Règlement sur les activités associées aux paiements de détail (DORS/2023-229)

Note marginale :Définitions

1 Les définitions qui suivent s’appliquent au présent règlement.

cadre dirigeant

cadre dirigeant S’agissant d’une entité, l’une ou l’autre des personnes suivantes :

• La disposition suivante n'est pas en vigueur.

  a) un membre de son conseil d’administration qui est aussi son employé à temps plein;

• La disposition suivante n'est pas en vigueur.

  b) le premier dirigeant, directeur de l’exploitation, président, directeur de la gestion du risque, secrétaire, trésorier, contrôleur de gestion, directeur financier, comptable en chef, auditeur en chef ou actuaire en chef, ou la personne qui exerce des fonctions semblables à celles qu’exerce normalement le titulaire de l’un de ces postes;

• La disposition suivante n'est pas en vigueur.

  c) tout autre dirigeant relevant directement du conseil d’administration, du premier dirigeant ou du directeur de l’exploitation. (senior officer)

Loi

Loi La Loi sur les activités associées aux paiements de détail. (Act)

Note marginale :Opérations relatives à des valeurs mobilières

2 Est prévue, pour l’application de l’alinéa 6b) de la Loi, l’opération relative à des valeurs mobilières si celle-ci est effectuée par une personne physique ou une entité réglementée — ou exemptée de la réglementation — au titre d’une législation canadienne en valeurs mobilières au sens du Règlement 14-101 sur les définitions, avec ses modifications successives, des Autorités canadiennes en valeurs mobilières.

Note marginale :Activité associée aux paiements de détail accessoire

3 Est prévue, pour l’application de l’alinéa 6d) de la Loi, l’activité associée aux paiements de détail exécutée dans le cadre d’un service ou d’une activité commerciale qui est accessoire à un autre service ou à une autre activité commerciale, à moins que cet autre service ou cette autre activité commerciale consiste en l’exécution d’une fonction de paiement.

Note marginale :SWIFT

4 Est visée pour l’application de l’alinéa 9k) de la Loi, la Society for Worldwide Interbank Financial Telecommunication (SWIFT).

Note marginale :Cadre

• La disposition suivante n'est pas en vigueur.

  5 (1) Le cadre de gestion des risques et de réponse aux incidents requis par le paragraphe 17(1) de la Loi est établi par écrit et remplit les exigences suivantes :

  • La disposition suivante n'est pas en vigueur.

    a) il énonce, parmi ses objectifs :

    • (i) celui de veiller à ce que le fournisseur de services de paiement puisse exécuter ses activités associées aux paiements de détail sans entrave, perturbation ou interruption, notamment en veillant à la disponibilité des systèmes, données et renseignements engagés dans l’exécution de ces activités,

    • (ii) celui de préserver l’intégrité et la confidentialité de ces activités, systèmes, données et renseignements;

  • La disposition suivante n'est pas en vigueur.

    b) il établit des cibles de fiabilité mesurables et clairement définies pour la capacité d’exécuter des activités associées aux paiements de détail et pour la disponibilité des systèmes, données et renseignements visés au sous-alinéa a)(i), ainsi que des indicateurs à utiliser pour mesurer la réalisation de chaque objectif visé à l’alinéa a);

  • La disposition suivante n'est pas en vigueur.

    c) il recense les ressources humaines et financières du fournisseur de services de paiement nécessaires pour la mise en oeuvre et le maintien du cadre, ce qui comprend, à l’égard des ressources humaines, leurs compétence et formation et les mesures à prendre par le fournisseur de services de paiement pour assurer l’accès fiable et opportun à ces ressources, qu’elles soient internes ou externes;

  • La disposition suivante n'est pas en vigueur.

    d) il répartit les rôles et les responsabilités à l’égard de sa mise en oeuvre et de son maintien — tant dans le cours normal des affaires que lors de la détection d’incidents, de la réponse à ceux-ci et du rétablissement après un incident — notamment, à moins que le fournisseur de services de paiement ne soit une personne physique, la responsabilité :

