Réglementation des paiements de détail au Canada : La Loi sur les activités associées aux paiements de détail est arrivée

Comme il était prévu et comme il a été annoncé le 30 avril 2021 dans le Budget 2021 : Une relance axée sur les emplois, la croissance et la résilience, le gouvernement fédéral a publié le projet de loi C-30, qui renferme notamment une ébauche de la Loi sur les activités associées aux paiements de détail (la « LAAPD »), qui était attendue depuis longtemps. S’il est vrai que c’est dans le détail du règlement d’application que résideront les éléments les plus importants, il est quand même possible de se faire une bonne idée de ceux-ci en examinant les dispositions du projet de LAAPD.

Le nouveau régime réglementaire des paiements, qui sera régi par la Banque du Canada (la « Banque »), est novateur en ce qu’il établit le premier cadre réglementaire destiné aux fournisseurs de services de paiement de détail au Canada. 

I.          CHAMP D’APPLICATION

La LAAPD précise à qui elle s’applique, mais surtout à qui elle ne s’applique pas.

D’abord, la LAAPD s’applique « à l’égard de toute activité associée aux paiements de détail qui est exécutée par un fournisseur de services de paiement qui a un établissement au Canada ». Elle s’applique également à l’égard de toute activité associée aux paiements de détail qui est exécutée pour un utilisateur final se trouvant au Canada par un fournisseur de services de paiement qui n’a pas d’établissement au Canada et qui offre des activités associées aux paiements de détail à l’intention des personnes physiques ou entités se trouvant au Canada. Une « activité associée aux paiements de détail » est définie comme étant une fonction de paiement (terme défini) exécutée relativement à un transfert électronique de fonds (terme également défini) en monnaie canadienne ou étrangère ou « au moyen d’une unité qui respecte les critères prévus par règlement ». Cette définition laisse entendre que la LAAPD pourrait s’appliquer aux opérations dans des monnaies numériques.

Le passage précisant que le fournisseur de services visé « offre des activités associées aux paiements de détail à l’intention des personnes physiques ou entités se trouvant au Canada » est semblable au libellé de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « LRPCFAT ») pour ce qui est de l’exigence selon laquelle les entreprises de services monétaires étrangères doivent être inscrites au Canada. À cet égard, CANAFE (le Centre d’analyse des opérations et déclarations financières du Canada, soit l’organisme de réglementation des entreprises de services monétaires en vertu de la LRPCFAT) interprète le fait de se livrer à la fourniture de services « à l’intention » des personnes se trouvant au Canada comme incluant les entreprises de marketing et de publicité ciblant des Canadiens, les entreprises ayant un nom de domaine « .ca » et les entreprises inscrites dans un registre des entreprises canadiennes. Parmi les autres critères pris en considération pour déterminer si des activités sont offertes « à l’intention » de personnes se trouvant au Canada, mentionnons le fait d’offrir des produits et des services en dollars canadiens, de chercher à obtenir la rétroaction de clients canadiens et de décrire des services comme étant offerts au Canada. 

Comme prévu, la LAAPD s’applique aux activités associées aux paiements qui sont exécutées pour un « utilisateur final ». Les utilisateurs finaux comprennent les clients qui sont des personnes physiques ou des entités et qui ont recours à un fournisseur de services de paiement en qualité de payeurs ou de bénéficiaires. Ainsi, le champ d’application de la LAAPD s’étend au-delà de la protection des consommateurs. 

II.         FOURNISSEURS DE SERVICES DE PAIEMENT (« FSP »)

La LAAPD s’applique, sous réserve des exclusions dont il est question ci-après, aux « fournisseurs de services de paiement », définis comme incluant les personnes qui exécutent des « fonctions de paiement » dans le cadre d’un service ou d’une activité commerciale qui n’est pas accessoire à un autre service ou à une autre activité commerciale. Cette définition exclurait les personnes qui exécutent des « fonctions de paiement » qui sont accessoires à leur activité principale, et qui n’offrent pas de fonctions de paiement dans le cadre d’un service à part entière, mais plutôt des fonctions de paiement qui sont corollaires des services qu’elles offrent. Par exemple, un transfert électronique de fonds effectué par un prêteur qui finance un prêt serait vraisemblablement considéré comme une activité accessoire associée à une fonction de paiement. L’interprétation du terme « accessoire » constituera le point tournant pour déterminer si un fournisseur de service de paiement est assujetti à la LAAPD. Il s’agit d’une question qui nécessitera des directives en matière d’interprétation.

