Exigences en matière de contrôle continu

Juin 2017 

Les exigences en matière de contrôle continu en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la Loi) et les règlements connexes

Juin 2017

Qu’est-ce que le contrôle continu?  

Aux fins de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la Loi) et des règlements connexes, le contrôle continu s’entend du processus par lequel vous établissez et mettez en œuvre une surveillance périodique de tous les renseignements relatifs aux clients avec lesquels vous entretenez une relation d’affaires. Vous êtes automatiquement dans une relation d’affaires avec tout client qui détient un compte avec vous ou avec toute personne ou entité avec laquelle vous avez effectué au moins deux opérations ou activités au cours d’une période de cinq ans et dans le cadre desquelles vous avez été appelé à vérifier l’identité de la personne ou à confirmer l’existence de l’entité. 

Selon le Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (le Règlement), le contrôle continu a pour but de :

  1. déceler les opérations douteuses qui doivent être déclarées à CANAFE;
  2. tenir à jour les renseignements relatifs à l’identité des clients, aux bénéficiaires effectifs et à l’objet et à la nature projetée de la relation d’affaires;
  3. réévaluer les risques associés aux clients en fonction de ses opérations et de ses activités;
  4. veiller à ce que les opérations ou les activités concordent avec vos renseignements obtenus et votre évaluation des risques réalisée à l’égard du client.

La fréquence à laquelle vous procéderez à une surveillance périodique sera en fonction des résultats de l’évaluation des risques que vous aurez réalisée à l’égard de vos clients.

Évaluation des risques associés aux relations d’affaires

Aux termes de la Loi, vous devez élaborer une approche axée sur les risques, c’est‑à‑dire que vous devez réaliser une évaluation des risques pour chaque client en vue de déterminer le niveau de risque que présente chacun d’entre eux de commettre une infraction de recyclage des produits de la criminalité ou une infraction de financement des activités terroristes. Vous devez établir le niveau de risque associé à chaque client afin de déterminer la fréquence à laquelle vous devez effectuer votre contrôle continu.

Il est possible d’évaluer les clients individuellement ou en groupe. Par exemple, on peut considérer qu’un groupe de clients ayant en commun des caractéristiques semblables présente un faible risque en raison des produits ou services à faible risque qu’ils utilisent, leurs activités anticipées ou l’utilisation prévue de leurs comptes. Vous n’êtes pas tenu de rédiger une évaluation des risques pour chaque client, mais vous devez être en mesure de démontrer comment vous avez déterminé le niveau de risque auquel est associé un client et comment vos mesures de contrôle continu sont mises en œuvre selon votre évaluation des risques et vos politiques et procédures en matière de conformité. CANAFE a élaboré des outils particuliers pour vous guider dans vos évaluations des risques, y compris des manuels d’instructions qui décrivent comment mettre en œuvre une telle approche dans votre secteur.

De plus, pour veiller au respect de vos obligations, vous êtes tenu de réévaluer le niveau de risque associé aux opérations et aux activités de vos clients. Cette étape permet d’assurer que les opérations et les activités concordent avec ce que vous connaissez déjà à l’égard de votre client, ce qui, par le fait même, vous aidera à déceler les opérations douteuses que vous devez déclarer à CANAFE. 

Voici des exemples de situations où une relation d’affaires est établie avec une personne ou une entité qui présente un risque élevé. Cette liste n’est pas exhaustive.

  • Lorsque vous déterminez, à la suite de votre évaluation des risques associés à la relation, à la personne ou à l’entité, que la relation d’affaires présente un risque plus élevé.
  • Lorsque la relation d’affaires est établie avec des étrangers politiquement vulnérables (EPV).
  • Lorsque la relation d’affaires est établie avec un membre de la famille d’un EPV ou avec une personne étroitement associée à un EPV.
  • Lorsque la relation d’affaires est établie avec un national politiquement vulnérable (NPV) ou un dirigeant d’une organisation internationale (DOI) présentant un risque élevé, ou avec un membre de sa famille ou une personne qui lui est étroitement associée.
  • Lorsque vous déterminez, en fonction des renseignements obtenus dans le cadre de votre contrôle continu, que la relation d’affaires avec le client présente un risque plus élevé.