    • (i) d’assumer un rôle d’examen critique et de surveillance relativement à l’exercice de ces rôles et responsabilités,

    • (ii) à un cadre dirigeant, de surveiller la conformité du fournisseur de services de paiement aux articles 6 à 10 du présent règlement et au paragraphe 17(1), à l’article 18 et au paragraphe 19(3) de la Loi et de surveiller des décisions importantes relatives à l’identification des risques opérationnels et des incidents, à leur atténuation et aux mesures prises en réponse à ces risques et incidents;

  • La disposition suivante n'est pas en vigueur.

    e) il recense les actifs — notamment les systèmes, les données et les renseignements — et processus opérationnels engagés dans l’exécution des activités associées aux paiements de détail du fournisseur de services de paiement, et classe ces actifs selon leur sensibilité et leur importance à l’exécution de ces activités;

  • La disposition suivante n'est pas en vigueur.

    f) il recense les risques opérationnels auxquels le fournisseur de services de paiement est sujet, notamment les risques liés aux éléments ci-après, et décrit leurs causes éventuelles :

    • (i) la continuité des activités et la résilience,

    • (ii) la cybersécurité,

    • (iii) la fraude,

    • (iv) la gestion des données et des renseignements,

    • (v) les technologies de l’information,

    • (vi) les ressources humaines,

    • (vii) la conception et la mise en oeuvre de processus,

    • (viii) la conception et la mise en oeuvre des produits,

    • (ix) la gestion du changement,

    • (x) la sécurité physique des personnes et des actifs,

    • (xi) les tiers;

  • La disposition suivante n'est pas en vigueur.

    g) il décrit les systèmes, politiques, procédures, processus, contrôles et tout autre moyen que le fournisseur de services de paiement doit avoir en place pour atténuer ses risques opérationnels et protéger les actifs et processus opérationnels visés à l’alinéa e);

  • La disposition suivante n'est pas en vigueur.

    h) il décrit les systèmes, politiques, procédures, processus, contrôles et tout autre moyen que le fournisseur de services de paiement doit avoir en place pour assurer le contrôle continu des éléments ci-après, afin de déceler rapidement les incidents, les anomalies pouvant signaler un risque opérationnel émergent et les défaillances dans la mise en oeuvre du cadre :

    • (i) des activités associées aux paiements de détail du fournisseur de services de paiement,

    • (ii) des systèmes, des données et des renseignements qui sont engagés dans l’exécution de ces activités,

    • (iii) des systèmes, politiques, procédures, processus, contrôles et autres moyens visés à l’alinéa g);

  • La disposition suivante n'est pas en vigueur.

    i) il établit un plan de réponse aux incidents — concernant notamment le rétablissement après les incidents —, relatif notamment aux incidents qui mettent en cause un mandataire ou un tiers fournisseur de services ou qui sont décelés par un de ceux-ci, qui remplit les exigences suivantes :

    • (i) il comporte des politiques, des processus et des procédures clairement définis pour sa mise en oeuvre et pour l’augmentation de l’intensité de la réponse à l’incident, compte tenu de la procédure de réponse aux incidents des tiers fournisseurs de services du fournisseur de services de paiement et de la nécessité de coordonner la réponse avec celle du tiers fournisseur de services,

    • (ii) il recense les mesures à prendre pour atténuer les répercussions de l’incident, notamment les processus manuels ou autres solutions de rechange auxquels le fournisseur de services de paiement pourrait recourir en cas d’indisponibilité des systèmes primaires liés à l’exécution des activités associées aux paiements de détail et il indique le délai minimum requis pour la mise en place de ces mesures,

    • (iii) il oblige le fournisseur de services de paiement à enquêter dès qu’il prend connaissance d’un incident, afin d’en établir :

      • (A) la cause première,

      • (B) les répercussions possibles ou avérées sur les activités associées aux paiements de détail,

      • (C) les répercussions possibles ou avérées sur les utilisateurs finaux,

      • (D) les répercussions possibles ou avérées sur les autres fournisseurs de services de paiement et sur les chambres de compensation des systèmes de compensation et de règlement qui ont été désignés en vertu du paragraphe 4(1) de Loi sur la compensation et le règlement des paiements, au sens donné à ces expressions à l’article 2 de cette loi,

