Loi sur les activités associées aux paiements de détail : survol des lignes directrices provisoires de la Banque du Canada

Table des matières :

Introduction

Le risque opérationnel et la réponse aux incidents

La protection des fonds des utilisateurs finaux

Déclaration des incidents

Avis de changement important ou d’activité nouvelle

Introduction

Le 21 février 2024, la Banque du Canada (la « Banque ») a publié des lignes directrices provisoires sur la supervision des paiements de détail (les « lignes directrices ») en vertu de la Loi sur les activités associées aux paiements de détail (la « LAAPD »). Les lignes directrices donnent un aperçu de la façon dont la Banque interprétera les exigences prévues à la LAAPD.

Certaines des exigences énoncées dans les lignes directrices vont bien au-delà de ce qui est prévu au libellé de la LAAPD, se révélant exhaustives et onéreuses. Comme les lignes directrices constitueront la base des attentes de la Banque envers les fournisseurs de services de paiement (les « FSP ») réglementés pour ce qui est de la conformité à la LAAPD, les FSP assujettis à la LAAPD devraient passer en revue les lignes directrices et soumettre des commentaires à la Banque sur les dispositions dont la mise en œuvre pourrait s’avérer problématique. La période de consultation relative aux Lignes directrices se termine le 21 mai 2024.

Pour en savoir davantage sur la LAAPD, consultez notre Bulletin Blakes de novembre 2023 intitulé Publication de la version définitive du règlement pris en vertu de la Loi sur les activités associées aux paiements de détail et notre Bulletin Blakes de mai 2021 intitulé Réglementation des paiements de détail au Canada : La Loi sur les activités associées aux paiements de détail est arrivée.

Ce qui ressort clairement des lignes directrices, c’est que les FSP devront disposer de ressources considérables (y compris des ressources financières) pour s’acquitter de leurs obligations en matière de conformité et répondre aux attentes connexes. En raison du lourd fardeau de conformité imposé et des coûts prévus, la LAAPD entravera vraisemblablement l’accès au marché canadien des paiements par les entreprises en démarrage, ce qui entraînera une diminution de la concurrence et de l’innovation.

Les lignes directrices publiées par la Banque concernent les points suivants :

• le risque opérationnel et la réponse aux incidents;
• la protection des fonds des utilisateurs finaux;
• la déclaration des incidents;
• les avis de changement important ou d’activité nouvelle.

Ces lignes directrices s’ajoutent aux critères d’enregistrement des fournisseurs de services de paiement, qui ont été publiés par la Banque le 12 décembre 2023 (voir notre Bulletin Blakes de décembre 2023 intitulé La Banque du Canada publie une ligne directrice relative à la Loi sur les activités associées aux paiements de détail) et au Guide détaillé pour remplir une demande d’enregistrement, publié par la Banque le 14 février 2024.

Comme les lignes directrices sont exhaustives, le présent bulletin n’en fait qu’un survol. Les FSP sont invités à prendre connaissance des lignes directrices afin d’avoir une meilleure idée des attentes de la Banque et d’être en mesure de formuler des commentaires sur ces dernières. 

Le risque opérationnel et la réponse aux incidents

En vertu de la LAAPD, les FSP doivent établir, mettre en œuvre et maintenir un cadre de gestion des risques et de réponse aux incidents qui remplit les exigences prévues par règlement (le « cadre GR »). Ce cadre doit être conçu pour préserver l’intégrité, la confidentialité et la disponibilité des activités du FSP qui sont associées aux paiements de détail, ainsi que des systèmes, données et renseignements liés à l’exercice de ces activités. 

La ligne directrice intitulée Le risque opérationnel et la réponse aux incidents (la « ligne directrice RORI ») énonce les attentes de la Banque à l’égard du cadre GR. Fait important à noter, la Banque reconnaît que les FSP auront des pratiques différentes en matière de risque opérationnel, selon la nature et la complexité de leurs activités, leur structure organisationnelle, leurs technologies et d’autres facteurs pertinents. Par conséquent, elle s’attend à ce que les FSP adaptent leur cadre à leur situation, en tenant compte de ces facteurs et de la nature des risques auxquels ils sont exposés. À cet égard, la Banque note que « plus l’ubiquité et l’interconnexion d’un FSP sont grandes, plus son approche de la gestion des risques opérationnels et de la réponse aux incidents doit être rigoureuse » (soit un concept que la Banque désigne la « proportionnalité »). Par conséquent, les attentes à l’égard des FSP plus complexes et mieux établis seront plus élevées et correspondront davantage à celles qui sont imposées aux institutions financières.