III.        FONCTIONS DE PAIEMENT

La LAAPD est principalement axée sur ceux qui fournissent des « fonctions de paiement ». Une fonction de paiement est définie dans la loi comme suit :

• la fourniture ou la tenue d’un compte détenu au nom d’un ou de plusieurs utilisateurs finaux en vue d’un transfert électronique de fonds;

• la détention de fonds au nom d’un utilisateur final jusqu’à ce qu’ils soient retirés par celui-ci ou transférés;

• l’initiation d’un transfert électronique de fonds à la demande d’un utilisateur final;

• l’autorisation d’un transfert électronique de fonds ou la transmission, la réception ou la facilitation d’une instruction en vue d’un transfert électronique de fonds;

• la prestation de services de compensation ou de règlement.

Cette définition embrasse très large et englobe la plupart des types de transfert électronique de fonds. Les transferts électroniques de fonds sont définis comme incluant les placements, les transferts et les retraits de fonds effectués par voie électronique qui sont initiés par une personne physique ou une entité ou en son nom. Cette définition comprend non seulement les transferts électroniques standards, mais également les portefeuilles numériques, les produits à valeur stockée, les activités d’acquisition et les activités de facilitation de paiement.

IV.       EXCLUSIONS

L’application de la LAAPD comporte certaines exclusions importantes.

Plus précisément, la LAAPD ne s’applique pas aux transferts électroniques de fonds effectués à l’aide d’un instrument émis par un marchand, ou par un émetteur qui n’est pas un fournisseur de services de paiement et qui a conclu un accord avec un groupe de marchands, et qui permet au détenteur de l’instrument d’acquérir des biens ou des services uniquement du marchand ou du groupe de marchands. Voilà qui exclut les cartes prépayées et les cartes à valeur stockée en boucle fermée du champ d’application de la LAAPD, à la condition que ces cartes soient émises par un marchand ou une partie qui est exclue du champ d’application de la LAAPD (voir ci-après). Les retraits de fonds aux guichets automatiques bancaires (GAB) font également partie des exclusions, ainsi que les contrats financiers admissibles, tels que ceux-ci sont définis dans la Loi sur la Société d’assurance-dépôts du Canada. En outre, la LAAPD laisse entendre que d’autres exclusions pourraient être prévues par règlement.

Il existe aussi des exclusions qui s’appliquent aux activités associées aux paiements de détail entre des entités affiliées et aux paiements exécutés à l’aide d’un système visé à l’article 4 de la Loi sur la compensation et le règlement des paiements, ce qui exclut du même coup le nouveau système de virement électronique Interac visé.

De plus, certaines entités réglementées sont exclues du champ d’application de la LAAPD, comme les institutions financières réglementées fédérales et provinciales (banques, banques étrangères autorisées, sociétés d’assurances, sociétés de fiducie et de prêt, caisses de crédit), l’Association canadienne des paiements et le gouvernement d’une province qui accepte les dépôts. La LAAPD prévoit que le règlement pourrait ajouter d’autres exclusions.  

Lorsqu’une entité agit en tant que mandataire d’un fournisseur de services de paiement, celle-ci est également exclue du champ d’application de la LAAPD à l’égard des activités entreprises à ce titre.

V.        EXIGENCES DE LA LAAPD

En ce qui concerne les exigences présentées ci-après, il est à noter que la LAAPD précise que si une disposition d’une loi ou d’un règlement provincial ou fédéral est essentiellement similaire aux dispositions de la LAAPD qui s’appliquent à un FSP (ou à une catégorie de FSP), un arrêté peut être pris en vertu de la LAAPD qui exempterait le FSP d’une partie ou de la totalité de ces exigences.

1.         Gestion des risques opérationnels et réponse aux incidents

Un fournisseur de services de paiement est tenu d’établir, de mettre en œuvre et de maintenir, un cadre de gestion des risques et de réponse aux incidents en vue d’identifier et d’atténuer les risques opérationnels et de répondre aux incidents. 

Un « risque opérationnel » est défini comme étant l’un ou l’autre des risques ci-après pouvant entraver, perturber ou interrompre une activité associée aux paiements de détail exécutée par un fournisseur de services de paiement :

1. une défaillance des systèmes d’information ou du processus interne du fournisseur;

2. une erreur humaine;

3. une gestion défaillante ou inadéquate;

4. une perturbation causée par un événement externe.

