Article – détails



Article

Le ministère des Finances publie un document de consultation sur le nouveau cadre de surveillance des paiements de détail prévoyant une réglementation fonctionnelle des fournisseurs de services de paiement

Date

10 juillet 2017


Le 7 juillet 2017, le ministère des Finances a publié le document de consultation intitulé « Un nouveau cadre de surveillance des paiements de détail »  (le « document de consultation ») proposant un cadre fédéral de surveillance des paiements de détail. Les commentaires relatifs au document de consultation doivent être présentés au plus tard le 6 octobre 2017.

Sommaire du cadre de surveillance proposé

Le document de consultation est traité plus en détail ci-après, mais en voici tout d’abord les principaux éléments :

  • Vaste portée : Le cadre de surveillance s’appliquerait à tout fournisseur de services de paiement (« FSP ») qui exerce l’une des fonctions de base énumérées et engloberait les opérations par carte de crédit, les paiements en ligne, les dépôts de paye, les opérations de débit, les paiements préautorisés et les transferts d’argent entre pairs.
  • Exigence d’inscription : Tous les FSP seraient tenus de s’inscrire auprès d’un « organisme de réglementation fédéral des paiements de détail désigné ».
  • Mesures de protection des fonds des utilisateurs finaux : Tous les FSP qui détiennent des fonds d’utilisateurs finaux durant la nuit ou sur une plus longue période seraient tenus de respecter certaines conditions, notamment les mettre dans un compte de fiducie et respecter certaines exigences de tenue de dossiers.
  • Normes opérationnelles : Tous les FSP seraient tenus de se conformer à un ensemble de principes relatifs à l’établissement des objectifs et des politiques en matière de sécurité et de fonctionnement et à la planification de la continuité des activités.
  • Exigences de divulgation : Tous les FSP seraient tenus de fournir aux utilisateurs finaux certains renseignements, notamment sur les principales caractéristiques de leur service ou produit, les responsabilités des clients et des FSP, les modalités, l’historique des opérations de paiement effectuées au compte d’un utilisateur final et les reçus des opérations effectuées.
  • Règlement des différends : Un organisme externe de traitement des plaintes serait désigné pour que les clients puissent lui référer les plaintes non résolues par l’entremise des processus internes de traitement des plaintes, et les FSP devraient faire connaître leur processus de traitement des plaintes.
  • Responsabilité pour opérations non autorisées : Le FSP autorisant le paiement devrait rembourser au payeur les pertes découlant d’opérations non autorisées ou d’erreurs à moins que le payeur ait agi de manière frauduleuse ou qu’il ait omis de s’acquitter de certaines obligations.
  • Importance grandissante accordée à la protection de la vie privée : L’organisme de réglementation chargé du cadre de surveillance ferait la promotion, et favoriserait l’observation, de la législation sur la protection de la vie privée, notamment en référant les FSP, au moment de l’inscription, à la documentation pertinente publiée par les organismes de réglementation en matière de protection de la vie privée.

Le cadre de surveillance se veut fondé sur des principes, avec des niveaux de mesures variés (comme, par exemple, les petites entreprises seraient assujettis à des exigences moins rigoureuses) et la reconnaissance des exigences équivalentes d’autres cadres législatifs.

De plus, le document de consultation propose l’établissement d’un service de conseils pour les petites entreprises qui guiderait les FSP et les aiderait à interpréter les exigences du cadre en fonction de leurs modèles opérationnels particuliers.

Modalités du cadre de surveillance proposé

  1. Portée du cadre de surveillance des paiements de détail

Le document de consultation propose une approche fonctionnelle de la réglementation des paiements de détail au Canada, approche qui s’appliquerait à tout FSP qui exerce l’une des cinq fonctions de base suivantes dans le contexte d’un transfert de fonds électronique demandé par un utilisateur final :

  • fourniture et tenue d’un compte de paiements dans le but de faire des transferts de fonds électroniques ;
  • initiation d’un paiement à la demande d’un utilisateur final;
  • autorisation et transmission de messages de paiement;
  • détention de fonds;
  • compensation et règlement de fonds.