Documentation du cadre

La ligne directrice RORI présente des exemples de types de documents que les FSP devraient envisager de créer et de tenir pour documenter leur cadre, notamment les suivants :

• Une description de l’approche de gestion des risques opérationnels et de réponse aux incidents, y compris des références aux politiques et procédures pertinentes;
• Les objectifs, les cibles de fiabilité et les indicateurs, ainsi qu’une explication de la façon dont ils ont été établis;
• Les rôles et responsabilités en matière de gestion des risques opérationnels et de réponse aux incidents, avec les descriptions de poste, les liens hiérarchiques et les accords d’approbation, les structures organisationnelles et toute autre documentation précisant comment les rôles et responsabilités du FSP assurent une fonction de surveillance et d’examen critique;
• Les procédures d’évaluation de l’adéquation des ressources humaines et financières (compétences et formation des ressources humaines comprises), une description indiquant si le FSP a un accès fiable et opportun à ces ressources, et les résultats de ces évaluations; les pièces justificatives comprennent les documents relatifs aux compétences du personnel et à la formation donnée (contenu, exécution, présence, etc.);
• Les politiques et procédures de recensement des risques opérationnels ainsi que la description des risques recensés et de leurs causes;
• La documentation (y compris les guides de préparation, de mise en œuvre, d’exploitation, de configuration et d’utilisation) relative aux systèmes entourant l’exécution des activités associées aux paiements de détail ou la gestion des risques opérationnels;
• Les descriptions et autres documents justificatifs des examens, des essais et des examens indépendants, dont les plans de mise à l’essai et d’examen, les dates de réalisation, les membres du personnel et autres parties concernés, la portée, les résultats, les mesures de suivi et les plans de mise en œuvre de ces mesures, et les raisons pour lesquelles certaines mesures sont recommandées ou non;
• La justification des approches adoptées.

Il y a lieu de noter que cette liste n’est pas complète et que celle figurant à la ligne directrice RORI ne se veut pas exhaustive non plus. Encore une fois, ce résumé ne fait qu’illustrer l’étendue des attentes de la Banque à l’égard du cadre que doivent établir les FSP relativement au risque opérationnel et à la réponse aux incidents.

Rôles et responsabilités

La Banque s’attend à ce que les FSP répartissent les responsabilités pour chaque étape de l’établissement, de la mise en œuvre et du maintien du cadre relatif au risque opérationnel et à la réponse aux incidents. Elle s’attend également à ce que la répartition des responsabilités par les FSP vise des postes précis et à ce que les FSP prévoient des liens hiérarchiques formels et, au besoin, des voies clairement définies pour la transmission des problèmes aux échelons supérieurs. La Banque s’attend de surcroît à ce que les FSP respectent la séparation des tâches, au besoin, afin qu’une personne ne contrôle pas un processus du début à la fin. 

Les FSP doivent s’assurer qu’ils disposent des ressources adéquates pour assumer chaque rôle et chaque responsabilité. Fait important, à l’instar des exigences imposées aux institutions financières, la Banque note qu’elle s’attend à ce que les FSP plus complexes mettent en œuvre un modèle de « trois lignes de défense ».

Ressources humaines et financières

En abordant la question de l’exigence d’avoir des ressources humaines et financières adéquates pour mettre en œuvre le cadre GR, la ligne directrice RORI souligne que, bien que la LAAPD n’impose aucune exigence de fonds propres aux FSP, ces derniers doivent planifier les coûts et les ressources associés à l’établissement, à la mise en œuvre et au maintien de leur cadre GR. La ligne directrice RORI précise que « [c]ette planification comprend une marge de manœuvre pour couvrir les coûts supplémentaires prévus et les besoins en ressources qui pourraient résulter d’un incident. » 

La Ligne directrice RORI souligne également que si un FSP utilise ses propres ressources financières ou le financement d’une société mère, il doit tenir compte de la manière dont ces ressources sont investies afin de s’assurer qu’elles seront disponibles à la hauteur du montant attendu et en temps requis.

Par conséquent, la Banque examinera sans doute l’accès des FSP aux capitaux afin d’assurer la stabilité financière. 