Un « incident » est défini comme étant un événement ou une série d’événements liés qui sont non planifiés et qui entravent, perturbent ou interrompent — ou qui pourraient vraisemblablement entraver, perturber ou interrompre — une activité associée aux paiements de détail exécutée par le FSP.
Les exigences relatives au cadre de gestion des risques et de réponse aux incidents (le « cadre ») seront établies par règlement. La Banque a le droit d’examiner le cadre et de fournir une liste de mesures correctives. 

Si le FSP a connaissance d’un incident ayant des répercussions importantes sur :

1. un utilisateur final;

2. un FSP qui exécute une activité associée aux paiements de détail, que la LAAPD s’applique ou non à lui;

3. une chambre de compensation d’un système de compensation et de règlement désigné en vertu de la Loi sur la compensation et le règlement des paiements,

il doit en aviser sans délai cette personne ou cette entité ainsi que la Banque. Les modalités de l’avis requis seront établies par règlement.

2.         Protection des fonds

Lorsqu’une activité associée aux paiements de détail d’un FSP consiste à détenir des fonds d’un utilisateur final, le FSP est tenu de détenir les fonds de l’utilisateur final dans un compte en fiducie qui n’est utilisé qu’à cette fin, ou dans un compte qui n’est utilisé qu’à cette fin et qui est assuré ou garanti. Il existe des exceptions si le FSP est une institution qui accepte les dépôts et que les fonds de l’utilisateur final sont garantis ou assurés par un mécanisme d’assurance-dépôt. Les droits à la compensation sont interdits à l’égard de ces comptes.

3.         Fourniture de renseignements

Les FSP sont tenus de présenter à la Banque des rapports annuels contenant notamment des renseignements concernant la gestion de leurs risques opérationnels et leur cadre, des renseignements sur les comptes en fiducie et d’autres renseignements réglementaires concernant les fonds des utilisateurs finaux. Lorsque le FSP souhaite apporter un changement important à la manière dont il exécute une activité associée aux paiements de détail ou en ajouter une nouvelle, il doit en aviser la Banque à l’avance si le changement ou le nouveau service est raisonnablement susceptible d’avoir des répercussions importantes sur les risques opérationnels ou la manière dont les fonds des utilisateurs finaux sont protégés.

VI.       ENREGISTREMENT

Les FSP sont tenus d’être enregistrés auprès de la Banque avant d’exécuter une activité associée aux paiements de détail (une fois que la loi sera en vigueur).

Selon des modalités prévues par règlement, la demande d’enregistrement devra fournir des renseignements de base sur le FSP, ainsi que les renseignements additionnels suivants :

• le nombre — ou nombre estimatif — d’utilisateurs finaux pour lesquels le FSP prévoit fournir des services;

• une description du cadre du FSP;

• des renseignements concernant la manière dont le FSP protège les fonds des utilisateurs finaux;

• des renseignements concernant tout tiers fournisseur de services du FSP;

• une déclaration indiquant si le FSP est inscrit auprès de CANAFE;

• des renseignements concernant les services que le FSP exécute ou prévoit exécuter.

Il existe une obligation de s’assurer que les renseignements sont mis à jour en cas de changement.

Toutes les demandes seront soumises à un examen lié à la sécurité nationale et pourraient faire l’objet d’un refus s’il existe des raisons liées à la sécurité nationale ou pour d’autres raisons, notamment si la demande est incomplète ou contient des renseignements faux ou trompeurs. 

Une des principales raisons pour lesquelles une demande peut être refusée serait que le FSP n’est pas inscrit en tant qu’entreprise de services monétaires (« ESM ») en vertu de la LRPCFAT. Toutefois, les entités qui sont visées par la définition du terme FSP aux termes de la LAAPD ne sont pas toutes tenues d’être inscrites en tant qu’ESM auprès de CANAFE. Par exemple, les entreprises de traitement des paiements qui traitent les transactions par carte de crédit et par carte de débit pour le compte des marchands sont exemptées de l’obligation de s’inscrire en tant qu’ESM. De même, les personnes et les entités qui fournissent des services de paiement à l’égard des paiements de services publics, des services de paye et de commissions, des services de paiements d’hypothèque et de loyer et de certains services de paiements des frais de scolarité sont également exemptées de l’obligation de s’inscrire en tant qu’ESM. À cet égard, il semble y avoir un décalage entre les exigences de la LRPCFAT qui s’appliquent aux ESM et les obligations d’inscription aux termes de la LAAPD. Il est à espérer que ce problème de décalage sera réglé dans le règlement. Selon notre expérience, CANAFE ne permettra pas que certains types d’entreprise soient inscrits en tant qu’ESM s’il est d’avis que les activités de l’entreprise n’entrent pas dans le champ d’application de la LRPCFAT.

