilités et menaces importantes possibles.
  • Mettre en place un plan de continuité des activités qui prend en compte les événements représentant un risque important d’interruption des activités.
  • Protéger les renseignements et les données de paiement des utilisateurs finaux et permettre la récupération de données exactes à la suite d’un incident.
  • Déterminer, surveiller et gérer les risques que les utilisateurs finaux, les participants, autres FSP et fournisseurs de services (publics ou non) pourraient représenter pour leurs activités et celles d’autres parties.

Dans le cadre de l’application de l’exigence de normes opérationnelles, les FSP seraient soumis à des tests du système opérationnel afin de vérifier si le niveau de protection des données est approprié. Il est prévu que ces tests prendront la forme d’une auto-évaluation dans le cas des petites entreprises, ou d’une vérification par un tiers, dans le cas des grandes entreprises.

Obligations d’information

Les FSP qui ont une relation directe avec les utilisateurs finaux devront fournir à ces derniers, dans une forme claire et simple, certains renseignements prescrits sur le service ou le produit obtenu, ainsi que sur les responsabilités du client et celles du FSP.

Le document de consultation donne des renseignements détaillés sur l’information qu’il faudra fournir, y compris le contenu particulier et le moment de la communication de l’information.

Règlement des différends

En plus d’exiger la communication de certains renseignements, le régime réglementaire proposé prévoit un mécanisme obligatoire de règlement des différends. Ainsi, les FSP doivent mettre en place des mécanismes internes de traitement des plaintes et désigner un organisme externe de traitement des plaintes chargé de recevoir les plaintes que les mécanismes internes n’ont pas permis de régler.

Le document de consultation donne des détails sur les éléments à inclure dans le processus de traitement des plaintes d’un FSP :

  • Le FSP doit avoir la capacité appropriée pour répondre aux plaintes.
  • L’équipe de la haute gestion doit être engagée à offrir un processus de traitement de plaintes efficace, rapide et impartial et déployer les ressources nécessaires pour l’exécuter.
  • Un agent principal au sein de l’organisation doit être désigné pour s’occuper du traitement des plaintes.
  • Des agents doivent être désignés pour recevoir et traiter les plaintes.
  • Les clients doivent se voir offrir un processus de traitement des plaintes gratuit et facilement accessible.
  • Le processus de traitement de plaintes doit être examiné et vérifié en vue d’y apporter au besoin certaines améliorations.

Un peu comme les exigences imposées aux institutions financières fédérales, le régime réglementaire proposé prévoit la désignation d’un organisme externe de traitement des plaintes (un « OETP ») offrant un recours supplémentaire pour les différends entre les consommateurs et un FSP qui ne peuvent être réglés au moyen des mécanismes de traitement internes. En outre, les FSP seraient tenus de fournir chaque année à l’organisme de réglementation des données agrégées sur les plaintes reçues.

Responsabilité des FSP dans le cas d’erreurs ou d’opérations non autorisées

Le régime réglementaire prévoit que les payeurs ne seraient pas tenus responsables des pertes découlant d’opérations non autorisées ou d’erreurs à moins qu’ils n’aient agi de manière frauduleuse ou qu’ils aient omis de s’acquitter de certaines obligations.

Cette limitation de responsabilité ne s’appliquerait pas au payeur qui :

  • n’a pas pris des mesures diligentes pour protéger la sécurité de ses mots de passe;
  • n’a pas informé le FSP, sans délai, qu’un instrument de paiement avait été perdu ou volé ou qu’un mot de passe avait été volé;
  • a saisi incorrectement les renseignements du bénéficiaire et dont l’erreur a fait qu’il était impossible pour le FSP de transmettre les fonds au bon bénéficiaire. Dans de tels cas, le FSP devrait faire des efforts raisonnables pour récupérer les fonds.

SERVICE DE CONSEILS

Le projet de cadre prévoit en outre la création d’un service de conseils dont le mandat est le suivant :

  • Aider les petits FSP qui sont nouveaux sur le marché et ont des ressources limitées à comprendre le cadre réglementaire et à naviguer dans l’environnement réglementaire en temps voulu et de manière rentable.
  • Guider les personnes inscrites qualifiées moins expérimentées dans leurs relations avec les organismes de réglementation pendant le processus d’inscription.
  • Aider les personnes inscrites à interpréter les diverses exigences réglementaires applicables au modèle opérationnel particulier du FSP.

La période de consultation prend fin le 6 octobre 2017. Nous suggérons à tous les FSP qui seraient touchés par le nouveau régime réglementaire de soumettre des commentaires au ministère des Finances afin d’exprimer leur point de vue sur le projet.