Government of Canada / Gouvernement du Canada
Symbole du gouvernement du Canada

Recherche

Règlement sur les activités associées aux paiements de détail (DORS/2023-229)

Règlement à jour 2024-11-26; dernière modification 2024-11-01 Versions antérieures

Gestion des risques et réponse aux incidents (suite)

La disposition suivante n'est pas en vigueur.

Note marginale :Mises à l’essai

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement établit et met en oeuvre une méthode de mise à l’essai, afin de déceler toute lacune dans l’efficacité des systèmes, politiques, procédures, processus, contrôles et autres moyens prévus par le cadre de gestion des risques et de réponse aux incidents et aussi afin d’en déceler les vulnérabilités, qui respecte les exigences suivantes :

    • La disposition suivante n'est pas en vigueur.

      a) elle est en proportion aux répercussions que pourraient avoir une entrave ou une perturbation à ses activités associées aux paiements de détail — ou une interruption de ces activités — sur les utilisateurs finaux et les autres fournisseurs de services de paiement, compte tenu notamment de son ubiquité et interconnexion, tels qu’ils sont démontrés par les renseignements visés au sous-alinéa 19(4)a)(i) ou à l’alinéa 19(4)b), selon le cas;

    • La disposition suivante n'est pas en vigueur.

      b) elle est conçue compte tenu à la fois des risques opérationnels ayant une forte probabilité de survenir et de ceux ayant des répercussions graves;

    • La disposition suivante n'est pas en vigueur.

      c) elle prévoit l’utilisation d’essais qui :

      • (i) engagent les intéressés internes pertinents, notamment les mandataires, les décideurs et les personnes physiques responsables de la gestion des risques opérationnels du fournisseur de services de paiement,

      • (ii) tiennent compte de la dépendance du fournisseur de services de paiement aux intéressés externes, notamment les tiers fournisseurs de services;

    • La disposition suivante n'est pas en vigueur.

      d) elle prévoit la fréquence et la portée des mises à l’essai;

    • La disposition suivante n'est pas en vigueur.

      e) elle prévoit la mise à l’essai avant que ne soit apportée toute modification importante à ces systèmes, politiques, procédures, processus, contrôles ou autres moyens — ou à une opération du fournisseur de services de paiement qui y toucherait — afin d’en évaluer les effets.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Tenue de document

    (2) Le fournisseur de services de paiement tient, pour chaque essai effectué, un document où sont consignés les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) la date de l’essai;

    • La disposition suivante n'est pas en vigueur.

      b) la méthode utilisée, notamment une explication de la manière dont l’essai est conforme aux exigences des sous-alinéas (1)c)(i) et (ii);

    • La disposition suivante n'est pas en vigueur.

      c) le résultat de l’essai;

    • La disposition suivante n'est pas en vigueur.

      d) toute mesure corrective prise ou à prendre.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport au cadre dirigeant

    (3) Le fournisseur de services de paiement veille à ce que ce document soit fourni au cadre dirigeant visé au sous-alinéa 5(1)d)(ii), s’il y en a un.

La disposition suivante n'est pas en vigueur.

Note marginale :Examen indépendant

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement qui dispose d’un auditeur interne ou externe veille à ce que, au moins une fois tous les trois ans, une personne physique compétente qui n’a pas participé à l’établissement, à la mise en oeuvre ou au maintien du cadre de gestion des risques et de réponse aux incidents effectue un examen indépendant des éléments suivants :

    • La disposition suivante n'est pas en vigueur.

      a) la conformité de chaque élément de son cadre de gestion des risques et de réponse aux incidents aux exigences applicables de l’article 5;

    • La disposition suivante n'est pas en vigueur.

      b) la conformité du fournisseur de services de paiement à chaque exigence prévue aux articles 6 à 9.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Tenue de document

    (2) Le fournisseur de services de paiement obtient un document où sont consignés le nom de l’examinateur — ou, si l’examinateur a effectué l’examen pour le compte d’une entité autre que le fournisseur de services de paiement, le nom de cette entité —, la date de l’examen et une description de la portée, de la méthodologie et des résultats de l’examen.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport

    (3) Le fournisseur de services de paiement fait rapport de toute lacune ou vulnérabilité décelée par l’examen indépendant ainsi que de toutes mesures correctives au cadre dirigeant visé au sous-alinéa 5(1)d)(ii), s’il y en a un.

