Government of Canada / Gouvernement du Canada
Symbole du gouvernement du Canada

Recherche

Règlement sur les activités associées aux paiements de détail (DORS/2023-229)

Règlement à jour 2024-10-30

Gestion des risques et réponse aux incidents (suite)

La disposition suivante n'est pas en vigueur.

Note marginale :Disponibilité du cadre

 Le fournisseur de services de paiement veille à ce que son cadre de gestion des risques et de réponse aux incidents demeure disponible à toute personne participant à sa mise en oeuvre et à son maintien et prend toutes les précautions raisonnables pour prévenir sa suppression, destruction ou modification non autorisées.

La disposition suivante n'est pas en vigueur.

Note marginale :Renseignements et formation

 Le fournisseur de services de paiement veille à ce que soient fournis aux employés et à toute autre personne ayant un rôle dans l’établissement, dans la mise en oeuvre ou dans le maintien du cadre de gestion des risques et de réponse aux incidents, les renseignements et la formation requis pour s’acquitter de ce rôle.

La disposition suivante n'est pas en vigueur.

Note marginale :Examen

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement examine son cadre de gestion des risques et de réponse aux incidents selon les modalités de temps suivantes :

    • La disposition suivante n'est pas en vigueur.

      a) au moins une fois par année;

    • La disposition suivante n'est pas en vigueur.

      b) avant de faire une modification importante à ses activités ou à ses systèmes, politiques, procédures, processus, contrôles ou autres moyens de gestion du risque opérationnel.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Portée

    (2) L’examen évalue :

    • La disposition suivante n'est pas en vigueur.

      a) la conformité du cadre de gestion des risques et de réponse aux incidents à l’article 5;

    • La disposition suivante n'est pas en vigueur.

      b) l’efficacité du fournisseur de services de paiement à atteindre les objectifs visés à l’alinéa 5(1)a) compte tenu des cibles et indicateurs visés à l’alinéa 5(1)b);

    • La disposition suivante n'est pas en vigueur.

      c) le caractère adéquat des ressources financières et humaines du fournisseur de services de paiement pour veiller à la mise en oeuvre du cadre.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Document

    (3) Le fournisseur de services de paiement tient un document où sont consignés la date, la portée, la méthodologie et les résultats de chaque examen.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport et approbation

    (4) Le fournisseur de services de paiement veille à ce que les résultats de chaque examen fassent l’objet d’un rapport au cadre dirigeant visé au sous-alinéa 5(1)d)(ii), s’il y en a un, pour approbation par ce dernier.

La disposition suivante n'est pas en vigueur.

Note marginale :Mises à l’essai

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement établit et met en oeuvre une méthode de mise à l’essai, afin de déceler toute lacune dans l’efficacité des systèmes, politiques, procédures, processus, contrôles et autres moyens prévus par le cadre de gestion des risques et de réponse aux incidents et aussi afin d’en déceler les vulnérabilités, qui respecte les exigences suivantes :

    • La disposition suivante n'est pas en vigueur.

      a) elle est en proportion aux répercussions que pourraient avoir une entrave ou une perturbation à ses activités associées aux paiements de détail — ou une interruption de ces activités — sur les utilisateurs finaux et les autres fournisseurs de services de paiement, compte tenu notamment de son ubiquité et interconnexion, tels qu’ils sont démontrés par les renseignements visés au sous-alinéa 19(4)a)(i) ou à l’alinéa 19(4)b), selon le cas;

    • La disposition suivante n'est pas en vigueur.

      b) elle est conçue compte tenu à la fois des risques opérationnels ayant une forte probabilité de survenir et de ceux ayant des répercussions graves;

    • La disposition suivante n'est pas en vigueur.

      c) elle prévoit l’utilisation d’essais qui :

      • (i) engagent les intéressés internes pertinents, notamment les mandataires, les décideurs et les personnes physiques responsables de la gestion des risques opérationnels du fournisseur de services de paiement,

      • (ii) tiennent compte de la dépendance du fournisseur de services de paiement aux intéressés externes, notamment les tiers fournisseurs de services;