Comment effectuer le contrôle continu?

Toutes les personnes et entités avec lesquelles vous entretenez  une relation d’affaires doivent faire l’objet d’un contrôle continu. Vous êtes automatiquement dans une relation d’affaires avec tout client qui détient un compte avec vous ou avec toute personne ou entité avec laquelle vous avez effectué au moins deux opérations ou activités au cours d’une période de cinq ans et dans le cadre desquelles vous avez été appelé à vérifier l’identité de la personne ou à confirmer l’existence de l’entité.

Aux termes du Règlement, vous devez procéder à un contrôle continu de vos relations d’affaires de façon périodique, et ce, pendant toute la durée de votre relation d’affaires avec le client. Vous devez définir la fréquence de ce contrôle « périodique » dans vos politiques et procédures en matière de conformité. Par exemple, les clients présentant un faible risque feront l’objet d’un contrôle moins fréquent que ceux qui présentent un risque élevé pour lesquels vous devrez prendre des mesures accrues, notamment effectuer des activités de contrôle continu plus fréquemment. De ce fait, votre évaluation des risques déterminera la fréquence de vos activités de contrôle continu.

Vous devez effectuer un contrôle continu en vue de :

  1. déceler les opérations douteuses qui doivent être déclarées à CANAFE;
  2. tenir à jour les renseignements relatifs à l’identité des clients, aux bénéficiaires effectifs et à l’objet et à la nature projetée de la relation d’affaires;
  3. réévaluer les risques associés aux clients en fonction de ses opérations et de ses activités;
  4. veiller à ce que les opérations ou les activités concordent avec vos renseignements obtenus et votre évaluation des risques réalisée à l’égard du client.

Les processus servant à assurer le contrôle de vos relations d’affaires doivent être décrits dans vos politiques et procédures. Vous devez également mettre à jour les dossiers de vos clients lorsque vous obtenez des renseignements dans le cadre de vos activités de contrôle continu.   

Lors de son examen, CANAFE passera en revue vos politiques et procédures afin de s’assurer que vos processus de contrôle continu y sont décrits. Vous devrez également démontrer comment les processus sont mis en œuvre pour chaque niveau de risque associé aux clients. Par exemple, vous pourriez fournir une liste des clients qui présentent un risque plus élevé, une liste des procédures mises en œuvre, ainsi que le calendrier adopté pour les activités de contrôle de ces relations d’affaires. 

Vous n’êtes pas tenu de réaliser un examen de tous les éléments liés au contrôle continu au même moment. Par exemple :

  • vous pourriez avoir un processus selon lequel les renseignements relatifs à l’identité des clients seraient mis à jour selon un certain calendrier, et la réévaluation des risques associés aux opérations et aux activités d’un client serait effectuée en fonction d’un calendrier différent;
  • vous pourriez décider, dans le cas d’une relation d’affaires sans rapport avec un compte, de mettre à jour les renseignements au dossier chaque fois que le client effectue une opération pour laquelle vous êtes tenu de vérifier son identité, et, dans le cas d’une relation d’affaires en lien avec un compte, de demander au client de confirmer les renseignements au dossier de façon périodique dans le cadre de vos échanges réguliers.

Peu importe la façon dont vous établissez votre calendrier des revues périodiques, vous devrez démontrer, au moment de l’examen mené par CANAFE, que vous avez élaboré et respecté le calendrier fixé pour la revue périodique de l’ensemble de vos relations d’affaires, dans le cadre de vos politiques et procédures en matière de conformité.

Mesures à prendre à l’égard des clients présentant un risque élevé

Si, à la suite de votre contrôle continu d’une relation d’affaires, vous déterminez qu’un client présente un risque élevé, vous devez prendre des mesures accrues à son égard. Par mesures accrues, on entend des mesures supplémentaires aux mesures obligatoires. Il s’agit notamment de prendre des mesures additionnelles pour vérifier l’identité des clients, assurer un contrôle continu accru, et prendre toute autre mesure accrue que vous croyez nécessaire.   

Par contrôle continu accru, on entend une surveillance continue plus fréquente.

