Loi sur les activités associées aux paiements de détail : Projet de règlement publié pour commentaires

2 Mar 2023 28 MIN DE LECTURE
Auteurs(trice)
Victoria Graham

Associée, Droit des sociétés, Toronto

Michelle Lally

Associée, chef du groupe de pratique du droit de la concurrence et de l’investissement étranger, Toronto

Elizabeth Sale

Associée, Services financiers et bancaires, Toronto

Simon Hodgett

Associé, Technologie, Toronto

Adam Kardash

Associé, Respect de la vie privée et gestion de l'information, Toronto

Matthew T. Burgoyne

Associé, Droit des sociétés, Calgary

Le 11 février 2023, le ministère des Finances a publié un projet de règlement (le projet de règlement) en vertu de la Loi sur les activités associées aux paiements de détail (la LAPD). Le projet de règlement propose des dispositions strictes et, dans certains cas, assez contraignantes, qui doivent s’appliquer à tous les fournisseurs de services de paiement (FSP), indépendamment de leur taille et de leur structure globales.

La Banque du Canada estime que 2 500 FSP au Canada seront soumis à ce nouveau règlement, dont environ 96,4 % seront considérés comme des petites entreprises dont les revenus approximatifs sont inférieurs à 5 millions de dollars. Il reste à voir si les principes de proportionnalité et de nécessité, tels qu’ils sont énoncés dans le résumé de l’étude d’impact de la réglementation accompagnant le projet de règlement (le résumé d’étude), seront respectés et si ces petites entreprises seront en mesure de réussir leur transition vers ce nouveau régime.

La période de consultation des parties prenantes pour le projet de règlement est d’une durée de 45 jours, et se terminera le 28 mars 2023. Les parties prenantes sont fortement encouragées à examiner le projet de règlement et à participer à la consultation, car celui-ci aura un impact majeur sur le réseau des systèmes de paiement au Canada.

Nous exposons ci-dessous certains des aspects essentiels du projet de règlement. Pour un aperçu de la LAPD, veuillez consulter notre précédente mise à jour Osler, disponible ici.

1. Priorité politique – sécurité nationale

Le résumé d’étude indique que le traitement des « des risques liés à la sécurité nationale posés par des FSP actuellement non réglementés » fait partie des objectifs politiques de la LAPD. Le projet de règlement établit les délais et les exigences en matière de renseignements pour appuyer le processus d’examen relatif à la sécurité nationale (ESN) établi en vertu de la LAPR.

La sécurité nationale est un domaine auquel le gouvernement canadien accorde désormais une attention accrue. La publication du projet de règlement fait suite à une série de développements récents visant à moderniser la réglementation relative aux ESN en vertu de la principale loi canadienne sur les investissements étrangers, la Loi sur Investissement Canada (LIC). En août 2022, le gouvernement a mis en place un régime d’avis volontaire pour les investissements étrangers sans contrôle en vertu de la LIC et a prolongé le délai durant lequel le Cabinet peut entamer un examen relatif à la sécurité nationale lorsqu’aucun avis volontaire n’est déposé. En octobre 2022, le gouvernement a annoncé la mise en place d’une politique décourageant les investissements dans le secteur des minéraux critiques du Canada par des entreprises étrangères appartenant à l’État ou influencées par l’État, et a ordonné à l’investisseur de se départir de trois investissements minoritaires dans le secteur. Le projet de loi C-34, Loi sur la modernisation de l’examen des investissements relativement à la sécurité nationale (projet de loi C-34) a été déposé le 7 décembre 2022. Il propose, entre autres, d’établir un régime obligatoire de dépôt d’avis préalable à la clôture en vertu de la LIC, applicable à un non-Canadien qui se propose d’acquérir (directement ou indirectement) une participation (en tout ou en partie) dans une entité qui a des activités, des employés ou des actifs au Canada, dans certains secteurs sensibles (à prescrire) où l’investisseur non canadien pourrait avoir accès à des renseignements techniques non publics importants ou à des actifs importants, ou en diriger l’usage, et qui acquerrait le pouvoir de nommer ou de désigner des personnes (comme des administrateurs ou des cadres supérieurs) de l’entité, ou qui aurait certains droits spéciaux acquis par prescription.