      • (E) les répercussions possibles ou avérées sur les systèmes, données et renseignements engagés dans l’exécution des activités associées aux paiements de détail,

    • (iv) il oblige le fournisseur de services de paiement, alors même que l’enquête se poursuit, de prendre des mesures immédiates visant à prévenir ou à atténuer toute autre atteinte, notamment à l’intégrité, à la confidentialité ou à la disponibilité des systèmes, données et renseignements,

    • (v) il oblige le fournisseur de services de paiement à prendre, aussitôt que possible, des mesures permettant de traiter la cause première établie par l’enquête,

    • (vi) il établit les politiques et les procédures pour le signalement des incidents aux intéressés internes pertinents et la coordination de la réponse aux incidents avec ceux-ci — notamment tout cadre dirigeant visé au sous-alinéa d)(ii) et tout mandataire pertinent — et les intéressés externes pertinents, politiques et procédures qui traitent entre autres :

      • (A) du délai pour le signalement et la coordination,

      • (B) des renseignements qui sont signalés et communiqués aux fins de coordination,

    • (vii) il traite de la façon dont le fournisseur de services de paiement déterminera promptement l’état des opérations au moment de toute entrave, perturbation ou interruption du service, récupérera promptement des données perdues ou corrompues et réglera promptement des problèmes d’intégrité des données,

    • (viii) il exige que le fournisseur de services de paiement tienne, pour chaque incident, un document où sont consignés :

      • (A) les renseignements visés aux divisions (iii)(A) à (E), tels qu’ils sont établis par l’enquête,

      • (B) les mesures prises au titre des sous-alinéas (ii), (iv) et (v),

      • (C) la façon dont l’incident a été signalé et dont la réponse a été coordonnée,

      • (D) l’état des opérations relevées, la façon dont l’état des opérations a été déterminé, la façon dont toute donnée perdue ou corrompue a été récupérée et la façon dont tout problème d’intégrité de données a été réglé;

  • La disposition suivante n'est pas en vigueur.

    j) il établit un plan pour répondre aux anomalies et défaillances visées à l’alinéa h).

• La disposition suivante n'est pas en vigueur.

  Note marginale :Proportionnalité

  (2) Tous les aspects du cadre de gestion des risques et de réponse aux incidents, notamment les objectifs, cibles, systèmes, politiques, procédures, processus et contrôles, doivent être proportionnels aux répercussions que pourraient avoir une entrave, perturbation ou interruption de ses activités associées aux paiements de détail sur les utilisateurs finaux et les autres fournisseurs de services de paiement, en tenant compte notamment de son ubiquité et interconnexion, tels qu’ils sont démontrés par les renseignements visés au sous-alinéa 19(4)a)(i) ou à l’alinéa 19(4)b), selon le cas.

• La disposition suivante n'est pas en vigueur.

  Note marginale :Tiers fournisseurs de services

  (3) Si le fournisseur de services de paiement obtient des services liés à une fonction de paiement de tiers fournisseur de services, le cadre de gestion des risques et de réponse aux incidents doit :

  • La disposition suivante n'est pas en vigueur.

    a) traiter des moyens selon lesquels le fournisseur de services de paiement évaluera les éléments ci-après à l’égard de chacun de ses tiers fournisseurs de services, au moins une fois par année et avant de conclure, renouveler, proroger ou modifier substantiellement un contrat avec le tiers fournisseur de services pour la fourniture d’un service lié à une fonction de paiement :

    • (i) la capacité du tiers fournisseur de services à protéger les données et les renseignements obtenus du fournisseur de services de paiement ou en exécutant des services pour lui,

    • (ii) la sécurité des connexions du tiers fournisseur de services à destination et en provenance des systèmes du fournisseur de services de paiement,

    • (iii) la manière dont le tiers fournisseur de services informe ou consulte le fournisseur de services de paiement avant de modifier ses services, le mode de prestation de ses services ou ses pratiques de gestion du risque opérationnel,