Vous devez élaborer les mesures accrues que vous prendrez à l’égard des clients qui présentent un risque élevé et en faire état dans vos politiques et procédures en matière de conformité.

Les mesures accrues peuvent comprendre toute politique ou procédure supplémentaire établie et mise en œuvre dans le but d’atténuer les risques, par exemple :

  • obtenir des renseignements supplémentaires au sujet du client (profession, quantité d’avoirs, information accessible dans des bases de données publiques, sur Internet, etc.);
  • obtenir des renseignements sur la provenance des fonds ou des avoirs du client;
  • obtenir des renseignements sur les motifs des opérations prévues ou effectuées;
  • exercer un contrôle accru des opérations concernant des produits, des services et des modes de prestation/distribution présentant un risque plus élevé;
  • recueillir des documents, des données ou des renseignements supplémentaires, ou prendre des mesures additionnelles pour vérifier les documents obtenus;
  • établir des limites relatives aux opérations;
  • renforcer les mécanismes de contrôle internes des relations d’affaires à haut risque;
  • obtenir l’approbation de la haute direction au moment de l’opération lorsqu’un client utilise un produit ou un service pour la première fois.

Lors de l’examen de CANAFE, vous devrez prouver que vous passez en revue plus fréquemment les renseignements concernant vos clients qui présentent un risque élevé et que vous tenez à jour tous les renseignements sur vos clients. Vous devrez également faire état des mesures en place pour atténuer les risques, s’il y a lieu.  

Il est important de souligner que les activités à haut risque peuvent avoir lieu en dehors du cadre d’une relation d’affaires. Ainsi, tout client avec qui vous n’avez pas établi une relation d’affaires, mais qui, selon votre évaluation, présente un risque élevé de commettre une infraction de blanchiment d’argent ou une infraction de financement des activités terroristes doit également être visé par des mesures plus rigoureuses.

Vous pourriez envisager les méthodes suivantes pour surveiller les situations présentant un risque élevé :

  • examiner les opérations selon un calendrier approuvé qui nécessite l'approbation de la direction;
  • rédiger des rapports et effectuer des examens  plus fréquents des rapports qui font état d’opérations présentant un risque élevé;
  • signaler certaines activités ou les activités qui ne correspondent pas aux attentes établies en fonction des renseignements fournis par le client, et, au besoin, porter vos préoccupations à l’attention de l’échelon hiérarchique supérieur;
  • établir des limites ou des paramètres d’affaires pour les comptes ou les opérations qui déclencheraient des signaux d’alerte précoces et nécessiteraient la tenue d’un examen obligatoire;
  • augmenter la fréquence d’examen des opérations en fonction des indicateurs d’opérations douteuses pertinents dans le cadre de la relation d’affaires.

Contrôle continu des relations de correspondants bancaires

Une relation de correspondant bancaire est établie par un accord entre une banque, une caisse de crédit, une caisse populaire ou une société de fiducie, et une institution financière étrangère, notamment lorsqu’une entité financière au Canada s’engage à fournir à une institution financière étrangère des services tels que les télévirements internationaux, la gestion de la trésorerie et la compensation de chèques. Une institution financière étrangère qui fournit des services de correspondant bancaire à une entité financière canadienne dans le cadre d’un accord n’est pas visée par les obligations prévues par la Loi et les règlements connexes.

Si l’institution financière étrangère ne dispose d’aucune politique ou procédure en matière de lutte contre le blanchiment  d’argent et le financement des activités terroristes, vous devez prendre des mesures raisonnables afin d’assurer un contrôle continu à l’égard des opérations effectuées dans le cadre de la relation de correspondant bancaire en vue de déceler les opérations douteuses. Vous devez également assurer un contrôle continu de la relation de correspondant bancaire si, après avoir pris des mesures raisonnables en fonction des renseignements publics, vous déterminez que des sanctions civiles ou pénales ont été imposées à l’institution financière étrangère conformément aux exigences en matière lutte contre le blanchiment d’argent de capitaux et le financement des activités terroristes.