Outre la question généralement très sensible de l’accès aux données concernant les Canadiens et les entreprises canadiennes, la pertinence d’un contrôle de sécurité nationale pour le secteur des FSP peut également être liée à l’accès potentiel d’un FSP à une infrastructure de paiement essentielle. Le ministère des Finances et la Banque du Canada ont fait savoir que certains FSP inscrits conformément à la LAPD pourraient avoir accès au système de paiement en temps réel (SPTR), le nouveau système de paiement au Canada.

Cela peut également contribuer à expliquer pourquoi l’ESN en vertu de la LAPD concernera tous les FSP, qu’ils soient ou non sous contrôle canadien.

Compte tenu de l’introduction du projet de loi C-34, il est intéressant de savoir pourquoi le gouvernement envisage d’assujettir l’acquisition du contrôle d’une FSP par un investisseur non canadien à deux processus simultanés et distincts (et, comme nous le verrons plus loin, légèrement différents) d’ESN et d’approbation ministérielle. L’un d’eux sera assuré par le ministre de l’Innovation, des Sciences et de l’Industrie en vertu de la LIC, et l’autre sera assuré par le ministre des Finances en vertu de la LAPD.

2. Processus d’ESN proposé en vertu de la LAPD

Le processus d’ESN en vertu de la LAPD est déclenché lors de l’enregistrement initial, avant le dépôt d’une proposition d’acquisition du contrôle d’un FSP, ou avant certains changements prescrits à l’enregistrement d’un FSP. Le FSP introduit son application pour chacun de ces événements proposés par le dépôt de renseignements et de documents détaillés à la Banque du Canada dans le cadre de sa demande. Parmi les nombreuses exigences prescrites de la demande, on en compte 17 qui sont spécifiquement liées à l’ESN.

Une fois que la Banque du Canada certifie que la demande est complète, elle la soumet au ministère des Finances. En se fondant sur les renseignements contenus dans la demande, le ministère des Finances, au nom du ministre des Finances, dispose de 60 jours pour déterminer si la demande doit être soumise à un ESN en vertu de la LAPD. Si le ministre des Finances ordonne un ESN formel, le ministère des Finances en informe la Banque du Canada et celle-ci, à son tour, informe le demandeur de FSP au sujet de l’examen. Le ministre des Finances dispose alors de 180 jours à compter de la date à laquelle il décide que l’ESN est nécessaire pour l’effectuer, bien que ce délai puisse être prolongé à la discrétion du ministre des Finances. Le ministre des Finances peut exiger du demandeur des informations supplémentaires à tout moment au cours du processus. À l’issue de l’examen, le ministre des Finances peut approuver la demande, refuser purement et simplement l’enregistrement, imposer des conditions ou exiger un engagement. Un FSP peut demander une révision dans les 30 jours suivant la date à laquelle la Banque du Canada l’a informé de la décision du ministre des Finances. À l’exception de la possibilité de demander une révision de la décision du ministre des Finances, le calendrier du processus d’ESN en vertu de la LAPD et l’éventail des mesures qui peuvent être ordonnées par le ministre des Finances sont largement conformes au régime d’ESN prescrit par la LIC.

Prise de contrôle et questions relatives aux entreprises d’État

Un FSP doit demander et obtenir un nouvel enregistrement auprès de la Banque du Canada (y compris se soumettre à un nouvel ESN) avant la réalisation des trois événements suivants :

  • une « prise de contrôle » qui comprend l’acquisition du commandité d’une société en commandite, l’acquisition directe ou indirecte d’un tiers ou plus des actions avec droit de vote d’une société, ou des intérêts dans une entité non constituée en société qui leur donnent le droit de recevoir un tiers ou plus des bénéfices de l’entité ou un tiers ou plus de ses actifs en cas de liquidation, et qui remonte la chaîne des sociétés jusqu’au contrôle ultime du FSP;
  • une acquisition par une entreprise d’État, telle que définie dans la LIC, (i) du pouvoir de nommer une personne à la direction générale ou d’autres cadres supérieurs du FSP ou de son conseil d’administration, ou d’un organe similaire, (ii) si le FSP est une société, de tout droit de vote concernant l’élection de ses administrateurs, ou (iii) si la FSP est une entité autre qu’une société, de toute participation dans le FSP;
  • un changement dans le stockage ou le traitement de l’information par le FSP ou ses fournisseurs de services tiers dans un pays à l’extérieur du Canada, lequel n’était pas mentionné dans la plus récente demande d’inscription du FSP.