Le document de consultation donne des exemples de fonctions de FSP : les opérations effectuées par carte de crédit, les paiements en ligne, les dépôts de paye, les opérations de débit, les paiements préautorisés et les transferts d’argent entre pairs. Certains types d’opérations sont expressément exclus :

  • les opérations effectuées entièrement en espèces;
  • les opérations menées à l’aide d’un agent autorisé à négocier ou à conclure la vente ou l’achat de produits ou de services pour le compte du payeur ou du bénéficiaire, si les fonds détenus par l’agent pour le compte du payeur ou du bénéficiaire sont détenus en fiducie (p. ex., un agent immobilier ou un avocat);
  • les opérations effectuées à l’aide d’instruments qui permettent au détenteur d’acquérir des produits ou des services uniquement sur les lieux du marchand émetteur (p. ex., les cartes de magasin) ou au sein d’un réseau limité de marchands qui ont conclu un accord commercial avec un émetteur (p. ex., les cartes de centres commerciaux);
  • les opérations liées aux services d’actifs ou de titres (p. ex., la distribution de dividendes, les remboursements ou les ventes) et aux dérivés;
  • les opérations aux guichets automatiques dans le but de retirer ou de déposer de l’argent;
  • les opérations entre des entités du même groupe de sociétés, si aucun intermédiaire à l’extérieur du groupe de sociétés ne participe à l’opération;
  • la compensation et le règlement des opérations effectuées dans le cadre de systèmes désignés en vertu de la Loi sur la compensation et le règlement des paiements.

En outre, le document de consultation déclare que l’application du cadre de surveillance des paiements de détail se limiterait aux opérations qui sont exercées uniquement en monnaie ayant cours légal, et non pas en monnaies virtuelles compte tenu de leur utilisation actuellement limitée. Le gouvernement a indiqué qu’il continuera de surveiller l’utilisation des monnaies virtuelles dans le cadre de paiements de détail et proposera des changements au cadre, si nécessaire.

Bon nombre de types d’entités de technologie financière spécialisées en paiement, particulièrement celles qui offrent des portefeuilles électroniques, des cartes prépayées et des paiements de entre pairs, de même que les entités de paiement plus traditionnelles comme les commerçants-acquéreurs, semblent être visés par la portée du cadre proposé. De plus, les entités qui sont déjà par ailleurs réglementées, comme les banques, les coopératives de crédit, les sociétés de fiducie et les entreprises de services monétaires, peuvent aussi être des FSP.

De plus, même si le document de consultation parle de surveillance des paiements « de détail », la portée actuellement proposée du cadre va au-delà de ce qui serait considéré comme une opération de consommation.

  1. Exigences proposées

a. Inscription – Le document de consultation propose une exigence selon laquelle tous les FSP seraient tenus de s’inscrire auprès d’un « organisme de réglementation fédéral des paiements de détail désigné » (voir la section « Autorité de réglementation » ci-après) lorsque le cadre de surveillance entre en vigueur ou, dans le cas d’un nouveau FSP, avant son lancement. Le document de consultation fournit, à l’annexe B, une liste de renseignements nécessaires à l’inscription, comprenant notamment le type de services et de fonctions de paiement offerts, le nombre et la valeur des opérations traitées au Canada et à l’échelle mondiale au cours de la dernière année (ou qui devraient être traitées dans la prochaine année pour un nouveau FSP), le montant moyen de fonds des consommateurs détenus lorsque le FSP concerné n’est pas une institution financière acceptant des dépôts, le compte de fiducie dans lequel les fonds des consommateurs sont détenus ainsi que la valeur totale des actifs du FSP. De plus, les propriétaires et administrateurs du FSP devraient se soumettre à une vérification des antécédents judiciaires. En outre, si le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) détermine ou a déterminé qu’un FSP a commis une violation « très grave » de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes ou, dans le cas d’un FSP qui effectue des remises d’argent, celui-ci ne s’est pas inscrit auprès du CANAFE, l’inscription du FSP sera refusée ou révoquée.

b. Protection des fonds des utilisateurs finaux – Le document de consultation propose que les FSP qui placent des fonds des utilisateurs finaux détenus durant la nuit ou sur une période plus longue dans un compte en fiducie soient tenus de respecter les conditions suivantes :

  • le compte doit être détenu auprès d’une institution financière acceptant des dépôts qui est un membre de la Société d’assurance-dépôts du Canada ou qui est visée par un régime provincial d’assurance-dépôts;
  • le compte doit être au nom du FSP;
  • il doit être indiqué clairement dans les dossiers du FSP et ceux de l’institution financière qu’il s’agit d’un compte en fiducie du FSP;
  • le compte ne doit être utilisé que pour conserver les fonds des utilisateurs finaux;
  • le FSP doit s’assurer que l’institution financière ne retire pas les fonds du compte sans son autorisation (p. ex. les frais de gestion engagés par le FSP doivent être payés à même le compte général du FSP );
  • les biens détenus dans le compte doivent être des dépôts en espèces détenus ou des actifs financiers sûrs qui peuvent être convertis facilement en espèces.

