CANAFE : mise à jour des directives sur la vérification de l’identité en vertu des règlements sur la lutte contre le recyclage des produits de la criminalité & le financement des activités terroristes

Auteur(s) : Joanna Fine, Elizabeth Sale, Lori Stein

Le 26 novembre 2019

Contexte

En juillet 2019, le gouvernement du Canada a mis la dernière main aux modifications  apportées au règlement pris en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (les Modifications). L’un des principaux changements au régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes (régime de LRPC/FAT) apportés par les Modifications est que les entités déclarantes sont dorénavant autorisées à accepter des copies numériques de documents d’identité avec photo provenant de sources de documents fiables, pourvu qu’ils soient « authentiques, valides et à jour ». Avant l’entrée en vigueur des Modifications, les documents de vérification de l’identité devaient être « originaux, valides et à jour »; il n’était donc pas permis d’accepter des photocopies ou des documents numérisés.

Le passage du critère « original » à celui d’« authentique » visait à moderniser le régime de LRPC du Canada et à alléger le fardeau de conformité des entités déclarantes. Cependant, les Méthodes pour vérifier l’identité de personnes et pour confirmer l’existence de personnes morales ou d’entités autres qu’une personne morale, mises à jour et publiées par le Centre d’analyse des opérations et déclarations financières du Canada (le CANAFE) le 14 novembre 2019 (les Directives mises à jour), confirment que les entités déclarantes doivent utiliser un logiciel ou d’autres technologies pour vérifier l’authenticité des copies électroniques de documents d’identité avec photo délivrés par un gouvernement.

Pour les entités déclarantes, cela signifie que le processus sera allégé, mais que le coût de la conformité sera accru. Par ailleurs, les Directives mises à jour soulèvent des enjeux concernant la collecte des données et le respect de la vie privée qui devront être examinés soigneusement.

Mise à jour des Directives du CANAFE sur la vérification de l’identité

Les Directives mises à jour modifient les trois méthodes que les entités déclarantes peuvent utiliser pour vérifier l’identité de personnes physiques : i) la méthode du document d’identité avec photo délivré par le gouvernement; ii) la méthode liée au dossier de crédit; iii) la méthode à processus double.

Les Directives mises à jour fournissent des éclaircissements sur le processus de confirmation de l’existence de personnes morales et d’autres entités, mais elles n’apportent pas de changements importants aux directives publiées antérieurement par le CANAFE.

Document d’identité avec photo délivré par un gouvernement

Avant les Modifications, le document d’identité original avec photo devait être examiné en présence de la personne physique dont on vérifiait l’identité. Les Directives mises à jour expliquent la façon dont une entité déclarante doit vérifier l’identité d’une personne physique, qu’elle soit physiquement présente ou non, lorsqu’elle examine une copie électronique « authentique, valide et à jour » de son document d’identité avec photo. 

D’après les Directives mises à jour, « authentique » signifie, en ce qui concerne une pièce d’identité avec photo servant à vérifier l’identité, qu’elle est véritable et a le caractère d’un document original, crédible et fiable, délivré par l’autorité compétente (gouvernement fédéral, provincial ou territorial).

Les Directives mises à jour précisent que lorsqu’une entité déclarante procède à la vérification de l’identité d’une personne physiquement présente, elle peut établir l’authenticité, la validité et le caractère actuel d’une pièce d’identité avec photo en examinant les caractéristiques du document original et ses éléments de sécurité (ou tout signe distinctif, selon ce qui s’applique) ainsi que la date d’expiration, en présence de la personne concernée. Ce processus est compatible avec les pratiques courantes de vérification de l’identité en personne physique.

Les Directives mises à jour prescrivent un nouveau processus de vérification de l’identité d’une personne qui n’est pas physiquement présente,  soit en effectuant cette vérification au moyen d’une technologie qui permet de déterminer l’authenticité d’une copie électronique d’un document d’identité avec photo délivré par un gouvernement.