Bien que le projet de règlement s’appuie sur la définition d’entreprise d’État incluse dans la LIC, sa définition du concept de « l’acquisition du contrôle », différente de celle de la LIC, risque de créer une complexité réglementaire inutile. En outre, si les services de paiement sont identifiés par le gouvernement comme un secteur sensible en vertu du projet de loi C-34, comme nous l’avons vu plus haut, l’acquisition d’intérêts dans un FSP par un non‑Canadien serait soumise, en vertu de la LIC, à un ESN d’un niveau bien inférieur à celui d’une acquisition du contrôle, selon la définition prévue dans le projet de règlement.

Autres considérations

Outre les considérations relatives aux ESN (notamment le délai initial minimum de 60 jours et l’incertitude qui en résulte pour les investisseurs étrangers), les parties prenantes devraient examiner les implications élargies des seuils d’acquisition du contrôle proposés. Plus généralement, un changement du contrôle d’un intermédiaire financier canadien qui n’est pas assujetti à une réglementation prudentielle est défini en fonction du contrôle légal (c’est-à-dire la majorité simple) plutôt que du tiers des titres avec droit de vote de l’entité. Étant donné qu’un grand nombre des 2 500 FSP qui seront assujettis à la LAPD pourraient en être aux premiers stades de leur cycle de croissance, ce seuil – et les conséquences qui en découlent (c.-à-d. la perte de l’enregistrement si l’approbation préalable de la Banque du Canada n’est pas obtenue avant la clôture) – devra être considéré à la lumière des cycles de financement prévus. Il est possible, par exemple, qu’un FSP soit tenu d’obtenir plusieurs enregistrements en vertu de la LAPD au cours de son cycle de croissance, afin de se refléter les seuils proposés dans le projet de règlement.

À la lumière du risque qu’ils encourent de perdre leur enregistrement en vertu de la LAPD en raison d’un changement inconnu effectué par un tiers fournisseur de services au niveau des procédures de stockage ou du traitement de leurs informations, les FSP devraient également consulter attentivement leurs contrats de services tiers pour s’assurer qu’ils disposent de protections contractuelles appropriées.

3. Cadre de gestion des risques et de réponse aux incidents

Les FSP seront tenus d’établir, de mettre en œuvre et de maintenir un cadre de gestion des risques et de réponse aux incidents (cadre de gestion des risques) rigoureux énonçant, parmi ses objectifs :

  • celui de veiller à ce que le FSP puisse exécuter ses activités associées aux paiements de détail sans entrave, perturbation ou interruption, notamment en veillant à la disponibilité des systèmes, données et renseignements engagés dans l’exécution de ces activités;
  • celui de préserver l’intégrité et de la confidentialité de ces activités, systèmes, données et renseignements.

Le projet de règlement établit une liste détaillée des exigences prescrites qui doivent être incluses dans le cadre de gestion des risques, laquelle comprend l’identification des risques opérationnels auquel le FSP peut faire face et les processus et contrôles en place pour protéger ses activités de paiement de détail contre ces risques. Le cadre de gestion des risques doit également préciser les processus et les contrôles dont dispose le FSP pour déceler les anomalies et défaillances qui pourraient signaler des risques opérationnels émergents, ainsi qu’un plan de réponse aux incidents et un plan de rétablissement.

Parmi les autres exigences clés du cadre de gestion des risques, citons la nécessité de désigner un cadre dirigeant pour veiller à la conformité (semblable à l’obligation de désigner un agent responsable de la lutte contre le blanchiment d’argent en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes ) et un accès à des ressources humaines et financières suffisantes.

Notons que le projet de règlement exige qu’un FSP établisse et mette en œuvre une méthode de mise à l’essai personnalisée pour déceler toute lacune dans l’efficacité des processus et des contrôles prévus par le cadre de gestion des risques, et aussi pour en déceler les vulnérabilités. Bien qu’ils ne soient pas directement visés par la loi à l’heure actuelle, de nombreux FSP qui, par exemple, fournissent des services tiers à des entités réglementées telles que des banques ou d’autres institutions financières, ou qui sont soumis aux règles des réseaux de paiement, sont généralement tenus par contrat de se conformer aux normes de sécurité existantes relatives aux données (telles que SOC 2). La raison pour laquelle le ministère des Finances a déterminé qu’une norme plus prescriptive est nécessaire plutôt que d’accorder aux FSP la possibilité de s’appuyer sur les normes existantes, ainsi que la manière dont cela s’accorde avec le principe de nécessité articulé dans le résumé d’étude, est obscure.