La disposition suivante n'est pas en vigueur.

Note marginale :Avis d’incident : Banque

  • La disposition suivante n'est pas en vigueur.

     (1) L’avis d’incident qui doit être fourni à la Banque, en application de l’article 18 de la Loi, lui est fourni électroniquement par le système électronique fourni par la Banque à cette fin.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Contenu

    (2) L’avis d’incident contient les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) le nom du fournisseur de services de paiement et les noms, numéro de téléphone et adresse électronique de la personne physique avec qui on peut communiquer au sujet de l’incident;

    • La disposition suivante n'est pas en vigueur.

      b) une description de l’incident et de ses répercussions importantes sur les personnes physiques ou entités visées aux alinéas 18(1)a) à c) de la Loi;

    • La disposition suivante n'est pas en vigueur.

      c) les mesures prises par le fournisseur de services de paiement pour répondre à l’incident.

La disposition suivante n'est pas en vigueur.

Note marginale :Avis d’incident : personne physique ou entité

  • La disposition suivante n'est pas en vigueur.

     (1) L’avis d’incident qui doit être fourni, en application de l’article 18 de la Loi, à l’une des personnes physiques ou entités visées à l’un des alinéas 18(1)a) à c) de la Loi est :

    • La disposition suivante n'est pas en vigueur.

      a) fourni à chaque personne physique ou entité ayant subi des répercussions importantes, aux dernières coordonnées fournies par la personne physique ou entité au fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) affiché sur le site Web du fournisseur de services de paiement s’il n’a pas les coordonnées de chaque personne physique ou entité ayant subi des répercussions importantes.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Contenu

    (2) L’avis d’incident contient les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) le nom du fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) une description de l’incident, y compris le moment auquel il a commencé, et la nature des répercussions importantes qu’ont subi les personnes physiques ou entités;

    • La disposition suivante n'est pas en vigueur.

      c) toute mesure corrective pouvant être prise par les personnes physiques ou entités.

Protection des fonds

La disposition suivante n'est pas en vigueur.

Note marginale :Comptes

 Le fournisseur de services de paiement qui détient des fonds d’un utilisateur final conformément aux alinéas 20(1)a) ou c) de la Loi veille à ce que le compte dans lequel ils sont détenus soit fourni par une entité visée à l’un des alinéas 9a) à d) ou f) à h) de la Loi ou auprès d’une institution financière étrangère qui est sujette à une réglementation imposant des normes équivalentes en matière de fonds propres, liquidité, gouvernance, surveillance et gestion du risque à celles qui s’appliquent à ces entités.

La disposition suivante n'est pas en vigueur.

Note marginale :Assurance ou garantie

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement qui détient des fonds d’un utilisateur final conformément à l’alinéa 20(1)c) de la Loi veille à ce que l’assurance ou la garantie visée à cet alinéa soit fournie par une entité qui satisfait aux conditions suivantes :

    • La disposition suivante n'est pas en vigueur.

      a) elle est visée à l’un des alinéas 9a) à h) de la Loi ou elle est une institution financière étrangère sujette à une réglementation imposant des normes en matière de fonds propres, liquidité, gouvernance, surveillance et gestion du risque équivalentes à celles qui s’appliquent à ces entités;

    • La disposition suivante n'est pas en vigueur.

      b) elle n’est pas affiliée au fournisseur de services de paiement au sens de l’article 3 de la Loi.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Conditions

    (2) Le fournisseur de services de paiement veille à ce que :

    • La disposition suivante n'est pas en vigueur.

      a) le produit de l’assurance ou de la garantie ne fasse pas partie des actifs du fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) le produit de l’assurance ou de la garantie soit payable aux utilisateurs finaux dès que possible après un événement visé au paragraphe (3);

    • La disposition suivante n'est pas en vigueur.