En rapport avec la LRPCFAT, la demande (ou l’inscription) d’un FSP peut également être refusée (ou révoquée) si un procès-verbal a été signifié au FSP en vertu de la LRPCFAT en raison d’une violation « grave » ou « très grave ». Bien peu de violations sont considérées comme étant « très graves ». D’après notre expérience, l’une des violations qui, en vertu de la LRPCFAT, est la plus courante est le cas où une entité réglementée omet de transmettre une déclaration d'opérations douteuses – une telle violation est considérée comme étant « très grave ». Comme le savent ceux qui connaissent bien la LRPCFAT, il arrive fréquemment que les entités réglementées et CANAFE ne s’entendent pas sur ce qui constitue une opération douteuse qui nécessite la transmission d’une déclaration. De plus, il arrive également très souvent que les politiques ou systèmes de gouvernance des entités réglementées par la LRPCFAT renferment des lacunes non voulues qui donnent lieu à ce que CANAFE considère une « violation très grave » de la LRPCFAT. En outre, les façons d’interpréter comment la LRPCFAT doit s’appliquer dans différentes circonstances sont souvent subjectives, et l’opinion de CANAFE à cet égard n’est pas toujours constante. En effet, il n’est pas rare qu’il soit considéré qu’une entité réglementée a commis une violation « très grave » et que celle-ci demeure néanmoins en conformité, à tous égards importants, avec les dispositions de la LRPCFAT. Enfin, aux termes des règlements révisés de la LRPCFAT, non seulement CANAFE a-t-il la capacité de déterminer si un FSP aurait dû transmettre une déclaration d’opérations douteuses dans certaines circonstances, mais il peut aussi évaluer subjectivement si le FSP a transmis la déclaration « aussitôt que possible », comme l’exige la LRPCFAT, ce qui en soi est une décision véritablement subjective. Étant donné la nature subjective des examens de CANAFE, cette disposition est très préoccupante.

VII.      APPLICATION DE LA LOI

La LAAPD prévoit de nombreux pouvoirs d’application. La Banque peut demander aux FSP de lui fournir des renseignements ou faire procéder à une vérification spéciale d’un FSP (à la charge de ce dernier) afin de s’assurer que celui-ci respecte la LAAPD. Elle peut conclure une transaction avec un FSP afin de mettre en œuvre des mesures visant à favoriser le respect de la loi par ce dernier ou émettre un arrêté de conformité.  

En outre, la LAAPD prévoit des sanctions administratives pécuniaires pour les FSP qui commettent des violations de la LAAPD. Tout comme dans le cas de la LRPCFAT, la LAAPD précise que le but des sanctions n’est pas de punir, mais de favoriser le respect de la loi. La prise des précautions voulues peut être invoquée dans le cadre de toute procédure en violation. Comme c’est également le cas de la LRPCFAT, si un FSP est réputé avoir commis une violation, la Banque est tenue de rendre cette information publique.

Il est à noter qu’en vertu de la LAAPD, un FSP est responsable des actions de ses employés, mandataires et tiers fournisseurs de services qui agissent dans le cadre de leur emploi, de leur mandat ou de leur contrat. C’est donc dire que les FSP devront prendre encore plus de précautions à l’égard de leurs fournisseurs de services.

VIII.     DISPOSITIONS TRANSITOIRES

Il existe des dispositions transitoires dans la LAAPD ainsi que des dispositions obligeant CANAFE à remettre un avis à la Banque à l’égard des FSP et du respect de la LRPCFAT par ceux-ci. 

De nombreuses questions demeurent en suspens. Il est à espérer que le règlement et les directives réglementaires sauront y répondre. Les FSP auront beaucoup à faire pour s’assurer d’être prêts lorsque le nouveau régime entrera en vigueur.

Pour en savoir davantage, communiquez avec :

Annick Demers                       514-982-4017
Jacqueline Shinfield               416-863-3290
Paul Belanger                        416-863-4284
Bonny Murray                         416-863-5272
Vladimir Shatiryan                  416-863-4154
 
ou un autre membre de notre groupe Réglementation des services financiers.