Les FSP seraient tenus de tenir à jour des dossiers comptables détaillés qui permettent de déterminer précisément les fonds détenus en fiducie ainsi que les bénéficiaires. En outre, les FSP seraient tenus de fournir de l’information sur leur compte de fiducie dans leurs déclarations annuelles auprès de l’organisme de réglementation désigné.

c. Normes opérationnelles – Le document de consultation propose que les FSP soient tenus d’observer un ensemble de principes liés à l’établissement de politiques et d’objectifs opérationnels et de sécurité et à la planification de la continuité des activités :

  • Un FSP devrait établir un cadre rigoureux de gestion des risques opérationnels comportant des systèmes, des politiques, des procédures et des contrôles appropriés pour déterminer, surveiller et gérer les risques opérationnels.
  • La direction d’un FSP devrait définir clairement les rôles et les responsabilités liés au traitement du risque opérationnel et devrait appuyer le cadre de gestion des risques opérationnels du FSP. Les systèmes, les politiques opérationnelles, les procédures et les contrôles devraient être examinés, vérifiés et testés périodiquement, ainsi qu’après des changements importants.
  • Un FSP devrait définir clairement ses objectifs de fiabilité opérationnelle et devrait avoir des politiques en place visant à réaliser ces objectifs.
  • Le système d’un FSP devrait comporter des politiques exhaustives sur la sécurité physique et des renseignements qui refléteraient toutes les vulnérabilités et menaces importantes possibles.
  • Un FSP devrait avoir un plan de continuité des activités qui prend en compte les événements représentant un risque important d’interruption des activités. Le plan devrait être conçu de manière à protéger les renseignements et les données de paiement des utilisateurs finaux et de permettre la récupération de données exactes à la suite d’un incident. Le plan devrait viser également à atténuer l’incidence d’une interruption sur les utilisateurs finaux en ayant un plan de retour aux activités normales.
  • Un FSP devrait déterminer, surveiller et gérer les risques que les utilisateurs finaux, les participants, autres FSP et fournisseurs de services (public ou non) pourraient représenter pour ses activités. De plus, un FSP devrait identifier, surveiller et gérer les risques que ses activités pourraient représenter pour d’autres.

Les tests du système opérationnel pourraient être effectués dans le cadre d’une auto-évaluation dans le cas des petites entreprises ou dans le cadre d’une vérification par un tiers dans le cas des grandes entreprises.

d. Exigences de divulgation – Le document de consultation propose que les FSP soient tenus de fournir aux utilisateurs finaux des renseignements sur les principales caractéristiques du service ou du produit (par exemple, les frais, les fonctionnalités, les limites, les lignes directrices sur la sécurité), les responsabilités du client, les responsabilités du FSP, les modalités, l’historique des opérations de paiement effectuées sur le compte d’un utilisateur final ainsi que des reçus des opérations effectuées.

Les divulgations doivent respecter les principes suivants :

  • les renseignements doivent comprendre un contenu adéquat et pertinent;
  • les renseignements doivent être fournis en temps opportun;
  • les renseignements doivent être présentés en termes clairs, simples et non trompeurs;
  • les renseignements doivent être facilement accessibles.

Les FSP auraient à fournir un résumé distinct et concis comportant des renseignements clés liés à un service de paiement sur la page couverture des modalités et des conditions d’utilisation du service. L’annexe A du document de consultation donne des précisions sur les exigences de divulgation proposées.

e. Règlement des différends – Le document de consultation propose que l’on charge pour les FSP un organisme externe de traitement des plaintes (OETP) de recevoir les plaintes non résolues par le processus de traitement des plaintes interne du FSP. Les FSP seraient également tenus de faire ce qui suit :

  • faire connaître leurs procédures de traitement des plaintes et de la possibilité pour les clients de renvoyer leurs cas à l’OETP désigné ;
  • fournir à l’OETP tous les renseignements dont il aura besoin pour régler le différend;
  • participer au processus de règlement des différends (p. ex., participer à des séances de conciliation et aux consultations de l’OETP).

