Réglementation des entreprises de technologies financières : étude de cas

 
Une entreprise canadienne de taille moyenne, MyFin est spécialisée dans la connectivité des données financières et fournit des interfaces de programmation d’applications (API) qui permettent aux entreprises et aux institutions financières d’accéder aux données bancaires des consommateurs. MyFin vient de recevoir une excellente nouvelle : une grande banque canadienne a accepté de s’associer à elle pour lancer son API sécurisée Services bancaires ouverts. 

La chef de la direction de MyFin a demandé que, lors de la prochaine réunion du conseil d’administration, le conseiller juridique présente un sommaire des différents cadres réglementaires qui s’appliquent (ou pourraient s’appliquer) à MyFin.  

La présentation du conseiller juridique comprendra les points suivants :

Cadres actuels

Lois provinciales et territoriales sur la protection des consommateurs

Comme MyFin ne traite qu’avec des entités commerciales, elle ne serait pas tenue de se conformer à la législation provinciale sur la protection des consommateurs, car celle-ci ne s’applique généralement qu’aux interactions avec des particuliers ou aux produits qui leur sont destinés. Toutefois, étant donné que certaines des API développées par MyFin pour ses entreprises clientes sont destinées aux particuliers, les clients de MyFin ont demandé à ce que son API respecte la législation provinciale sur la protection des consommateurs. Puisque MyFin exerce des activités partout au Canada, cette tâche pourrait s’avérer longue et coûteuse : la législation diffère d’une province à l’autre, le Québec ayant des exigences particulièrement lourdes.

Lois sur la protection des renseignements personnels

Puisque MyFin exerce des activités dans toutes les provinces, elle doit tenir compte de toutes les exigences imposées par la législation fédérale et provinciale sur la protection des renseignements personnels. Comme dans le cas des lois sur la protection des consommateurs, cela peut représenter un important travail de gestion des données. De plus, puisque MyFin envisage de conclure un partenariat avec la banque, le conseiller juridique pourrait devoir répondre à des questions concernant le programme de protection des données de MyFin.

Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes

MyFin exerce ses activités en tant qu’entreprise de services monétaires et est inscrite comme telle auprès du CANAFE, ce qui veut dire qu’elle doit se conformer à des exigences comme la mise en place d’un programme de conformité, l’obligation de connaissance du client, la déclaration des transactions, la surveillance et la tenue de registres.

Loi sur les activités associées aux paiements de détail

MyFin exerce des activités de paiement de détail régies par la Loi sur les activités associées aux paiements de détail (LAAPD). À ce titre, elle a récemment demandé à la Banque du Canada de s’enregistrer en tant que fournisseur de services de paiement (FSP) et attend maintenant la confirmation de son statut. Même sans la confirmation de la Banque du Canada, la banque partenaire de MyFin s’attend à ce que tous les demandeurs, y compris MyFin, se conforment à la LAAPD depuis son entrée en vigueur le 8 septembre 2025. Cette loi prévoit notamment la mise en place d’un cadre pour gérer les risques opérationnels et protéger les fonds des utilisateurs finaux, ainsi que diverses obligations d’information.

Cadres législatifs futurs

Modifications à la Loi sur les banques visant les entreprises de technologies financières

En 2018, des modifications ont été apportées à la Loi sur les banques, à la Loi sur les sociétés d’assurances et à la Loi sur les sociétés de fiducie et de prêt visant notamment à permettre aux institutions financières de diriger leurs clients vers des entreprises de technologies financières, de recueillir, traiter et transmettre des renseignements et de participer à des activités liées à la technologie sans approbation réglementaire.

Ces modifications n’ont jamais été adoptées, mais pourraient être proposées à nouveau lors du prochain examen de la Loi sur les banques, qui doit être présenté au Parlement avant le 30 juin 2026.

Intelligence artificielle (IA)

Même si le gouvernement actuel semble réticent à adopter la Loi sur l’intelligence artificielle et les données, il est probable qu’une nouvelle loi sera éventuellement adoptée pour régir l’utilisation des systèmes d’IA. Pour l’instant, les organismes de réglementation ont publié leurs propres lignes directrices. Ainsi, au Québec, l’Autorité des marchés financiers a publié en juin 2025 un projet de ligne directrice sur l’utilisation des systèmes d’IA par les institutions financières. Ces lignes directrices pourraient avoir un impact sur MyFin en raison de son partenariat avec la banque.