    • La disposition suivante n'est pas en vigueur.

      d) elle prévoit la fréquence et la portée des mises à l’essai;

    • La disposition suivante n'est pas en vigueur.

      e) elle prévoit la mise à l’essai avant que ne soit apportée toute modification importante à ces systèmes, politiques, procédures, processus, contrôles ou autres moyens — ou à une opération du fournisseur de services de paiement qui y toucherait — afin d’en évaluer les effets.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Tenue de document

    (2) Le fournisseur de services de paiement tient, pour chaque essai effectué, un document où sont consignés les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) la date de l’essai;

    • La disposition suivante n'est pas en vigueur.

      b) la méthode utilisée, notamment une explication de la manière dont l’essai est conforme aux exigences des sous-alinéas (1)c)(i) et (ii);

    • La disposition suivante n'est pas en vigueur.

      c) le résultat de l’essai;

    • La disposition suivante n'est pas en vigueur.

      d) toute mesure corrective prise ou à prendre.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport au cadre dirigeant

    (3) Le fournisseur de services de paiement veille à ce que ce document soit fourni au cadre dirigeant visé au sous-alinéa 5(1)d)(ii), s’il y en a un.

La disposition suivante n'est pas en vigueur.

Note marginale :Examen indépendant

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement qui dispose d’un auditeur interne ou externe veille à ce que, au moins une fois tous les trois ans, une personne physique compétente qui n’a pas participé à l’établissement, à la mise en oeuvre ou au maintien du cadre de gestion des risques et de réponse aux incidents effectue un examen indépendant des éléments suivants :

    • La disposition suivante n'est pas en vigueur.

      a) la conformité de chaque élément de son cadre de gestion des risques et de réponse aux incidents aux exigences applicables de l’article 5;

    • La disposition suivante n'est pas en vigueur.

      b) la conformité du fournisseur de services de paiement à chaque exigence prévue aux articles 6 à 9.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Tenue de document

    (2) Le fournisseur de services de paiement obtient un document où sont consignés le nom de l’examinateur — ou, si l’examinateur a effectué l’examen pour le compte d’une entité autre que le fournisseur de services de paiement, le nom de cette entité —, la date de l’examen et une description de la portée, de la méthodologie et des résultats de l’examen.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Rapport

    (3) Le fournisseur de services de paiement fait rapport de toute lacune ou vulnérabilité décelée par l’examen indépendant ainsi que de toutes mesures correctives au cadre dirigeant visé au sous-alinéa 5(1)d)(ii), s’il y en a un.

La disposition suivante n'est pas en vigueur.

Note marginale :Avis d’incident : Banque

  • La disposition suivante n'est pas en vigueur.

     (1) L’avis d’incident qui doit être fourni à la Banque, en application de l’article 18 de la Loi, lui est fourni électroniquement par le système électronique fourni par la Banque à cette fin.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Contenu

    (2) L’avis d’incident contient les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) le nom du fournisseur de services de paiement et les noms, numéro de téléphone et adresse électronique de la personne physique avec qui on peut communiquer au sujet de l’incident;

    • La disposition suivante n'est pas en vigueur.

      b) une description de l’incident et de ses répercussions importantes sur les personnes physiques ou entités visées aux alinéas 18(1)a) à c) de la Loi;

    • La disposition suivante n'est pas en vigueur.

      c) les mesures prises par le fournisseur de services de paiement pour répondre à l’incident.

La disposition suivante n'est pas en vigueur.

Note marginale :Avis d’incident : personne physique ou entité

  • La disposition suivante n'est pas en vigueur.

     (1) L’avis d’incident qui doit être fourni, en application de l’article 18 de la Loi, à l’une des personnes physiques ou entités visées à l’un des alinéas 18(1)a) à c) de la Loi est :

    • La disposition suivante n'est pas en vigueur.

      a) fourni à chaque personne physique ou entité ayant subi des répercussions importantes, aux dernières coordonnées fournies par la personne physique ou entité au fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) affiché sur le site Web du fournisseur de services de paiement s’il n’a pas les coordonnées de chaque personne physique ou entité ayant subi des répercussions importantes.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Contenu

    (2) L’avis d’incident contient les renseignements suivants :

    • La disposition suivante n'est pas en vigueur.

      a) le nom du fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) une description de l’incident, y compris le moment auquel il a commencé, et la nature des répercussions importantes qu’ont subi les personnes physiques ou entités;

    • La disposition suivante n'est pas en vigueur.

      c) toute mesure corrective pouvant être prise par les personnes physiques ou entités.