Objectifs

En vertu du Règlement sur les activités associées aux paiements de détail (le « Règlement »), le cadre GR doit énoncer ce qui suit parmi ses objectifs :

• veiller à ce que le FSP puisse exécuter ses activités associées aux paiements de détail sans entrave, perturbation ou interruption, notamment en veillant à la disponibilité des systèmes, données et renseignements engagés dans l’exécution de ces activités;
• préserver l’intégrité et la confidentialité de ces activités, systèmes, données et renseignements.

Pour ce qui est des cibles de fiabilité, et conformément au concept de proportionnalité, la Banque recommande qu’un FSP « ayant une ubiquité ou une interconnexion particulièrement grande » établisse au minimum les types de cibles de fiabilité suivants :

• des cibles de disponibilité du système;
• des objectifs quant au temps de rétablissement;
• des durées maximales d’interruption tolérables;
• des objectifs de point de reprise.

La ligne directrice RORI comporte une annexe contenant des renseignements très détaillés et normatifs sur les attentes de la Banque à l’égard des objectifs, des cibles de fiabilité et des indicateurs. 

Détection

Aux termes du Règlement, le cadre GR d’un FSP doit décrire les systèmes, politiques, procédures, processus, contrôles et tout autre moyen que le FSP doit avoir en place pour assurer un contrôle continu afin de déceler rapidement les incidents ou autres anomalies.

La ligne directrice RORI comporte une annexe détaillée qui établit les attentes concernant la relation entre le contrôle continu, la détection des incidents, la réponse aux incidents et le rétablissement après un incident.

Technologies de l’information et cybersécurité

Pour ce qui est des contrôles concernant les technologies de l’information et la cybersécurité, la ligne directrice RORI recommande que les FSP établissent, mettent en œuvre et maintiennent des capacités de contrôle continu et de détection relatives aux résultats et aux concepts suivants :

• les indicateurs clés et les seuils internes (lesquels déclenchent une action ou une décision s’ils sont dépassés);
• l’enregistrement et la surveillance (p. ex. par des journaux d’accès et de trafic);
• les défenses du réseau;
• la détection des programmes malveillants;
• la détection et la prévention des intrusions;
• la détection des vulnérabilités;
• la surveillance de sécurité;
•  la sécurité physique (p. ex. par des journaux d’accès);
• les renseignements sur les menaces;
• d’autres contrôles pertinents.

Plus les FSP sont complexes, plus ces contrôles devraient être robustes et complets.

Recours hiérarchique en cas d’incidents, d’anomalies et de défaillances dans la mise en œuvre

Le Règlement exige que le cadre GR du FSP doive prévoir un plan pour répondre aux anomalies et aux défaillances dans sa mise en œuvre. La ligne directrice RORI énonce des attentes détaillées quant au contenu de ce plan.

Plans de réponse aux incidents

La ligne directrice RORI fournit des renseignements détaillés sur les attentes concernant les plans de réponse aux incidents, notamment que les politiques et procédures du FSP pour le signalement des incidents et la coordination de la réponse aux incidents doivent :

• exiger que le FSP informe en temps opportun les intéressés internes et externes pertinents (y compris les tiers et les mandataires), notamment en donnant des précisions sur l’incident, les communications et les plans d’action;
• fournir des indications et des critères clairs pour les recours hiérarchiques internes en cas d’incident afin d’informer et de faire intervenir les décideurs concernés;
• faciliter l’obligation réglementaire du FSP de signaler certains incidents à la Banque ainsi qu’aux utilisateurs finaux, aux FSP et aux chambres de compensation des systèmes de compensation et de règlement ayant subi des répercussions importantes, conformément à la LAAPD.

Le plan de réponse aux incidents doit également faire l’objet de mises à l’essai.

Examen interne

Conformément au Règlement, les FSP doivent examiner leur cadre GR au moins une fois par année et avant de faire une modification importante à leurs activités ou à leur gestion des risques opérationnels. La ligne directrice RORI contient une annexe détaillée qui énonce les facteurs et les sources d’information dont les FSP devraient tenir compte dans le cadre d’un examen interne. 

Mises à l’essai

Le Règlement prévoit que les FSP doivent mettre en œuvre une méthode de mise à l’essai afin de déceler toute lacune dans l’efficacité des systèmes, politiques, procédures, processus, contrôles et autres moyens prévus par le cadre GR, et aussi afin d’en déceler les vulnérabilités. La ligne directrice RORI précise que cette méthode de mise à l’essai doit couvrir trois grandes catégories d’essais :

• la vérification et la validation des contrôles;
• des essais basés sur des scénarios, particulièrement des scénarios comportant des risques opérationnels ayant une forte probabilité de survenir et ceux ayant des répercussions graves;
• des essais relatifs aux modifications.