      c) l’assurance ou la garantie ait effet malgré l’insolvabilité du fournisseur de services de paiement, tout compromis ou arrangement avec ses créanciers ou l’extinction des obligations du fournisseur de services de paiement envers les utilisateurs finaux, notamment le compromis, l’arrangement ou l’extinction des obligations découlant d’une restructuration;

    • La disposition suivante n'est pas en vigueur.

      d) la Banque soit avisée au moins trente jours à l’avance de toute annulation ou résiliation de l’assurance ou de la garantie.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Événements

    (3) Pour l’application de l’alinéa (2)b), les événements sont :

    • La disposition suivante n'est pas en vigueur.

      a) l’introduction par le fournisseur de services de paiement de toute procédure d’insolvabilité à son égard;

    • La disposition suivante n'est pas en vigueur.

      b) le consentement du fournisseur de services de paiements à une procédure d’insolvabilité introduite à son égard;

    • La disposition suivante n'est pas en vigueur.

      c) l’écoulement de trente jours après la date d’introduction d’une procédure d’insolvabilité à son égard par une autre personne physique ou entité, à moins que cette personne ou entité se soit désistée ou que la procédure d’insolvabilité ait été rejetée.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Définition de procédure d’insolvabilité

    (4) Pour l’application du paragraphe (3), procédure d’insolvabilité s’entend de toute procédure, action, demande, affaire ou procédure judiciaire relativement à la faillite, l’insolvabilité, la liquidation ou la dissolution intentée à l’égard d’un fournisseur de services de paiement, en vertu de toute règle de droit applicable.

La disposition suivante n'est pas en vigueur.

Note marginale :Cadre de protection des fonds

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement qui détient des fonds d’un utilisateur final établit, applique et tient à jour, par écrit, un cadre de protection des fonds conforme aux exigences des paragraphes (2) à (5) et ayant pour objectif de veiller à ce que :

    • La disposition suivante n'est pas en vigueur.

      a) les utilisateurs finaux ont un accès fiable et sans délai aux fonds détenus par lui;

    • La disposition suivante n'est pas en vigueur.

      b) si un événement visé au paragraphe 14(3) survient à l’égard du fournisseur de services de paiement, ces fonds, ou le produit de l’assurance ou de la garantie visée à l’alinéa 20(1)c) de la Loi, sont payés aux utilisateurs finaux dès que possible.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Contenu

    (2) Le cadre de protection des fonds décrit les systèmes, politiques, processus, procédures, contrôles et tout autre moyen mis en place pour rencontrer les objectifs, notamment les moyens suivants :

    • La disposition suivante n'est pas en vigueur.

      a) les moyens à l’égard de l’utilisation par le fournisseur de services de paiement d’ententes relatives à la liquidité et à l’égard de sa détention de fonds d’utilisateurs finaux sous forme d’actifs sûrs et liquides;

    • La disposition suivante n'est pas en vigueur.

      b) l’exigence de tenir un registre des fonds, qui est recensé et classé en tant qu’actif conformément à l’alinéa 5(1)e), comprenant :

      • (i) les noms et coordonnées de chaque utilisateur final dont les fonds sont détenus par le fournisseur de services de paiement,

      • (ii) la somme des fonds de chaque utilisateur final détenus par le fournisseur de services de paiement à la fin de chaque jour;

    • La disposition suivante n'est pas en vigueur.

      c) à l’égard de l’objectif prévu à l’alinéa (1)b) :

      • (i) les moyens mis en place pour s’assurer que l’administrateur ou le syndic d’insolvabilité ou de faillite, toute autre personne nommée pour mener à bien la procédure d’insolvabilité au sens du paragraphe 14(4), ou l’assureur ou le fournisseur de la garantie, selon le cas, pourra :

        • (A) accéder aux dossiers et documents pertinents relatifs aux fonds des utilisateurs finaux,

        • (B) joindre les utilisateurs finaux aussitôt que possible,

        • (C) déceler toute erreur ou lacune dans le registre des fonds des utilisateurs finaux du fournisseur de services de paiement et composer avec toute insuffisance de fonds à rembourser à chaque utilisateur final,

      • (ii) la procédure à suivre pour restituer les fonds aux utilisateurs finaux,

      • (iii) le rôle de tout mandataire ou tiers fournisseur de services du fournisseur de services de paiement dans la facilitation de l’exécution des tâches visées aux sous-alinéas (i) et (ii).