Les FSP doivent revoir leur cadre de gestion des risques au moins une fois par an et effectuer des tests d’efficacité approfondis au moins tous les trois ans, ou avant d’apporter des modifications importantes à ses systèmes, politiques, procédures, processus ou contrôles. Les FSP qui bénéficient des services d’un auditeur interne ou externe doivent également procéder à un audit indépendant tous les trois ans.

La Banque du Canada a le pouvoir, en vertu de la LAPD, d’évaluer le cadre de gestion des risques d’un FSP et de prendre les mesures correctives qu’elle juge appropriées en fonction de cette évaluation.

Tiers fournisseurs de services

Dans son cadre de gestion des risques, un FSP sera tenu d’effectuer des évaluations opérationnelles détaillées de ses fournisseurs de services tiers au moins une fois par an, de même qu’avant de renouveler ses contrats de services tiers ou d’y apporter des modifications importantes. Un FSP doit évaluer, entre autres choses :

  • la capacité du tiers fournisseur de services à protéger les données et les renseignements obtenus du FSP ou en exécutant des services pour lui;
  • la sécurité des connexions du tiers fournisseur de services à destination et en provenance des systèmes du FSP;
  • les pratiques de gestion des risques du tiers fournisseur de services relatives aux services que celui-ci fournit au FSP.

Le projet de règlement ne prévoit aucun critère relatif à l’importance ou au caractère essentiel de ces exigences, de sorte que les mesures entreprises pour toutes les relations contractuelles pour s’y conformer pourraient être assez onéreuses.

Le projet de règlement exige également que les FSP incluent des renseignements précis dans leurs contrats avec des tiers. Dans le cadre de leur transition vers le cadre de gestion exigé en vertu de la LAPD, les FSP devront revoir, et éventuellement modifier, leurs contrats existants avec des tiers.

Rapport d’incidents

La LAPD exige qu’un FSP ayant connaissance d’un incident pouvant avoir des répercussions importantes sur un utilisateur final, un autre FSP ou une chambre de compensation, en informe cette personne ou entité et la Banque du Canada.

Le projet de règlement précise que l’avis à donner à la Banque du Canada pour le signalement d’un incident doit contenir des renseignements sur le FSP et sur une personne-ressource, une description de l’incident et de ses répercussions sur les utilisateurs finaux, sur d’autres FSP ou sur une chambre de compensation, ainsi que les mesures correctives à prendre pour répondre à l’incident.

L’avis visant les utilisateurs finaux, les autres FSP ou les chambres de compensation touchés doit être fourni à chaque personne ou entité ayant subi des répercussions importantes aux coordonnées les plus récentes, et doit être affiché sur le site Web du FSP si les coordonnées de chaque personne ou entité ayant subi des répercussions importantes ne sont pas disponibles. L’avis doit inclure le nom du FSP, une description de l’incident, y compris le moment auquel il a commencé, la nature des répercussions importantes qu’ont subies les personnes ou les entités, et toute mesure corrective pouvant être prise par les personnes ou les entités affectées.

Tout d’abord, il est nécessaire de remarquer que ces obligations de signalement et d’avis sont importantes et nécessiteront des cadres et des fonctions de vérification de la conformité rigoureux.

En outre, ni le libellé de la LAPD ni celui du projet de règlement n’indique clairement ce qui est considéré comme des « répercussions importantes », ni comment ces obligations sont censées interagir avec les obligations législatives et les normes réglementaires existantes. Étant donné la façon dont la réglementation de la LAPD est rédigée à l’heure actuelle, le chevauchement des seuils de déclenchement et des exigences en matière de délais, de contenu et de forme pourrait entraîner des contraintes excessives relativement au signalement et aux avis pour les FSP assujettis aux lois fédérales, albertaines ou québécoises sur la protection des renseignements personnels dans le secteur privé. Étant donné que le principe de nécessité énoncé dans le résumé d’étude vise à éliminer tout dédoublement ou chevauchement de la LAPD et des règlements existants, toute distinction d’importance entre la LAPD et la réglementation sur les avis et la déclaration de confidentialité du secteur privé doit être clairement établie, de manière à permettre aux sociétés d’adapter leurs mesures de conformité de façon appropriée. La confusion quant à l’interopérabilité de la LAPD et des régimes législatifs relatifs à la protection de la vie privée pourrait potentiellement entraîner des coûts administratifs et de conformité inutiles.