La ligne directrice RORI indique que, dans chaque catégorie d’essai, le FSP doit utiliser diverses pratiques pour déceler les lacunes d’efficacité ou les vulnérabilités du système, de la politique, de la procédure, du processus ou du contrôle pertinent. Elle précise en outre que les FSP ayant recours à des mandataires devraient les inclure dans la portée de leurs essais.

La ligne directrice RORI comporte une annexe détaillée qui présente divers scénarios de mise à l’essai et les attentes relatives aux mises à l’essai.

Examen indépendant

Le Règlement exige que le cadre GR du FSP fasse l’objet d’un examen indépendant au moins une fois tous les trois ans. La ligne directrice RORI fournit des renseignements sur les attentes de la Banque à l’égard de ces examens, de la portée requise de ces derniers et de leurs résultats.

Tiers fournisseurs de services

Conformément au Règlement, les FSP sont tenus de gérer les risques liés au recours à des tiers fournisseurs de services. La ligne directrice RORI précise que la définition d’un tiers fournisseur de services englobe les membres du même groupe que le FSP et d’autres FSP, et que cette définition s’applique, peu importe le lieu géographique du tiers fournisseur.

La ligne directrice RORI apporte une précision utile en indiquant que les services fournis par des tiers fournisseurs de services qui sont secondaires à l’exercice des activités associées aux paiements de détail des FSP (p. ex. des services de publicité ou des services juridiques) sont exclus des exigences relatives aux tiers fournisseurs de services. 

Bien que la LAAPD exige généralement que les FSP atténuent les risques associés au recours à des tiers fournisseurs de services, la ligne directrice RORI fournit des indications normatives sur les relations avec les tiers, ainsi que sur la mise en œuvre de ces indications et les attentes en matière de surveillance continue.  

En outre, la ligne directrice RORI précise que les FSP ne doivent pas recourir à des tiers fournisseurs de services d’une manière qui entraverait la capacité de la Banque à superviser la conformité des FSP à la LAAPD. Cela semble faire écho à l’exigence prévue à la ligne directrice B-10, Gestion du risque lié aux tiers (la « ligne directrice B-10 ») du Bureau du surintendant des institutions financières (le « BSIF ») selon laquelle les institutions financières fédérales doivent exiger que leurs fournisseurs de services permettent au BSIF de réaliser un audit de leurs pratiques. Aux termes de la ligne directrice RORI, les FSP doivent aussi établir, mettre en œuvre et maintenir une approche officialisée et documentée pour évaluer les tiers fournisseurs de services, semblablement à l’exigence imposée aux institutions financières en vertu de la ligne directrice B-10 du BSIF.

Les attentes de la Banque relativement aux services confiés à des tiers sont détaillées dans la ligne directrice RORI et l’annexe qui énonce les attentes réglementaires connexes. Les FSP devraient envisager de signaler à la Banque que ces exigences ne devraient pas s’appliquer aux contrats de service signés avant l’entrée en vigueur de la LAAPD. 

Mandataires

Conformément au Règlement, les FSP doivent atténuer les risques associés aux relations avec les mandataires et traiter du recours à ces derniers dans leur cadre GR. À l’instar des attentes à l’égard des tiers fournisseurs de services, la ligne directrice RORI précise que les FSP ne doivent pas recourir à des mandataires d’une manière qui entraverait la capacité de la Banque à superviser la conformité des FSP à la LAAPD.

La ligne directrice RORI énonce des attentes détaillées quant au recours à des mandataires par les FSP. Elle précise notamment qu’un FSP doit évaluer un mandataire avant de conclure une entente avec lui. Si les résultats de l’évaluation indiquent que le mandataire ne répond pas ou ne sera pas en mesure de répondre aux critères du FSP, le FSP doit s’abstenir de conclure une entente avec lui ou se retirer de toute entente conclue avec lui. Aux termes de ces exigences, tous les FSP ayant recours à des mandataires devront ainsi réévaluer leurs relations avec ces derniers à la lumière de la LAAPD, ce qui pourrait représenter beaucoup de travail.