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Risque juridique et risque opérationnel

    (3) Le cadre de protection des fonds recense les risques juridiques et les risques opérationnels qui pourraient entraver la réalisation des objectifs prévus au paragraphe (1) et les mesures prises pour atténuer ces risques, compte tenu, notamment :

    • La disposition suivante n'est pas en vigueur.

      a) des pays et subdivisions politiques où se trouvent le fournisseur de services de paiement, ses utilisateurs finaux, les fournisseurs des comptes dans lesquels le fournisseur de services de paiement détient des fonds d’utilisateurs finaux et, le cas échéant, ses assureurs ou fournisseurs de garantie;

    • La disposition suivante n'est pas en vigueur.

      b) de l’identité des fournisseurs de comptes du fournisseur de services de paiement et, le cas échéant, celle de ses assureurs ou de ses fournisseurs de garantie;

    • La disposition suivante n'est pas en vigueur.

      c) des modalités de l’arrangement en fiducie ou en fidéicommis entre le fournisseur de services de paiement et l’utilisateur final, le cas échéant;

    • La disposition suivante n'est pas en vigueur.

      d) des modalités des polices d’assurance ou des garanties du fournisseur de services de paiement, le cas échéant.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Mention du cadre dirigeant

    (4) Le cadre de protection des fonds mentionne, sauf si le fournisseur de services de paiement est une personne physique, le nom du cadre dirigeant responsable de la surveillance des pratiques de protection des fonds des utilisateurs finaux et responsable de la conformité du fournisseur de services de paiement aux articles 13 à 17 du présent règlement et au paragraphe 20(1) de la Loi.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Approbation

    (5) Le cadre de protection des fonds est approuvé :

    • La disposition suivante n'est pas en vigueur.

      a) par le cadre dirigeant, s’il y en a un, au moins une fois par année et après toute modification importante qui y est apportée;

    • La disposition suivante n'est pas en vigueur.

      b) par le conseil d’administration, s’il y en a un, au moins une fois par année.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Examen du cadre

    (6) Le fournisseur de services de paiement examine le cadre de protection des fonds afin d’en assurer la conformité aux paragraphes (2) à (5) et l’efficacité dans la réalisation des objectifs mentionnés au paragraphe (1). Cet examen a lieu :

    • La disposition suivante n'est pas en vigueur.

      a) au moins une fois par année;

    • La disposition suivante n'est pas en vigueur.

      b) après tout changement aux moyens, parmi ceux prévus aux alinéas 20(1)a) à c) de la Loi, utilisés par le fournisseur de services de paiement pour protéger les fonds des utilisateurs finaux;

    • La disposition suivante n'est pas en vigueur.

      c) après tout changement, parmi ceux ci-après, dont on peut raisonnablement prévoir qu’il aura un effet important sur la manière dont les fonds des utilisateurs finaux sont protégés :

      • (i) l’ouverture ou la fermeture d’un compte dans lequel le fournisseur de services de paiement détient des fonds d’utilisateurs finaux,

      • (ii) le changement de l’entité auprès de qui le fournisseur de services de paiement détient un tel compte,

      • (iii) le changement des modalités de l’accord relatif au compte,

      • (iv) si le fournisseur de services de paiement détient des fonds conformément à l’alinéa 20(1)c) de la Loi, le changement d’assureur ou de fournisseur de garantie ou des modalités de la police d’assurance ou de la garantie.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Document

    (7) Le fournisseur de services de paiement tient un document où sont consignés la date, la portée, la méthodologie et les résultats de chaque examen.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport et approbation

    (8) Il veille à ce que les résultats de chaque examen fassent l’objet d’un rapport au cadre dirigeant visé au paragraphe (4), s’il y en a un, pour approbation par ce dernier.

 

Date de modification :