    • (iv) la manière dont le rendement du tiers fournisseur de services peut être surveillé, notamment les modalités selon lesquelles ce dernier préviendrait le fournisseur de services de paiement lorsqu’il détecte une atteinte à ses données, renseignements ou systèmes ou à ceux du fournisseur de services de paiement, ou toute autre réduction, détérioration ou défaillance des services fournis au fournisseur de services de paiement,

    • (v) les pratiques de gestion des risques du tiers fournisseur de services relatives aux services que celui-ci fournit au fournisseur de services de paiement;

  • La disposition suivante n'est pas en vigueur.

    b) exiger que le fournisseur de services de paiement tienne un document où sont consignés les dates, la portée et le résultat de l’évaluation visée à l’alinéa a);

  • La disposition suivante n'est pas en vigueur.

    c) répartir clairement les responsabilités entre le fournisseur de services de paiement et le tiers fournisseur de services, notamment à l’égard de la propriété, de l’intégrité, de la confidentialité et de la disponibilité des données et renseignements.

• La disposition suivante n'est pas en vigueur.

  Note marginale :Mandataires

  (4) Si le fournisseur de services de paiement prévoit faire appel à des mandataires pour l’exécution d’activités associées aux paiements de détail, le cadre de gestion des risques et de réponse aux incidents doit :

  • La disposition suivante n'est pas en vigueur.

    a) prévoir des critères de gestion du risque opérationnel que les mandataires doivent satisfaire;

  • La disposition suivante n'est pas en vigueur.

    b) interdire au fournisseur de services de paiement de faire appel à un mandataire pour l’exécution d’activités associées aux paiements de détail si le mandataire ne satisfait pas les critères;

  • La disposition suivante n'est pas en vigueur.

    c) traiter de la manière dont le fournisseur de services de paiement effectue, au moins une fois par année, une évaluation de la conformité aux critères et des pratiques des mandataires en matière de gestion du risque opérationnel;

  • La disposition suivante n'est pas en vigueur.

    d) exiger que le fournisseur de services de paiement tienne un document dans lequel sont consignés la date et le résultat de chaque évaluation;

  • La disposition suivante n'est pas en vigueur.

    e) répartir clairement les responsabilités entre le fournisseur de services de paiement et le mandataire, notamment à l’égard de la propriété, de l’intégrité, de la confidentialité et de la disponibilité des données et renseignements.

• La disposition suivante n'est pas en vigueur.

  Note marginale :Rôles et responsabilités d’un tiers

  (5) Si le cadre de gestion des risques et de réponse aux incidents répartit, au titre de l’alinéa (1)d), des rôles et responsabilités à un tiers — notamment à un tiers fournisseur de services ou à un mandataire — il comprend des systèmes, politiques, procédures, processus, contrôles ou autres moyens pour surveiller la réalisation de ses rôles et l’accomplissement de ses responsabilités.

• La disposition suivante n'est pas en vigueur.

  Note marginale :Approbation

  (6) Le cadre de gestion des risques et de réponse aux incidents doit être approuvé, à la fois :

  • La disposition suivante n'est pas en vigueur.

    a) par le cadre dirigeant visé au sous-alinéa (1)d)(ii), s’il y en a un, au moins une fois par année et après chaque modification importante qui y est apportée;

  • La disposition suivante n'est pas en vigueur.

    b) par le conseil d’administration du fournisseur de services de paiement, s’il y a en a un, au moins une fois par année.

Note marginale :Disponibilité du cadre

6 Le fournisseur de services de paiement veille à ce que son cadre de gestion des risques et de réponse aux incidents demeure disponible à toute personne participant à sa mise en oeuvre et à son maintien et prend toutes les précautions raisonnables pour prévenir sa suppression, destruction ou modification non autorisées.

Note marginale :Renseignements et formation

7 Le fournisseur de services de paiement veille à ce que soient fournis aux employés et à toute autre personne ayant un rôle dans l’établissement, dans la mise en oeuvre ou dans le maintien du cadre de gestion des risques et de réponse aux incidents, les renseignements et la formation requis pour s’acquitter de ce rôle.