De plus, les institutions financières fédérales (IFF) doivent se conformer au régime de déclaration des incidents réglementaires du Bureau du surintendant des institutions financières (BSIF), qui exige une déclaration initiale dans les 24 heures (ou plus tôt, si possible). Les lignes directrices du BSIF sur le signalement des incidents liés à la technologie et à la cybersécurité énoncent les critères permettant de déterminer à quel moment un incident lié à la technologie ou à la cybersécurité doit faire l’objet d’un signalement, notamment lorsque l’incident a des « [c]onséquences importantes pour les autres IFF ou pour le système financier canadien » ou qu’il a des « [r]épercussions opérationnelles sur les systèmes, les infrastructures ou les données essentiels ». Les IFF doivent avoir des politiques et des procédures internes leur permettant de répondre aux incidents et les signaler.

Les banques sous réglementation fédérale, en tant qu’acteurs majeurs de l’écosystème des paiements, sont déjà soumises à ces règles prescriptives du BSIF en matière de déclaration et d’avis, et transmettent souvent leurs processus et politiques internes aux fournisseurs de services, parmi lesquels beaucoup sont des FSP soumis aux obligations distinctes de déclaration et d’avis de la LAPD. Encore une fois, il est difficile de savoir comment les obligations de la LAPD interagiront avec les règles du BSIF, et si les fournisseurs de services des IFF seront désormais assujettis à des exigences onéreuses et se chevauchant, à la suite d’un incident de sécurité. Par ailleurs, le chevauchement des exigences pour les IFF et les FSP pourrait causer de la confusion à un utilisateur final qui recevrait plusieurs avis pour un même incident.

4. Protection des fonds

La LAPD prévoit des exigences pour la protection des fonds, lesquelles s’appliquent à tous les FSP qui détiennent des fonds d’utilisateurs. En vertu de la LAPD, ces FSP peuvent satisfaire à ces exigences en :

  • détenant les fonds d’un utilisateur final en fiducie, dans un compte en fiducie qui n’est pas utilisé à d’autres fins;
  • détenant les fonds de l’utilisateur final dans un compte qui n’est pas utilisé à d’autres fins et détenir une assurance ou une garantie à l’égard des fonds, pour un montant égal ou supérieur au montant sur le compte;
  • détenant les fonds de l’utilisateur final tel que prescrit.

Le gouvernement n’a prescrit aucune autre méthode pour remplir ces obligations. Par conséquent, seules les options de compte en fiducie et d’assurance ou de garantie sont envisageables pour le moment. Le compte utilisé pour détenir les fonds de l’utilisateur final doit être ouvert auprès d’une institution financière canadienne qualifiée (ou d’une institution financière étrangère assujettie à une réglementation prudentielle similaire).

Les polices d’assurance et les garanties doivent être fournies par un tiers non affilié et le produit de l’assurance ou de la garantie ne peut faire partie de la succession générale du FSP. Le produit doit être payable au profit des utilisateurs finaux dès que possible après le début de l’insolvabilité, telle que définie dans le projet de règlement. La Banque du Canada devrait être informée au moins 30 jours avant toute annulation ou résiliation de l’assurance ou de la garantie, ce qui peut s’avérer difficile, car le FSP n’en a pas le plein contrôle.

Étant donné qu’il s’agit d’un nouveau régime, il sera intéressant de voir si un marché de l’assurance se développera pour servir cette industrie.

Le projet de règlement exige également que les FSP détenant des fonds d’utilisateurs finaux établissent un cadre distinct de protection des fonds, afin de garantir que les utilisateurs finaux auront un accès fiable à leurs fonds sans délai, et prévoyant que les fonds, ou le produit de l’assurance ou de la garantie, le cas échéant, soient versés en cas d’insolvabilité du FSP. Le cadre de protection des fonds doit définir les systèmes, les politiques, les processus, les procédures et les contrôles du FSP de manière à répondre aux différents critères proposés dans le projet de règlement, lesquels sont assez détaillés et prescriptifs. Le cadre de protection des fonds doit également cibler les risques juridiques et opérationnels susceptibles d’entraver les objectifs généraux établis dans le cadre, et identifier le cadre dirigeant qui sera chargé de superviser les pratiques de protection du FSP, entre autres exigences. Comme pour le cadre de gestion des risques, des obligations d’audit indépendant, de correction, de tenue de dossiers et de déclaration s’appliquent.