La protection des fonds des utilisateurs finaux

Le projet de ligne directrice proposé par la Banque à l’égard de la protection des fonds des utilisateurs finaux (la « ligne directrice PFUF ») présente des détails importants sur les exigences entourant la protection des fonds en vertu de la LAAPD. Aux termes de la LAAPD, les FSP qui détiennent des fonds pour le compte d’utilisateurs finaux doivent protéger ces fonds soit en les séparant et en les détenant en fiducie, soit en recourant à une assurance ou à une garantie. Comme la ligne directrice PFUF est particulièrement détaillée, voici les points saillants des questions qu’elle aborde :

• Conformément aux lignes directrices antérieures de la Banque, la ligne directrice PFUF précise que les FSP sont considérés comme détenant des fonds pour le compte d’un utilisateur final (et sont donc assujettis aux exigences en matière de protection des fonds) s’ils conservent ces fonds en attente afin qu’ils soient accessibles pour un éventuel retrait ou transfert. Un FSP n’est pas considéré comme détenant des fonds lorsqu’il préfinance une opération, réserve des fonds pour atténuer le risque de crédit ou reçoit des fonds d’un utilisateur final en même temps qu’il reçoit l’instruction de les transférer immédiatement.
• La ligne directrice PFUF précise clairement que, quelle que soit l’option de protection utilisée (c’est-à-dire, une fiducie ou une assurance/garantie), les fonds des utilisateurs finaux doivent être séparés des fonds des FSP et de tous les autres fonds que ces derniers détiennent, et qu’ils doivent être placés dans un compte distinct (le « compte de protection »). Si certains fonds sont liés à des services qui n’entrent pas dans le champ d’application de la LAAPD, ces fonds ne peuvent être conservés dans le compte de protection.
• Les fonds des utilisateurs finaux doivent être placés dans le compte de protection dès qu’ils ont été reçus ou au plus tard à la fin du jour ouvrable qui suit.
• Les FSP doivent faire le suivi de trois catégories de fonds d’utilisateurs finaux : le total des sommes détenues par les FSP au nom d’utilisateurs finaux, le montant total des fonds qui doivent être placés dans un compte de protection et le montant total des fonds d’utilisateurs finaux placés dans un compte de protection.
• La ligne directrice RFUF précise que lorsqu’un utilisateur final retire ou transfère ses fonds avant que le FSP puisse les placer dans un compte de protection dans le délai indiqué précédemment, ces fonds n’ont pas besoin d’être protégés. Néanmoins, le FSP doit les comptabiliser dans son registre des fonds à titre de fonds détenus pour des utilisateurs finaux. 
• En ce qui concerne l’exigence de détenir les fonds protégés en fiducie, la ligne directrice RFUF précise que les FSP doivent établir une fiducie expresse valide en vertu de la législation canadienne. Elles doivent également procéder aux vérifications diligentes nécessaires pour confirmer la validité juridique des fiducies. Dans les cas des arrangements complexes, les FSP doivent solliciter un avis juridique. La ligne directrice RFUF ne précise pas si les FSP sont censés être le fiduciaire de la fiducie et si ce rôle est compatible avec d’autres lois applicables. Par exemple, la Loi sur les sociétés de prêt et de fiducie de l’Ontario interdit aux entités autres que les sociétés de fiducie d’agir en tant que fiduciaires à l’égard des services qu’elles fournissent au public.
• En ce qui concerne le recours à une assurance ou à une garantie, la ligne directrice RFUF précise qu’un FSP doit tenir compte des fluctuations des fonds détenus dans le compte de protection et s’assurer que le montant couvert est toujours égal ou supérieur au total des fonds à protéger pour les utilisateurs finaux. Le FSP doit par ailleurs élaborer et appliquer une méthodologie à cet effet.
• La ligne directrice RFUF énonce également des attentes détaillées quant à l’obligation pour les FSP de maintenir un cadre de protection des fonds.

Déclaration des incidents

Aux termes de la LAAPD, les FSP enregistrés doivent aviser sans délai la Banque et certaines parties touchées dès qu’ils ont connaissance d’un incident ayant des répercussions importantes sur ces parties. Comme il est indiqué dans la LAAPD, ces parties sont les suivantes : 

• les utilisateurs finaux; 
• d’autres FSP exerçant des activités associées aux paiements de détail (qu’ils soient enregistrés ou non en vertu de la LAAPD); 
• une chambre de compensation d’un système de compensation et de règlement désigné en vertu de la Loi sur la compensation et le règlement des paiements. 

Par souci de commodité, le terme « parties touchées » est utilisé ci-après pour désigner les parties susmentionnées.

Bien que le Règlement décrive de façon générale le contenu requis de chacun de ces avis, la ligne directrice relative à la déclaration des incidents (la « ligne directrice DI ») de la Banque fournit certains détails supplémentaires concernant ce contenu et le processus de déclaration d’incidents. De plus, elle énonce les attentes de la Banque à l’égard de la conformité des FSP au Règlement.