Ainsi, les Directives mises à jour précisent qu’une personne physique peut se faire demander de numériser son document d’identité avec photo au moyen de l’appareil photo d’un téléphone cellulaire. L’entité déclarante utiliserait ensuite une technologie pour comparer les caractéristiques du document d’identité avec photo aux caractéristiques connues pour ce type de document (par exemple, dimension, texture, espacement des caractères, lettrage en relief, présentation et graphisme), aux éléments de sécurité du document (par exemple, hologrammes, code à barres, bande magnétique, filigrane et puce électronique intégrée) et aux ses signes distinctifs de celui-ci (par exemple, logos et symboles) afin d’établir l’authenticité du document.

En plus de vérifier l’authenticité du document d’identité avec photo, l’entité déclarante doit confirmer que la personne qui le présente est celle dont le nom et la photo figurent sur le document d’identité. Cela peut être réalisé au moyen d’une séance de clavardage vidéo en direct avec la personne, ou en demandant à la personne de prendre un égoportrait avec l’appareil photo de son téléphone cellulaire, puis, grâce à l’application de reconnaissance faciale, comparer les caractéristiques de l’égoportrait à la photo du document d’identité authentifié. Les Directives mises à jour précisent que les étapes de la vérification de l’authenticité du document et de la vérification de l’identité de la personne physique (soit s’assurer que le nom et le visage de la personne correspondent au nom et à la photo figurant dans le document) ne doivent pas nécessairement se dérouler simultanément.

La capacité de recourir aux technologies pour confirmer l’identité d’une personne sera fort utile aux entités déclarantes, mais elles devront s’assurer que les questions de vie privée et de sécurité seront prises en compte et traitées en conséquence. Ce qui implique le contrôle préalable de tiers fournisseurs de services offrant les technologies et l’engagement contractuel de ces tiers à se conformer aux obligations relatives au respect de la vie privée et à la sécurité.

De plus, les entités déclarantes voudront s’assurer que l’utilisation de technologies est par ailleurs conforme à leurs obligations aux termes des lois canadiennes sur le respect de la vie privée, notamment en limitant la collecte de renseignements personnels à ceux qui sont nécessaires à la vérification et en limitant la consignation de renseignements à ceux exigés par les Directives mises à jour.

Les entités déclarantes devront aussi s’assurer de se conformer à leurs obligations relatives au consentement prescrites par la législation en matière de protection de la vie privée et par les autres lois applicables au Canada. Par exemple, au Québec, la Loi concernant le cadre juridique des technologies de l’information exige que les entités obtiennent le consentement exprès de la personne physique avant de vérifier son identité au moyen d’un processus permettant de consigner des données biométriques et prévoit des obligations d’inscription qui sont susceptibles de s’appliquer. 

Même si le recours aux technologies de vérification de l’identité peut aider les entités déclarantes à satisfaire à leurs obligations aux termes des lois canadiennes sur le respect de la vie privée, des mesures devraient être prises pour assurer que les enjeux relatifs à la protection de la vie privée et à la sécurité soient traités adéquatement. Les autorités de réglementation canadiennes en matière de protection de la vie privée ont émis des directives sur la collecte et l’utilisation de documents d’identité avec photo délivrés par un gouvernement et sur le recours à des applications de reconnaissance faciale. Les entités auraient avantage à passer en revue ces directives, avant d’adopter une nouvelle technologie.

Méthode liée au dossier de crédit

Les Directives mises à jour n’apportent pas de modifications importantes au processus sous-jacent à la méthode liée au dossier de crédit. Cependant, elles apportent des éclaircissements utiles aux entités déclarantes : celles-ci sont autorisées à exercer un certain pouvoir discrétionnaire, en cas de légères divergences entre le nom ou l’adresse fournis par une personne physique et les renseignements contenus dans son dossier de crédit. Les entités déclarantes sont autorisées à déterminer que, si le nom ou l’adresse contient une coquille sans grande incidence, les renseignements concordent tout de même avec ceux que la personne physique a fournis; cependant, si la divergence porte sur la date de naissance, l’entité déclarante conclurait vraisemblablement que les renseignements ne concordent pas. De même, il est fait mention dans les Directives mises à jour que même si l’adresse fournie par une personne physique n’est pas son adresse principale figurant dans son dossier de crédit, mais plutôt son adresse secondaire, cette dernière peut satisfaire aux exigences de l’entité déclarante en matière de concordance des renseignements.