Le contrôle continu de votre relation de correspondant bancaire peut prendre les formes suivantes :

  • surveillance en temps réel des opérations dans les cas présentant un risque élevé pour assurer l’efficacité des contrôles lorsqu’il s’agit de déceler toute activité inhabituelle pouvant survenir dans le cadre de la relation de correspondant;
  • mise en œuvre de processus internes pour approfondir l’examen de certaines activités ou certains éléments déclenchants, processus pouvant impliquer l’obtention de renseignements sur les opérations auprès de l’institution étrangère pour clarifier la situation et éventuellement lever l’élément déclenchant;
  • demande d’accès aux renseignements à l’égard du client auprès de l’institution étrangère afin de bien saisir le caractère raisonnable des opérations.

Dois-je conserver des documents à l’égard des activités de contrôle continu?

Oui. Vous devez conserver un document faisant état des mesures que vous prenez en matière de contrôle continu qui contient les renseignements suivants :

  1. les procédures mises en œuvre pour assurer le contrôle continu périodique;
  2. les procédures mises en œuvre pour assurer la prise de mesures accrues à l’égard des clients qui présentent un risque élevé;
  3. les renseignements obtenus dans le cadre des activités de contrôle continu;
  4. les renseignements obtenus dans le cadre des mesures accrues prises à l’égard des clients qui présentent un risque élevé.

Comme les mesures prises par votre organisation pour assurer le contrôle continu doivent être décrites dans vos politiques et procédures, elles peuvent être comprises dans votre documentation; vous pouvez aussi consigner au cas par cas la mesure prise dans chaque document.   

Cela dit, les renseignements obtenus dans le cadre de vos activités de contrôle continu seront vraisemblablement propres à chaque client ou à chaque relation d’affaires, et seront un complément à vos politiques et procédures. Ils doivent donc être consignés séparément. À titre d’exemple, toute mise à jour concernant les renseignements relatifs à la vérification de l’identité du client, aux bénéficiaires effectifs ou à la relation d’affaires pourrait être consignée au sein de n’importe quel dossier que vous conservez à l’égard du client en question. 

Les documents faisant état des mesures prises en matière de contrôle continu doivent être conservés pendant cinq ans après la date de leur création.

Les divers documents que vous tenez à jour dans le cadre du contrôle continu auront des exigences de conservation précises. 

Le contrôle accru et continu vise à assurer qu’un processus d’évaluation des opérations des clients est élaboré et mis en application  en vue de déclarer les opérations douteuses. Il peut aussi servir à répondre à d’autres exigences visant les clients à risque élevé, notamment pour ce qui est de tenir à jour les renseignements relatifs à l’identité des clients et les bénéficiaires effectifs, de réévaluer le niveau de risque que posent vos clients sur une base régulière et de comprendre l’objet de la relation d’affaires dans le but de mieux saisir et évaluer les comportements de vos clients lorsqu’il s’agit d’effectuer des activités et des opérations.   

Exceptions concernant le contrôle continu

Entités financières – L’exigence d’effectuer un contrôle continu ne s’applique pas à l’égard du compte de régime collectif détenu dans un régime de réinvestissement des dividendes ou des distributions :

  • si les actions ou les unités d’une entité sont cotées dans une bourse de valeurs au Canada;
  • si l’entité exerce ses activités dans un pays membre du Groupe d’action financière.

Négociants en métaux précieux et pierres précieuses – Vous n’êtes pas tenu d’effectuer un contrôle continu ni de tenir à jour un document faisant état des activités de contrôle à l’égard des relations d’affaires qui ne présentent pas un risque élevé. Toutefois, dans le cas de relations d’affaires présentant un risque élevé, vous devez surveiller la relation d’affaires et prendre toute autre mesure accrue qui s’impose afin d’atténuer les risques. Lors de l’examen de CANAFE, vous devrez être en mesure de démontrer comment vous avez établit le niveau de risque que présente le client.

À quel moment puis‑je cesser de surveiller une relation d’affaires?

Le contrôle continu cesse lorsque la relation d’affaires prend fin.

Dans le cas de clients qui détiennent un compte, la relation d’affaires prend fin cinq ans après la fermeture du compte. Il vous revient d’établir, puis de définir dans vos politiques et procédures, le niveau de risque associé aux comptes fermés et d’effectuer un contrôle continu en conséquence.