Protection des fonds

La disposition suivante n'est pas en vigueur.

Note marginale :Comptes

 Le fournisseur de services de paiement qui détient des fonds d’un utilisateur final conformément aux alinéas 20(1)a) ou c) de la Loi veille à ce que le compte dans lequel ils sont détenus soit fourni par une entité visée à l’un des alinéas 9a) à d) ou f) à h) de la Loi ou auprès d’une institution financière étrangère qui est sujette à une réglementation imposant des normes équivalentes en matière de fonds propres, liquidité, gouvernance, surveillance et gestion du risque à celles qui s’appliquent à ces entités.

La disposition suivante n'est pas en vigueur.

Note marginale :Assurance ou garantie

  • La disposition suivante n'est pas en vigueur.

     (1) Le fournisseur de services de paiement qui détient des fonds d’un utilisateur final conformément à l’alinéa 20(1)c) de la Loi veille à ce que l’assurance ou la garantie visée à cet alinéa soit fournie par une entité qui satisfait aux conditions suivantes :

    • La disposition suivante n'est pas en vigueur.

      a) elle est visée à l’un des alinéas 9a) à h) de la Loi ou elle est une institution financière étrangère sujette à une réglementation imposant des normes en matière de fonds propres, liquidité, gouvernance, surveillance et gestion du risque équivalentes à celles qui s’appliquent à ces entités;

    • La disposition suivante n'est pas en vigueur.

      b) elle n’est pas affiliée au fournisseur de services de paiement au sens de l’article 3 de la Loi.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Conditions

    (2) Le fournisseur de services de paiement veille à ce que :

    • La disposition suivante n'est pas en vigueur.

      a) le produit de l’assurance ou de la garantie ne fasse pas partie des actifs du fournisseur de services de paiement;

    • La disposition suivante n'est pas en vigueur.

      b) le produit de l’assurance ou de la garantie soit payable aux utilisateurs finaux dès que possible après un événement visé au paragraphe (3);

    • La disposition suivante n'est pas en vigueur.

      c) l’assurance ou la garantie ait effet malgré l’insolvabilité du fournisseur de services de paiement, tout compromis ou arrangement avec ses créanciers ou l’extinction des obligations du fournisseur de services de paiement envers les utilisateurs finaux, notamment le compromis, l’arrangement ou l’extinction des obligations découlant d’une restructuration;

    • La disposition suivante n'est pas en vigueur.

      d) la Banque soit avisée au moins trente jours à l’avance de toute annulation ou résiliation de l’assurance ou de la garantie.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Événements

    (3) Pour l’application de l’alinéa (2)b), les événements sont :

    • La disposition suivante n'est pas en vigueur.

      a) l’introduction par le fournisseur de services de paiement de toute procédure d’insolvabilité à son égard;

    • La disposition suivante n'est pas en vigueur.

      b) le consentement du fournisseur de services de paiements à une procédure d’insolvabilité introduite à son égard;

    • La disposition suivante n'est pas en vigueur.

      c) l’écoulement de trente jours après la date d’introduction d’une procédure d’insolvabilité à son égard par une autre personne physique ou entité, à moins que cette personne ou entité se soit désistée ou que la procédure d’insolvabilité ait été rejetée.

  • La disposition suivante n'est pas en vigueur.

    Note marginale :Définition de procédure d’insolvabilité

    (4) Pour l’application du paragraphe (3), procédure d’insolvabilité s’entend de toute procédure, action, demande, affaire ou procédure judiciaire relativement à la faillite, l’insolvabilité, la liquidation ou la dissolution intentée à l’égard d’un fournisseur de services de paiement, en vertu de toute règle de droit applicable.

 

Date de modification :