Adhésion à Paiements Canada

Une fois que l’enregistrement de MyFin comme FSP en vertu de la LAAPD sera confirmé, elle sera admissible au titre de membre de Paiements Canada. MyFin étudie les différents types d’adhésion à Paiements Canada afin d’accéder au système de paiement en temps réel (système de PTR). Chaque type d’adhésion est soumis à des conditions différentes.

Accès au système de paiement en temps réel

Une fois que MyFin (1) aura reçu la confirmation de son enregistrement en tant que FSP auprès de la Banque du Canada, (2) sera devenue membre de Paiements Canada et (3) disposera d’un compte de règlement auprès de la Banque du Canada ou d’un accord avec un mandataire de règlement, elle pourra accéder au système de PTR de Paiements Canada. Le système de PTR permettra aux fournisseurs de services de paiement et aux autres institutions admissibles d’offrir des services de paiement instantané dans tout le Canada.

Outre les conditions d’admissibilité susmentionnées, MyFin devra démontrer sa conformité avec diverses conditions, dont la mise en œuvre de contrôles de gestion des risques de criminalité financière et la fourniture d’informations à l’appui d’une évaluation de sa viabilité financière. En juillet dernier, Paiements Canada a annoncé que le système PTR passera à la phase d’essai cet automne, l’objectif étant de terminer l’élaboration au troisième trimestre de 2025.

Obligations résultant du partenariat avec la banque

Loi sur les services bancaires axés sur les consommateurs (LSBC)

Comme la LSBC n’exige pas que les entreprises de technologies financières s’enregistrent en tant qu’entités participantes et n’interdit pas la capture de données d’écran, MyFin n’avait pas l’intention de s’enregistrer comme entité participante dans un avenir prévisible. Cependant, puisque les grandes banques sont tenues de le faire, le partenariat de MyFin avec la banque l’obligera à examiner de plus près les exigences de la LSBC après la publication, prévue cet automne, de ses dispositions restantes et de ses règlements d’application. Ceux-ci pourraient s’avérer contraignants, compte tenu des pouvoirs de l’Agence de la consommation en matière financière du Canada d’imposer des sanctions en cas de non-respect de la LSBC.

Ligne directrice B-10 du BSIF : Gestion du risque lié aux tiers

La Ligne directrice B-10, entrée en vigueur en mai 2024, prévoit que les institutions financières mettent en œuvre des programmes complets de gestion des risques liés aux tiers afin d’évaluer, de classer et de gérer toutes les relations avec les tiers à l’échelle de l’entreprise.

Compte tenu de son partenariat avec la banque, MyFin pourrait être soumise à un large éventail d’exigences en matière de diligence raisonnable, de contrats et de supervision continue, fondées sur le programme de gestion du risque lié aux tiers de la banque.

Dispositions relatives à la protection des consommateurs de la Loi sur les banques

En vertu de la Loi sur les banques, les banques doivent s’assurer que tout tiers qui vend ou favorise la vente d’un produit bancaire se conforme aux dispositions relatives à la protection des consommateurs de la loi dans la même mesure que les banques. Ces exigences varient selon le produit ou le service offert et peuvent être contraignantes.

MyFin devra déterminer si son partenariat avec la banque fera en sorte qu’elle vende ou favorise la vente de produits bancaires, ce qui l’exposerait à l’application de ces règles.

Conclusion

Comme l’illustre cette étude de cas, les entreprises de technologies financières devront se conformer à de nouvelles obligations réglementaires qui peuvent être difficiles à comprendre et à respecter. Elles devront se conformer non seulement à la réglementation qui s’applique directement à elles, mais également à celle qui s’applique aux entités avec lesquelles elles s’associent. Compte tenu de la multitude d’occasions commerciales qui s’offrent à elles, elles auront intérêt à répartir soigneusement leurs ressources pour s’assurer que leur conformité réglementaire suit le rythme de croissance de leurs activités.