Les FSP sont tenus de prendre des mesures immédiates pour enquêter sur tous les incidents, y répondre et les documenter, peu importe leurs répercussions. Malgré cela, la ligne directrice DI souligne que l’obligation de déclaration n’est engagée que lorsque le FSP a déterminé que les répercussions d’un incident sont importantes.

Répercussions importantes

La LAAPD définit le terme « incident » comme étant « [un] événement ou [une] série d’événements liés qui sont non planifiés par le [FSP] et qui entravent, perturbent ou interrompent – ou qui pourraient vraisemblablement entraver, perturber ou interrompre – une activité associée aux paiements de détail exécutée par le [FSP] ». Dans la ligne directrice DI, la Banque précise que de tels événements surviennent non seulement lorsque la confidentialité, l’intégrité ou la disponibilité des activités associées aux paiements de détail d’un FSP sont touchées, mais également lorsque les systèmes, les données ou les renseignements connexes sont touchés de façon similaire.

Bien que le cadre de la LAAPD exige que les FSP réagissent de façon particulière à un incident ayant des « répercussions importantes », il ne précise pas la distinction entre une répercussion importante et une répercussion non importante pour les parties touchées. La ligne directrice DI tente de clarifier cette incertitude en fournissant des exemples généraux d’incidents qui pourraient avoir des répercussions importantes, notamment :

• le fait que les fonds d’un utilisateur final détenus par un FSP aient été perdus ou deviennent indisponibles avant leur retrait ou leur transfert, que ces fonds aient été volés ou soient inaccessibles pour d’autres raisons;
• l’interruption ou le ralentissement des activités associées aux paiements de détail d’un FSP pendant huit heures ou plus (une interruption ou un ralentissement survient lorsqu’une tâche, un processus ou un système est en panne, ce qui empêche un ou plusieurs utilisateurs finaux d’avoir accès à ces activités ou touche un autre FSP ou une chambre de compensation); voici quelques exemples d’incidents susceptibles d’avoir de telles répercussions : 
  • des cyberattaques
  • la perte du service hébergeant l’infrastructure ou du centre de données; 
  • la perte d’un tiers;
  • une défaillance technologique;
• le fait que le FSP détenant des fonds d’utilisateurs finaux fasse l’objet d’une procédure d’insolvabilité, aux termes du Règlement;
• le fait que les renseignements confidentiels d’un utilisateur final, d’un FSP ou d’une chambre de compensation soient consultés ou communiqués sans autorisation, ce qui entraîne ou crée un risque réel de tort important pour les parties touchées (le FSP doit évaluer le caractère sensible des renseignements atteints, ainsi que la probabilité que ces renseignements ont été ou seront utilisés à mauvais escient); voici quelques exemples de torts importants : 
  • l’humiliation ou les lésions corporelles;
  • l’atteinte à la réputation ou la perte d’emploi, d’affaires ou de possibilités professionnelles;
  • une perte financière ou des répercussions financières, telles que des effets négatifs sur le dossier de crédit;
  • la perte de biens;
• les incidents qui compromettent l’intégrité des activités associées aux paiements de détail d’un FSP, y compris les incidents qui compromettent les composantes essentielles d’une activité de paiement, telles que les registres et les relevés d’opérations (les erreurs de traitement des opérations, le mauvais acheminement des fonds, le détournement d’instructions relatives à un transfert électronique de fonds et le calcul incorrect à l’étape de la compensation ou du règlement sont également des incidents susceptibles d’avoir des répercussions importantes).

Déclaration d’incidents

Délai

En vertu de la LAAPD, les FSP doivent aviser sans délai la Banque et les parties touchées dès qu’ils ont connaissance d’un incident ayant des répercussions importantes sur ces parties. La ligne directrice DI précise que « sans délai » s’entend d’au plus tard dans les 24 heures suivant le moment où l’on détermine qu’il s’agit d’un incident important. Si un incident n’atteint pas les seuils d’importance lorsqu’il est détecté pour la première fois, mais que son importance augmente au fil du temps, il doit être déclaré sans délai à la suite de l’atteinte des seuils d’importance, mais au plus tard dans les 24 heures suivant le moment où les seuils sont atteints. 

