Approche Basée sur le Risque RPCFAT au Canada : Scoring du Risque Client 2026

L'approche basée sur le risque (ABR) est désormais au cœur de toute stratégie de conformité en matière de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes (RPCFAT) au Canada. Pour les institutions financières, les entreprises de services monétaires et les autres entités déclarantes, il ne suffit plus d'appliquer des contrôles uniformes à l'ensemble de la clientèle. Le régulateur canadien exige une segmentation rigoureuse, une documentation solide et une revue régulière du profil de risque de chaque client. Ce guide pratique vous explique comment construire un modèle de scoring conforme, adapté aux réalités du marché québécois et canadien.

L'approche basée sur le risque selon la LRPCFAT : définition et obligations

L'approche basée sur le risque est le fondement du programme de conformité exigé par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT, LC 2000, c. 17). L'article 9.6 de la LRPCFAT impose à toutes les entités déclarantes de disposer d'une évaluation documentée du risque permettant de calibrer leurs contrôles de lutte contre le RPCFAT.

Le guide de conformité de CANAFE précise que l'évaluation du risque doit être propre à chaque entité déclarante et tenir compte de ses clients, produits, services, canaux de distribution et régions géographiques — elle ne peut pas être copiée d'un modèle générique. En d'autres mots, une caisse populaire de la région de Québec et une compagnie de services monétaires de Montréal n'auront pas la même évaluation, même si elles partagent certains types de produits. Chaque organisation doit partir de sa réalité opérationnelle propre.

Au Québec, l'AMF Québec (Autorité des marchés financiers du Québec) supervise les institutions financières provinciales : compagnies d'assurance, courtiers en valeurs mobilières, planificateurs financiers, courtiers hypothécaires et institutions de dépôt autres que les banques à charte fédérale. Pour les institutions financières fédérales — soit les banques à charte —, c'est le BSIF (Bureau du surintendant des institutions financières) qui assume ce rôle de surveillance prudentielle. Cette distinction est fondamentale et source fréquente de confusion pour les compagnies qui s'établissent au Québec en provenance d'Europe ou des États-Unis.

Il importe aussi de souligner que l'AMF Québec est une institution entièrement distincte de l'AMF française (Autorité des marchés financiers de la République française). Le sigle est identique, mais les compétences, la juridiction, les cadres réglementaires et les pouvoirs d'enquête sont entièrement différents. Un document ou une référence réglementaire provenant de l'AMF française n'a aucune valeur au Québec, et vice versa.

CANAFE (Centre d'analyse des opérations et déclarations financières du Canada) est le centre de renseignement financier du pays, équivalent à TRACFIN en France ou au FinCEN aux États-Unis. CANAFE reçoit, analyse et communique les renseignements sur les opérations financières suspectes aux autorités policières canadiennes et à certains partenaires étrangers. Le Canada est membre fondateur du Groupe d'action financière (GAFI) depuis 1989, et la LRPCFAT intègre les Recommandations du GAFI, notamment la Recommandation 1 sur l'évaluation et la gestion du risque.

Concrètement, l'ABR exige de chaque entité déclarante qu'elle :

• documente son évaluation du risque à l'échelle de l'organisation;
• segmente sa clientèle selon un score de risque (faible, moyen, élevé);
• applique des mesures de vigilance proportionnées au niveau de risque détecté;
• révise son évaluation au moins tous les deux ans ou lorsque survient un changement important dans les activités ou les produits offerts;
• conserve les documents justificatifs pendant au moins cinq ans, conformément aux exigences de la LRPCFAT.

L'absence d'une évaluation documentée constitue en soi un manquement réglementaire passible de pénalités administratives pécuniaires (PAP). La conformité à l'ABR n'est donc pas un exercice facultatif, mais une obligation légale pleinement exécutoire. Voir aussi notre guide d'évaluation des risques en conformité pour une approche plus générale de la gestion des risques documentaires.

Les quatre dimensions du risque dans le contexte canadien et québécois

Pour structurer une évaluation du risque rigoureuse et défendable devant CANAFE ou l'AMF Québec, les entités déclarantes doivent analyser au moins quatre grandes catégories de facteurs de risque.