Dans le cas d’une relation d’affaires sans rapport avec un compte, la relation d’affaires prend fin cinq ans après la dernière opération effectuée par le client. Si un client effectue une opération après quatre ans d’inactivité auprès de votre organisation, la période de surveillance de cinq ans recommence à partir du moment où celui-ci effectue cette nouvelle opération.

Février 2021 

Février 2021

La présente directive entre en vigueur le 1er juin 2021.

Les exigences en matière de contrôle continu en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la Loi) et des règlements connexes s'appliquent à toutes les entités déclarantes (ED).

La présente directive répond aux questions suivantes :

  1. Qu'est-ce que le contrôle continu?
  2. Quand dois-je effectuer un contrôle continu?
  3. Quand dois-je effectuer un contrôle continu accru?
  4. Quelles sont les exceptions au contrôle continu?
  5. Quels documents dois-je conserver relativement au contrôle continu?
  6. À quel moment l'exigence de contrôle continu prend-elle fin?
  7. À quel moment l'exigence de contrôle continu accru prend-elle fin?

1. Qu'est-ce que le contrôle continu?

Le contrôle continu s'entend du processus par lequel vous établissez et mettez en œuvre une surveillance périodique de tous les renseignements que vous avez obtenus au sujet des clients avec lesquels vous entretenez une relation d'affaires dans le but de :Note de bas de page 1

  • déceler les opérations douteuses que vous devez déclarées à CANAFE;
  • tenir à jour les renseignements relatifs à l'identité des clients , aux bénéficiaires effectifs et à l'objet et à la nature projetée de la relation d'affaires;
  • réévaluer le niveau de risque associé aux clients en fonction de leurs opérations et activités;
  • déterminer si les opérations ou les activités concordent avec les renseignements que vous avez obtenus et votre évaluation des risques réalisée à l'égard du client. 

Pour en savoir plus sur le moment où vous établissez une relation d'affaires avec un client, consultez la directive de CANAFE sur les exigences relatives aux relations d'affaires.

Votre processus de contrôle continu peut comprendre la surveillance d'un client individuel ou de groupes de clients. Toute mention de contrôle continu d'un client dans la présente directive fait référence à la fois à la surveillance d'un client individuel et de groupes de clients, selon votre processus.

2. Quand dois-je effectuer un contrôle continu?

Lorsque vous nouez une relation d'affaires avec un client, vous devez procéder périodiquement à un contrôle continu de cette relation d'affaires, en fonction de votre évaluation des risques.Note de bas de page 2

La fréquence à laquelle vous procéderez à un contrôle continu périodique dépendra du niveau de risque attribué aux clients en fonction de l'évaluation des risques réalisée à l'égard de vos clients. Par exemple, les clients identifiés comme présentant un risque faible peuvent nécessiter un contrôle continu moins fréquent, tandis que ceux qui présentent un risque élevé exigeront que vous preniez des mesures accrues. Pour en savoir plus sur les exigences d'évaluation des risques et les mesures accrues, consultez la directive sur les exigences du programme de conformité de CANAFE.

CANAFE s'attend à ce que vos politiques et procédures indiquent la fréquence à laquelle vous effectuerez un contrôle continu de vos clients, en fonction de votre évaluation des risques pour un client ou un groupe de clients.

3. Quand dois-je effectuer un contrôle continu accru?

Si, à la suite de votre évaluation des risques, vous déterminez qu'un client présente un risque élevé, vous devez prendre des mesures accrues à son égard et effectuer un contrôle continu accru. Cela signifie que vous devez prendre des mesures supplémentaires aux mesures obligatoires, selon la fréquence appropriée au niveau de risque de votre clientNote de bas de page 3

Vous pourriez envisager les méthodes suivantes pour effectuer un contrôle continu accru de vos clients présentant un risque élevé :

  • examiner les opérations selon un calendrier approuvé qui nécessite l'approbation de la direction;
  • rédiger des rapports et effectuer des examens plus fréquents des rapports qui font état d'opérations présentant un risque élevé;
  • signaler certaines activités ou les activités qui ne correspondent pas aux attentes, et au besoin, porter vos préoccupations à l'attention de l'échelon hiérarchique supérieur;
  • établir des limites ou des paramètres d'affaires pour les comptes ou les opérations qui déclencheraient des signaux d'alerte précoces et nécessiteraient la tenue d'un examen obligatoire;
  • augmenter la fréquence d'examen des opérations en fonction des indicateurs d'opérations douteuses pertinents dans le cadre de la relation d'affaires.