Avis d’incident à transmettre à la Banque

S’appuyant sur les exigences de déclaration énoncées dans le Règlement, la ligne directrice DI comprend des détails supplémentaires relatifs à la description que doivent faire les FSP des incidents, notamment :

• la date et l’heure du début, de la détection et de la résolution de l’incident;
• la date et l’heure auxquelles il a été déterminé que l’incident est devenu important, si elles diffèrent de la date et de l’heure de la détection;
• la manière dont l’incident a été détecté;
• une description de l’incident qui comprend des détails supplémentaires au sujet du problème précis et les activités associées aux paiements de détail qui ont été touchées;
• des précisions sur l’ampleur des répercussions réelles ou estimées de l’incident sur les parties touchées (p. ex. le nombre d’utilisateurs finaux touchés);
• une description des mesures prises en réponse à l’incident.

En vertu de la LAAPD, la Banque peut exiger qu’un FSP produise un avis de suivi si elle estime que des informations supplémentaires sur un incident sont nécessaires ou doivent être communiquées à d’autres personnes physiques ou entités. Dans certains cas, un FSP peut être tenu d’envoyer plusieurs avis de suivi. 

Dans ces cas, l’arrêté imposant l’avis de suivi indiquera à qui cet avis doit être donné, quand et comment il doit être donné, et quels renseignements sont requis dans l’avis. Le contenu précis d’un avis de suivi dépendra de l’incident en question. 

Avis d’incident à transmettre aux parties touchées

En ce qui concerne les avis devant être transmis aux parties touchées, la ligne directrice DI réitère les exigences énoncées dans le Règlement, à savoir que le FSP doit aviser une partie touchée en utilisant les coordonnées les plus récentes de cette dernière si celle-ci lui a fourni ses coordonnées. De plus, le FSP sera tenu de publier un avis sur son site Web à l’intention des parties touchées pour lesquelles il ne dispose pas de coordonnées.

La ligne directrice DI apporte également des précisions sur les attentes de la Banque à l’égard des FSP tenus d’aviser les parties touchées. Par exemple :

• Les FSP sont invités à tenir à jour les coordonnées de leurs utilisateurs finaux ainsi que celles des FSP et des chambres de compensation avec lesquels ils entretiennent des liens;
• Comme pour les avis d’incident à transmettre à la Banque, les avis destinés aux parties touchées doivent être transmis à ces dernières sans délai, mais au plus tard 24 heures après la détection de l’incident;
• Les avis d’incident doivent être transmis directement aux parties touchées; la Banque estime que les avis publiés uniquement sur les médias sociaux ne sont pas considérés comme des avis appropriés.

La ligne directrice DI précise aussi que les FSP qui sont eux-mêmes des parties touchées doivent aviser leurs utilisateurs finaux si ces derniers subissent également des répercussions importantes. 

Le contenu de l’avis est essentiellement similaire à celui envoyé à la Banque, à quelques exceptions près. Par exemple, il n’est pas nécessaire d’y inclure les détails relatifs à la manière par laquelle le FSP a détecté l’incident. Toutefois, les FSP sont tenus d’énoncer les mesures correctives que peuvent prendre les parties touchées pour atténuer les effets négatifs de l’incident. 

Autres obligations en matière de déclaration

La ligne directrice DI indique que les obligations en matière de déclaration des FSP pourraient ne pas être limitées à celles qui sont énoncées dans le cadre de la LAAPD. Par exemple, les FSP peuvent avoir des obligations supplémentaires à titre d’adhérents à une chambre de compensation. Une chambre de compensation peut exiger que les FSP fournissent des avis d’incident selon différentes circonstances. Elle peut choisir de demander à un FSP de fournir des avis d’incidents aux termes du cadre de la LAAPD ou, pour le même incident, exiger que les FSP suivent un processus de déclaration différent. De plus, un incident pourrait également entraîner des obligations de déclaration en vertu des lois fédérales ou provinciales sur la protection des renseignements personnels. Que les FSP soient tenus ou non de produire des avis supplémentaires, la ligne directrice DI précise que le respect de ces autres obligations ne dispense pas les FSP de leurs obligations de déclaration aux termes de la LAAPD.

Bien que les obligations en matière de réponse aux incidents et de déclaration qui sont prévues au cadre de la LAAPD ne soient pas suffisamment détaillées, les types d’incidents identifiés dans la ligne directrice DI comme ayant des répercussions importantes possibles sont préoccupants. Cela s’avère particulièrement du fait que la ligne directrice DI ne présente aucunement l’éventail des répercussions que la Banque considérerait comme « importantes » dans la liste des divers incidents. 