1. Risque géographique

Le risque géographique englobe les pays et territoires figurant sur les listes grises ou noires du GAFI, les destinations soumises aux régimes de sanctions d'Affaires mondiales Canada (en vertu de la Loi sur les mesures économiques spéciales ou de la Loi sur la corruption d'agents publics étrangers), ainsi que certaines provinces canadiennes présentant des risques sectoriels élevés — notamment dans l'immobilier de luxe ou les transferts de fonds transfrontaliers. Un client dont les fonds proviennent d'un territoire sous surveillance accrue du GAFI devra automatiquement se voir attribuer une cote de risque géographique plus haute.

2. Risque client

La LRPCFAT distingue les personnes politiquement exposées étrangères (PPEE) et les chefs d'organisations internationales (COI) — catégories soumises à des mesures de vigilance renforcée obligatoires depuis l'origine de la loi — et les personnes politiquement exposées intérieures (PPEI), ajoutées au régime en 2016. Depuis 2023, les modifications à la Loi canadienne sur les sociétés par actions (LCSA) exigent la divulgation de la propriété effective réelle, ce qui impose une vérification approfondie des structures d'actionnariat complexes. Un client dont la structure de propriété effective comprend plusieurs paliers de sociétés dans différentes juridictions sera systématiquement considéré à risque plus élevé.

3. Risque produit et service

Certains produits financiers présentent intrinsèquement un risque RPCFAT plus élevé. Les virements électroniques internationaux (VEI) sont soumis à une obligation de déclaration spécifique à CANAFE. Les opérations en monnaie virtuelle — depuis 2020, les courtiers en monnaie virtuelle sont enregistrés comme entreprises de services monétaires (ESM) auprès de CANAFE — sont surveillées de près en raison de la difficulté à tracer les bénéficiaires réels. L'immobilier résidentiel et commercial fait également l'objet d'une attention particulière, certaines opérations devant être déclarées à CANAFE. Les casinos et les compagnies de jeux sont des secteurs à risque élevé par défaut.

4. Risque du canal de distribution

La façon dont le client interagit avec l'entité déclarante influe aussi sur le risque. Un client dont l'ouverture de compte se fait entièrement par courriel sans vérification physique de l'identité est plus risqué qu'un client rencontré en succursale. Les agents tiers — qui agissent comme intermédiaires entre l'entité et le client final — et la correspondance bancaire internationale constituent des canaux à surveillance accrue. L'utilisation exclusive du cellulaire pour les transactions, sans aucun contact direct, peut aussi indiquer un risque opérationnel à considérer.

Selon l'ACFE (Association of Certified Fraud Examiners, rapport 2024), 37 % des cas de fraude sont détectés manuellement, avec un délai moyen de 87 jours avant détection. Ce constat illustre bien pourquoi une segmentation fine du risque dès l'entrée en relation est essentielle : plus on détecte tôt les signaux d'alerte, plus on réduit l'exposition de la compagnie aux pertes financières et aux sanctions réglementaires.

Construire une matrice de notation du risque pour la conformité CANAFE

La matrice de risque est l'outil concret qui traduit l'évaluation qualitative en un score numérique ou catégoriel utilisable par les équipes de conformité. CANAFE s'attend à ce que la méthodologie soit documentée, révisable et cohérente dans son application. Un analyste ne devrait pas arriver à un résultat différent d'un autre analyste lorsqu'il évalue le même profil client avec la même matrice.

Les pondérations proposées dans ce tableau sont indicatives et doivent être adaptées à la réalité de chaque organisation. Une ESM spécialisée dans les transferts de fonds internationaux accordera vraisemblablement un poids plus élevé au risque géographique qu'un cabinet de planification financière desservant principalement une clientèle locale.

Le score final est généralement exprimé en trois niveaux : faible, moyen et élevé. Certaines compagnies ajoutent un quatrième niveau — très élevé ou non acceptable — pour les clients qui déclenchent plusieurs facteurs aggravants simultanément.

La documentation associée à chaque dossier client doit comprendre : le score attribué, les facteurs pris en compte, la date d'évaluation initiale, les dates de révision et l'identité de l'analyste responsable. CANAFE peut demander ces informations lors d'un examen de conformité. Si l'entité ne peut pas démontrer que ses contrôles sont fondés sur une méthodologie cohérente et documentée, elle s'expose à des mesures correctives ou à des PAP.