De plus, les Directives mises à jour prévoient explicitement qu’un vérificateur peut obtenir d’un tiers fournisseur des renseignements valides et à jour concernant le dossier de crédit de la personne physique.  Un tiers fournisseur est une entité autorisée par une agence d’évaluation du crédit canadienne à fournir l’accès à des renseignements sur les dossiers de crédit canadiens. 

Méthode à processus double

La méthode à processus double permet aux entités déclarantes d’établir l’identité d’une personne en vérifiant, auprès de deux sources fiables, les renseignements tels que le nom et l’adresse, le nom et la date de naissance, ou le nom et l’existence d’un compte financier. Les documents ou les renseignements examinés dans le cadre de cette méthode ne doivent plus être nécessairement des « originaux ». Selon la méthode à processus double, les entités déclarantes peuvent se fier à un document d’identité avec photo délivré par un gouvernement, ainsi que sur des relevés de compte, des lettres, des certificats, des formulaires et d’autres documents fournis par des sources fiables, comme les gouvernements (par exemple, un relevé d’impôt foncier, un relevé de prestations gouvernementales ou une facture de service public) et les entités financières (par exemple, un relevé de compte bancaire, un relevé de carte de crédit ou de prêt, un chèque traité ou un relevé de microdépôt). Fait intéressant, les Directives mises à jour n’établissent pas que les entités déclarantes doivent utiliser un logiciel d’authentification ou d’autres technologies pour vérifier l’authenticité d’un document d’identité avec photo ou tout autre type de document autorisé dans le cadre de la méthode à processus double.  

Les Directives mises à jour prescrivent que les renseignements sur un compte recueillis dans le cadre de la méthode à processus double doivent porter sur un compte de dépôt, un compte de crédit ou un compte de prêt et que le numéro de compte ou un autre numéro associé aux renseignements ne doit pas être tronqué ou caviardé. De plus, les Directives mises à jour précisent, tout comme dans le cas de la méthode liée au dossier de crédit, que, malgré des coquilles sans importance dans le nom et l’adresse, une entité déclarante peut conclure que les renseignements figurant dans un document fourni dans le cadre de la méthode à processus double concordent avec les renseignements fournis par la personne concernée, mais que les erreurs de concordance dans la date de naissance ne sont pas acceptables.

Confirmation de l’existence d’entités et de personnes morales

Les Directives mises à jour n’apportent pas de modifications importantes aux directives précédentes du CANAFE en ce qui concerne le processus de confirmation de l’existence d’une personne morale ou d’une autre entité. Elles fournissent cependant certains éclaircissements aux entités déclarantes; par exemple, afin de confirmer l’existence d’une personne morale, un vérificateur peut s’appuyer sur le certificat de constitution de celle-ci.

Politiques et procédures

Les Directives mises à jour prescrivent que les politiques et procédures d’une entité déclarante doivent décrire les processus qu’elle utilisera pour chaque méthode de vérification de l’identité, y compris la façon dont elle s’assurera que les renseignements sont valides et à jour. Dans le contexte de l’utilisation de documents d’identité avec photo, les politiques et procédures doivent décrire les étapes à suivre pour vérifier si le nom et la photo sont ceux de la personne physique concernée (par exemple, en sa présence ou au moyen d’une séance de clavardage vidéo ou d’un égoportrait). Dans le cas de l’utilisation de la méthode liée au dossier de crédit, les politiques et procédures doivent préciser les mesures à prendre lorsque les renseignements ne sont pas valides et à jour (par exemple, utiliser une méthode différente ou interrompre l’opération).

Comment pouvons-nous vous aider?

Nous nous ferons un plaisir de conseiller votre entreprise concernant la mise en œuvre des Directives mises à jour. Veuillez communiquer avec Lori Stein, Elizabeth Sale, Jennifer Jeffrey ou Joanna Fine, ou avec votre principal conseiller juridique chez Osler.