Par exemple, la Banque note que les erreurs de traitement des opérations ou le mauvais acheminement des fonds pourraient être considérés comme des incidents ayant des répercussions importantes. Or, la ligne directrice DI ne précise pas les répercussions que pourraient avoir ces erreurs sur diverses parties. Les erreurs isolées de traitement des opérations pourraient-elles être considérées comme un incident qui déclenche une obligation de déclaration auprès de la Banque? Ou le seuil d’importance est-il franchi lorsque les erreurs de traitement deviennent de nature systématique? De plus, bien que la protection des fonds des utilisateurs finaux soit une pierre angulaire de la LAAPD, les FSP sont-ils censés déclarer à la Banque tout incident où des fonds d’utilisateurs finaux sont volés aux FSP eux-mêmes? Ou les FSP doivent-ils prendre à leur compte tous les cas de vol, y compris les cas où un utilisateur final perd ses identifiants d’accès ou est victime de fraude? 

Dans sa forme actuelle, la ligne directrice DI tient compte de la gravité comme facteur uniquement dans le contexte d’une atteinte à des renseignements confidentiels et d’une évaluation d’un tort important. Il serait utile que le facteur de la gravité soit détaillé de cette manière dans l’ensemble de la ligne directrice DI. En l’absence d’une analyse plus détaillée de l’importance, les FSP pourraient devoir signaler une vaste gamme d’irrégularités tant à la Banque qu’aux parties potentiellement touchées.

Avis de changement important ou d’activité nouvelle

Enfin, la ligne directrice sur les avis de changement important ou d’activité nouvelle (la « ligne directrice CIAN ») de la Banque énonce les attentes de cette dernière à l’égard des exigences en matière d’avis prévues à la LAAPD et au Règlement. 

La LAAPD et le Règlement exigent que les FSP avisent la Banque au moins cinq jours ouvrables avant que le FSP « apporte un changement important à la manière dont il exécute une activité associée aux paiements de détail ou qu’il en exécute une nouvelle ». Aux termes de la LAAPD, « constitue un changement important le changement dont on peut raisonnablement prévoir qu’il aura un effet important sur les risques opérationnels ou sur la manière dont les fonds des utilisateurs finaux sont protégés ».

La ligne directrice CIAN présente plusieurs exemples de changements qui pourraient être considérés comme importants et qui, par conséquent, entraîneraient l’obligation de produire un avis. Toutefois, comme c’est le cas pour la ligne directrice DI, la ligne directrice CIAN comporte des incohérences relativement à l’application d’un seuil d’importance. Bien que la LAAPD prévoie qu’un changement sera considéré comme important s’il entraîne des répercussions importantes sur les risques opérationnels des FSP ou sur la façon dont les fonds des utilisateurs finaux sont protégés, seulement quelques exemples donnés dans la ligne directrice sont caractérisés par un facteur d’importance. Ces changements comprennent le fait de conclure, de modifier ou de résilier une entente avec un tiers fournisseur de services, le fait d’apporter des modifications à une technologie, ainsi que le fait d’adopter une nouvelle technologie.

Les exemples qui ne sont pas caractérisés par un facteur d’importance comprennent le fait de confier une activité liée à l’exécution d’une activité associée aux paiements de détail à un tiers fournisseur de services, ou de rapatrier une telle activité, ainsi que le fait de commencer à avoir recours à des mandataires, ou de cesser complètement d’y avoir recours, pour l’exécution d’activités associées aux paiements de détail. Cela donne à penser que la Banque s’attend à être avisée de tous tels changements, même s’ils sont négligeables.

La ligne directrice CIAN précise que les modifications de nature administrative ne seraient généralement pas considérées comme ayant des répercussions importantes (p. ex. la mise à jour des coordonnées dans un plan de réponse aux incidents). Cependant, conformément aux exigences prévues à la LAAPD, les FSP doivent aviser la Banque dès qu’ils modifient des renseignements qu’ils ont fournis à cette dernière dans le cadre du processus d’enregistrement.

La ligne directrice CIAN précise également que le travail de la Banque n’est pas d’approuver ni de refuser les changements que les FSP veulent apporter à leurs activités associées aux paiements de détail, mais si elle prend connaissance, dans le cadre d’une évaluation ultérieure, qu’un changement entraîne un écart de conformité de la part d’un FSP, celui-ci devra alors remédier à la situation.

Pour en savoir davantage, communiquez avec :

ou un autre membre de notre groupe Réglementation des services financiers.