Pour approfondir votre compréhension de la gestion du risque en contexte réglementaire, notre article sur l'évaluation des risques en conformité offre un cadre complémentaire particulièrement utile pour les équipes qui débutent la construction de leur programme ABR.

Mesures de vigilance selon la LRPCFAT : simplifiées et renforcées

La LRPCFAT et les lignes directrices de CANAFE distinguent différents niveaux de vigilance à appliquer selon le profil de risque du client.

Mesures de vigilance simplifiées (proportionnées)

La LRPCFAT ne définit pas explicitement un régime de vigilance simplifiée comme le fait la réglementation européenne, mais le guide de CANAFE reconnaît la proportionnalité : pour les clients dont l'évaluation du risque est faiblement documentée et dont les comportements transactionnels sont stables et prévisibles, des contrôles moins intensifs peuvent être appliqués. Cela ne signifie pas une absence de surveillance, mais plutôt une fréquence de révision moins élevée et des seuils d'alerte adaptés.

Mesures de vigilance renforcées

Les mesures renforcées sont obligatoires pour les PPEE et les COI en vertu de l'article 9.3 de la LRPCFAT. Elles comprennent : la surveillance continue améliorée des opérations, l'approbation d'un cadre supérieur avant l'établissement ou la poursuite de la relation d'affaires, et la documentation des sources de richesse et de fonds. Les clients provenant de pays tiers à risque élevé selon le GAFI sont soumis au même niveau de vigilance renforcée.

Rapport de grande opération en espèces (RGOE)

Toute opération en espèces de 10 000 $ CAD ou plus (ou plusieurs opérations constituant ensemble ce montant en l'espace de 24 heures consécutives) doit être déclarée à CANAFE dans les 15 jours ouvrables suivant la transaction. Cette obligation s'applique même si l'opération ne présente aucun soupçon particulier.

Rapport d'opération douteuse (ROD)

Contrairement au RGOE, le ROD ne repose sur aucun seuil monétaire. C'est le soupçon raisonnable — fondé sur les faits et les circonstances — qui déclenche l'obligation de déclaration. Le ROD doit être soumis à CANAFE dans les 30 jours suivant la détection. Il est à noter que la simple suspicion suffit : l'entité déclarante n'a pas à confirmer que le recyclage a bel et bien eu lieu avant de soumettre son rapport. Pour en savoir plus sur la construction d'un programme AML complet, consultez notre guide AML et conformité.

Loi 25 du Québec et protection des renseignements personnels

Depuis septembre 2023, les organisations opérant au Québec sont soumises à la pleine application de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels). Ses principales exigences incluent : la réalisation d'évaluations de facteurs relatifs à la vie privée (EFVP) pour tout nouveau projet traitant des renseignements personnels, la notification obligatoire à la Commission d'accès à l'information du Québec (CAI) et aux personnes concernées dans les 72 heures suivant la découverte d'un incident de confidentialité, et l'obtention d'un consentement explicite et granulaire pour la collecte et l'utilisation des données personnelles.

LPRPDE (fédérale)

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux organisations fédérales ainsi qu'aux échanges de renseignements personnels à caractère commercial entre provinces. Les compagnies opérant au Québec doivent satisfaire aux deux régimes — Loi 25 et LPRPDE — ce qui peut créer des obligations cumulatives, notamment en matière de gestion des incidents.

CANAFE peut imposer des pénalités administratives pécuniaires (PAP) allant jusqu'à 500 000 $ CAD par violation pour les personnes physiques et jusqu'à 1 000 000 $ CAD pour les entités — et peut référer les cas graves au Directeur des poursuites pénales pour des poursuites criminelles (CANAFE — Application de la loi). Ces montants ont été rehaussés dans le cadre des modifications récentes à la LRPCFAT pour renforcer l'effet dissuasif du régime. Les entités qui minimisent leur programme de conformité s'exposent donc à des conséquences financières et réputationnelles significatives.

Automatiser l'évaluation du risque avec la technologie

La notation manuelle du risque client génère inévitablement des incohérences entre analystes, des délais de traitement allongés et des risques d'erreur dans les cas complexes. Lorsqu'un analyste doit vérifier manuellement un certificat de conformité du REQ (Registre des entreprises du Québec), valider la structure de propriété effective d'une compagnie selon la LCSA, croiser les listes de sanctions d'Affaires mondiales Canada et attribuer un score de risque — tout cela pour un seul dossier —, la charge opérationnelle devient rapidement ingérable à grande échelle.