5. Obligations de déclaration et d’avis relatives aux changements importants ou aux activités nouvelles

La LAPD exige que les FSP soumettent un rapport annuel à la Banque du Canada; le projet de règlement prévoit quels renseignements devront être inclus dans ces rapports, de même que le moment de les soumettre, sous quelle forme et de quelle manière.

Le projet de règlement exige que le rapport annuel soit soumis au plus tard le 31 mars de l’année civile suivante. Les exigences en matière de rapports prévues dans le projet de règlement sont complètes et détaillées, mais à un niveau plus élevé, les FSP doivent décrire :

  • les modifications apportées au cadre de gestion des risques et aux plans de mise en œuvre et de maintien;
  • les détails concernant les examens, les tests, les essais indépendants et les évaluations effectués au cours de l’année visée;
  • les ressources humaines et financières disponibles pour maintenir le cadre de gestion des risques;
  • les risques opérationnels recensés, et tous les incidents que le FSP a connus au cours de l’année visée.

En vertu du projet de règlement, des informations détaillées sont également requises concernant les comptes, les assurances et les garanties liées à la protection des fonds des utilisateurs finaux, le cadre de protection des fonds et tout examen indépendant. Il existe également des exigences de déclaration très détaillées concernant l’ubiquité et l’interconnexion du FSP, la valeur des fonds détenus et les opérations de paiement de détail effectuées, lesquelles varient quelque peu selon que le FSP est canadien ou étranger.

Les FSP sont également tenus d’aviser la Banque du Canada au moins cinq jours ouvrables avant d’effectuer un changement important à la manière dont ils exécutent une activité de paiements de détail, ou avant qu’ils en exécutent une nouvelle. Les changements sont « importants » si l’on peut raisonnablement prévoir qu’ils auront un effet important sur les risques opérationnels ou sur la manière dont les fonds des utilisateurs finaux sont protégés. L’avis doit comprendre des renseignements sur la raison du changement, l’évaluation par le FSP de l’incidence du changement sur les risques opérationnels ou les pratiques de protection des fonds. L’avis doit être accompagné de copies du cadre de gestion des risques modifié du FSP et de tout autre document créé ou modifié par le FSP et reflétant le changement apporté ou la nouvelle activité.

Globalement, en se fondant sur le projet de règlement, les FSP peuvent s’attendre à ce que le processus de déclaration exige d’eux beaucoup de temps, de dépenses et de ressources en personnel. Il sera impératif que les FSP assujettis au régime tiennent soigneusement à jour tous les registres nécessaires afin de garantir que le processus de déclaration annuelle se déroule aussi bien que possible.

6. Non-application de la LAPD

Le projet de règlement n’envisage que des exemptions à la loi limitées pour compléter celles prévues à l’heure actuelle par la LAPD :

  • Activité associée aux paiements de détail accessoire : La LAPD définit le fournisseur de services de paiement comme une « personne physique ou entité qui exécute une fonction de paiement dans le cadre d’un service ou d’une activité commerciale qui n’est pas accessoire à un autre service ou à une autre activité commerciale ». La portée de cette disposition dépend en grande partie du sens donné au terme « accessoire », ce qui est d’une importance capitale pour déterminer le champ d’application de la LAPD. Le projet de règlement précise qu’une activité de paiement de détail qui est accessoire à une autre activité de service ou d’entreprise est exemptée, à moins que cet autre service ou cette autre activité commerciale consiste en l’exécution d’une fonction de paiement. Cependant, la signification exacte du terme « accessoire » n’est toujours pas claire. Le résumé d’étude indique que la Banque du Canada élaborera des lignes directrices qui donneront des directives supplémentaires aux FSP concernant la portée et les exclusions de la Loi. La Banque du Canada bénéficierait probablement de commentaires supplémentaires sur cet aspect.
  • Courtiers en valeurs mobilières : Le projet de règlement décrit, pour l’application de l’alinéa 6b) de la LAPD, l’opération relative à des valeurs mobilières. Une opération relative à des valeurs mobilières est une transaction prévue par règlement si elle est effectuée par un courtier en valeurs mobilières assujetti aux lois canadiennes sur les valeurs mobilières (ou exempté de l’application de la réglementation).
  • SWIFT : La Society for Worldwide Interbank Financial Telecommunication (SWIFT) est décrite comme une entité exemptée de l’application de la LAPD.