f. Responsabilité pour opérations non autorisées – Le document de consultation propose que le payeur ne soit pas tenu responsable des pertes découlant d’opérations non autorisées ou d’erreurs à moins qu’il ait agi de manière frauduleuse ou qu’il ait omis de s’acquitter de certaines obligations et que le FSP autorisant le paiement doive rembourser le payeur pour les pertes découlant des opérations non autorisées ou des erreurs. Le payeur pourrait être notamment tenu responsable dans les cas suivants :(i) le payeur n’a pas pris des mesures diligentes pour assurer la sécurité de ses mots de passe; (ii) le payeur n’a pas informé le FSP, sans délai indu, qu’un instrument de paiement a été perdu ou volé ou qu’un mot de passe a été volé; (iii) le payeur a saisi incorrectement les renseignements du bénéficiaire et, par conséquent, il était impossible pour le FSP de transmettre les fonds au bon bénéficiaire. Dans de tels cas, le FSP devrait faire des efforts raisonnables pour récupérer les fonds.

g. Protection de la vie privée – Le document de consultation souligne que l’innovation technologique a donné aux FSP la capacité de recueillir et de conserver plusieurs types de renseignements personnels et de nature délicate et énonce qu'« [u]ne faible protection des renseignements personnels par les FSP constitue un type de risque lié à la conduite sur le marché qui peut entraîner une série de conséquences indésirables pour les utilisateurs finaux, comme un préjudice financier ou à sa réputation découlant de la violation des données ».

Bien que la législation fédérale sur la protection de la vie privée (LPRPDE) et des dispositions provinciales semblables s’appliquent à toutes les entreprises canadiennes évoluant dans tous les secteurs de l’économie, y compris les paiements de détail, le document de consultation déclare que « certains des FSP pourraient ne pas être au courant de leurs responsabilités en vertu de la LPRPDE ou des dispositions législatives provinciales en matière de protection des renseignements personnels ».

Le document de consultation propose que l’organisme de réglementation chargé du cadre de surveillance fasse la promotion, et favorise l’observation, de la LPRPDE et des dispositions législatives provinciales semblables, notamment en référant les FSP, au moment de l’inscription, aux renseignements existants et pertinents publiés par le Commissariat à la protection de la vie privée ou par tout autre organisme provincial de réglementation concernant la conformité en matière d’obligations relatives à la protection de la vie privée.

  1. Principes directeurs

Le document de consultation déclare que « le cadre de surveillance proposé encouragerait l’innovation et la concurrence » et vise à appliquer des mesures proportionnelles au niveau de risque présenté par chacun des FSP.

Pour atteindre ces objectifs, le cadre de surveillance reposerait sur les principes directeurs suivants :

  • Exigences fondées sur des principes – Les exigences se veulent généralement fondées sur des principes, pour accommoder la diversité des modèles opérationnels dans le secteur des paiements de détail et pour permettre une souplesse dans le cas des modèles futurs.
  • Niveaux de mesures variés – Le document de consultation énonce qu’il faut prendre en considération le recours à divers niveaux de mesures, de manière à ce que, par exemple, les petites entreprises soient assujetties à des exigences moins rigoureuses.
  • Reconnaissance d’exigences équivalentes sous d’autres cadres législatifs – Le document de consultation propose que les FSP soient dispensés de l’obligation de mettre en œuvre une mesure du cadre si l’entité est assujettie à une exigence substantiellement similaire en vertu d’une autre loi fédérale ou provinciale (comme, par exemple, la Loi sur les banques ou la législation sur les coopératives de crédit).
  1. Service de conseils pour les petites entreprises

Le document de consultation propose la création d’un service de conseils (similaire à certains des modèles de bac à sable réglementaire dans d’autres juridictions) pour les petits FSP prévoyant commercialiser un nouveau produit, procédé ou service. Ce service de conseils pourrait guider les FSP qualifiés au cours du processus d’inscription et les aider en interprétant les diverses exigences du cadre en fonction de leur modèle opérationnel particulier.

  1. Autorité de réglementation

Comme il a été mentionné, le document de consultation fait référence à un « organisme de réglementation fédéral des paiements de détail désigné ». Plutôt que prévoir explicitement la création d’un nouvel organisme de réglementation, le document de consultation énonce que le cadre misera sur le mandat et l’expertise des organismes de réglementation existants afin d’assurer la conformité de la mise en œuvre de mesures similaires dans tous les cadres de surveillance fédéraux. Le document de consultation n’indique pas explicitement quel organisme de réglementation superviserait les FSP qui ne sont pas actuellement assujettis à la surveillance fédérale.

Enfin, le document de consultation prévoit que l’organisme de réglementation aurait accès à une combinaison d’outils de conformité qui lui permettrait d’intervenir de manière efficace auprès de tout type de FSP, ces outils étant énumérés à l’annexe C du document de consultation et comprenant notamment la publication de lignes directrices, les déclarations annuelles, les examens sur place ainsi que le pouvoir d’ordonner des sanctions administratives pécuniaires et de rendre des ordonnances de conformité.

Expertise