4. Quelles sont les exceptions au contrôle continu?

Vous n'êtes pas tenu d'effectuer un contrôle continu dans les situations suivantes :

  1. Entités financières : L'exigence d'effectuer un contrôle continu ne s'applique pas relativement au compte de régime collectif détenu dans un régime de réinvestissement des dividendes ou des distributions (notamment un régime qui permet au membre d'acquérir des actions ou des unités supplémentaires au moyen de cotisations, qui ne sont pas des dividendes ou des distributions versés par le promoteur du régime), si le promoteur du régime :Note de bas de page 4
    • est une entité dont les actions ou unités sont cotées dans une bourse de valeurs au Canada;
    • exerce ses activités dans un pays membre du Groupe d'action financière.
  2. Sociétés d'assurance-vie ou représentants d'assurance-vie : Vous n'êtes pas tenu de procéder à un contrôle continu lorsque vous exercez des activités de réassurance. Note de bas de page 5

5. Quels documents dois-je conserver relativement au contrôle continu?

Vous devez tenir un document où sont consignés les mesures que vous prenez et les renseignements obtenus dans le cadre du contrôle continu des clients avec lesquels vous avez établi une relation d'affaires.Note de bas de page 6 Cela comprend :

  • vos processus mis en place pour effectuer un contrôle continu;
  • vos processus en place pour effectuer le contrôle continu accru des clients à risque élevé;
  • vos processus pour consigner les renseignements obtenus dans le cadre de votre contrôle continu;
  • vos processus pour consigner les renseignements obtenus dans le cadre de votre contrôle continu accru des clients à risque élevé;
  • les renseignements obtenus dans le cadre de votre contrôle continu et de votre contrôle continu accru des clients à risque élevé.

Vous devez décrire les mesures que vous utilisez pour effectuer le contrôle continu de vos relations d'affaires dans vos politiques et procédures, lesquelles peuvent faire partie de vos documents de contrôle continu. Cependant, les renseignements que vous obtenez dans le cadre de votre contrôle continu seront probablement spécifiques à une relation d'affaires particulière et ne seront pas repris dans vos politiques et procédures, ils doivent donc être documentés séparément. Vous pouvez documenter et mettre à jour les renseignements que vous obtenez dans le cadre de vos activités de contrôle continu dans plusieurs documents. Par exemple, les mises à jour des renseignements relatifs à l'identification du client, au bénéficiaire effectif ou à la relation d'affaires dont vous disposez peuvent être enregistrées dans n'importe quel document que vous tenez sur un client.

Conservation : Vous devez conserver un document où sont consignés les mesures de contrôle continu prises et les renseignements obtenus dans le cadre du contrôle continu pendant au moins cinq ans à compter de la date à laquelle le document a été créé. Note de bas de page 7

6. À quel moment l'exigence de contrôle continu prend-elle fin?

Vous n'êtes plus tenu de procéder à un contrôle continu une fois que la relation d'affaires prend fin. Pour en savoir plus sur le moment où la relation d'affaires prend fin, veuillez consulter la directive de CANAFE sur les exigences en matière de relations d'affaires.

7. À quel moment l'exigence de contrôle continu accru prend-elle fin?

Vous n'êtes plus tenu de procéder à un contrôle continu accru lorsque votre relation d'affaires prend fin ou lorsque, sur la base de votre évaluation des risques, vous ne considérez plus un client comme présentant un risque élevé. Lorsque vous ne considérez plus qu'un client présente un risque élevé, vous devez tout de même effectuer un contrôle continu du client à la fréquence déterminée par sa nouvelle évaluation des risques. Pour en savoir plus sur le moment où la relation d'affaires prend fin, veuillez consulter la directive de CANAFE sur les exigences en matière de relations d'affaires.

Date de modification :