7. Application aux actifs numériques

La définition de l’« activité de paiement de détail » dans la LAPD englobe le transfert électronique de fonds en monnaie fiduciaire, bien qu’elle laisse une certaine latitude aux règlements pour que d’autres « unités prévues par règlement » puissent être incluses. Bien que la Banque du Canada ait déjà indiqué que les actifs numériques pourraient être assujettis au champ d’application du projet de règlement, celui-ci ne prévoit aucune autre « unité » à cette fin. Par conséquent, il semble que les plateformes de négociation de cryptoactifs (PNC) et les autres entreprises basées sur des actifs numériques ne seront pas soumises à la LAPD pour le moment, sauf si elles participent à certains services de paiement ou de transfert en monnaie fiduciaire, dans la mesure où ces activités ne sont pas « accessoires ». Compte tenu de l’exemption pour les négociants en valeurs mobilières mentionnée ci-dessus, il semble que les PNC seront également exemptées de l’application de la LAPD, à condition qu’elles négocient des « contrats de négociation de cryptoactifs » et qu’elles soient enregistrées en tant que courtiers en valeurs mobilières. Conformément aux directives publiées par les Autorités canadiennes en valeurs mobilières (ACVM), un contrat de négociation de cryptoactifs est un accord entre la PNC et son utilisateur dans lequel la PNC se voit accorder la garde des cryptomonnaies de l’utilisateur. Le personnel des ACVM est d’avis que les contrats de négociation de cryptoactifs visent des valeurs mobilières, des produits dérivés ou les deux, et que par conséquent, toute PNC négociant ce type de contrat est tenue de s’inscrire en tant que courtier en valeurs mobilières, conformément à la législation canadienne sur les valeurs mobilières.

8. Sanctions en cas de non-conformité

La LAPD énonce les pouvoirs d’exécution de la Banque du Canada en vertu de la LAPD, ainsi que le droit d’un FSP de demander une révision et d’en appeler d’une décision.

Sont ajoutés au projet de règlement les détails de l’application de la loi, y compris les dispositions de la LAPD et du projet de règlements qui sont désignées comme des violations et qui pourraient donner lieu à un avis de violation ou à une sanction administrative pécuniaire (SAP).

La structure générale des SAP sera familière aux entreprises de services monétaires actuellement assujetties aux règles du CANAFE, mais les montants seuils sont considérablement plus élevés que ceux prévus par ce régime : le projet de règlement prévoit un maximum d’un million de dollars par infraction pour les infractions graves, et un maximum de 10 millions de dollars par infraction pour les infractions très graves. Deux ou plusieurs violations graves liées à la même obligation seraient reclassées en tant que violation très grave.

En général, les SAP seront déterminées en fonction du préjudice causé ou qui aurait pu être causé par la violation, de l’historique de conformité du FSP au cours des cinq années précédentes et du degré d’intention ou de négligence impliqué dans la violation.

Les violations relatives aux obligations réglementaires de divulgation (p. ex., la présentation de rapports annuels) ne seraient pas qualifiées comme graves ou très graves. Au lieu de cela, les SAP seront déterminées en fonction de la durée de la violation.

La Banque du Canada devrait fournir d’autres directives concernant le calcul des SAP.

9. Frais d’enregistrement

Le projet de règlement fixe les droits d’enregistrement des FSP à 2 500 $ pour la première année d’entrée en vigueur de la LAPD. Cette redevance sera ajustée en fonction de l’inflation au cours des années suivantes, selon la formule établie dans le projet de règlement. Ces frais d’enregistrement s’ajoutent aux frais annuels évalués pour chaque FSP dans le cadre du mandat de recouvrement des frais de la LAPD.

Prochaines étapes Les entreprises qui s’attendent à être assujetties à la nouvelle réglementation en tant que FSP peuvent s’attendre à rencontrer des obstacles de taille alors qu’elles cherchent à satisfaire aux lourdes exigences relatives au traitement de l’enregistrement, à l’ESN, aux risques opérationnels, à la gestion des incidents, à la déclaration et à la tenue de registres qui s’appliqueront en vertu de la LAPD et de la version finale du règlement. Les FSP sont encouragés à examiner de près le projet de règlement et à faire part de leurs commentaires à la Banque du Canada, notamment s’ils considèrent que des directives supplémentaires pourraient être utiles.