La plateforme CheckFile couvre plus de 3 200 types de documents dans 32 juridictions, ce qui permet de valider automatiquement les documents d'identité, les pièces justificatives d'entreprise (dont le certificat de conformité du REQ) et les documents bancaires dans un flux de travail intégré. L'analyse multicouche de la plateforme combine la reconnaissance optique de caractères (ROC), la détection de falsification, la vérification de cohérence des métadonnées et le croisement avec des sources de données de référence — le tout en quelques secondes.

Pour les équipes de conformité des caisses populaires, des courtiers en valeurs mobilières, des planificateurs financiers ou des ESM, cette automatisation présente plusieurs avantages concrets :

• Cohérence : le même ensemble de règles est appliqué uniformément à chaque dossier, éliminant la variabilité inter-analystes;
• Traçabilité : chaque décision est horodatée, documentée et archivée de manière à pouvoir être présentée lors d'un examen de CANAFE ou de l'AMF Québec;
• Évolutivité : le volume de dossiers traités peut croître sans augmentation proportionnelle des effectifs de conformité;
• Réduction du délai de détection : les signaux d'alerte sont identifiés dès la collecte des documents, plutôt qu'après une revue manuelle différée.

Nos solutions KYC bancaires sont spécifiquement conçues pour les environnements réglementaires canadiens, avec une architecture conforme aux exigences de la Loi 25 et de la LPRPDE. La page Sécurité de CheckFile détaille les mesures techniques et organisationnelles déployées pour protéger les renseignements personnels traités par la plateforme.

Pour aller plus loin dans la structuration de votre programme de conformité documentaire, consultez notre guide de conformité documentaire, qui constitue la référence centrale de notre centre de ressources pour les équipes réglementaires. Nos tarifs sont disponibles en ligne pour les équipes qui souhaitent évaluer le rapport coût-bénéfice de l'automatisation de la vérification documentaire dans leur contexte spécifique.

Questions fréquemment posées

Quelles entités sont déclarantes selon la LRPCFAT?

Les entités déclarantes comprennent les entités financières (banques, caisses populaires, sociétés de fiducie), les entreprises de services monétaires (ESM), les courtiers en valeurs mobilières, les compagnies d'assurance, les agents immobiliers, les casinos, et dans certaines circonstances, les comptables. Depuis 2020, les courtiers en monnaie virtuelle inscrits comme ESM auprès de CANAFE sont également des entités déclarantes. La liste complète est définie dans la LRPCFAT et ses règlements d'application, et peut évoluer au fil des modifications législatives.

Qu'est-ce qu'un rapport d'opération douteuse (ROD) selon CANAFE?

Un ROD doit être soumis à CANAFE lorsqu'il existe des motifs raisonnables de soupçonner qu'une opération est liée au recyclage des produits de la criminalité ou au financement des activités terroristes. Contrairement au RGOE, aucun seuil monétaire ne s'applique — c'est le soupçon qui déclenche l'obligation, qu'il s'agisse d'une transaction de 500 $ ou de 500 000 $. Le ROD doit être soumis dans les 30 jours suivant la détection des faits suscitant le soupçon.

En quoi la Loi 25 du Québec diffère-t-elle de la LPRPDE?

La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) s'applique aux organisations opérant au Québec et introduit des exigences plus strictes que la LPRPDE fédérale : évaluations de facteurs relatifs à la vie privée (EFVP) obligatoires, notification d'incidents dans les 72 heures à la CAI, consentement granulaire et désignation obligatoire d'un responsable de la protection des renseignements personnels. Les organisations doivent satisfaire aux deux régimes lorsqu'elles opèrent au Québec, ce qui exige une politique de confidentialité et des procédures opérationnelles qui tiennent compte des exigences cumulatives des deux lois.

Quelle est la différence entre l'AMF Québec et l'AMF française?

L'AMF Québec (Autorité des marchés financiers du Québec) est un régulateur provincial indépendant qui supervise les marchés financiers, les assurances, les institutions de dépôt (autres que les banques à charte) et la distribution de produits financiers au Québec. Elle n'a aucun lien institutionnel avec l'Autorité des marchés financiers française — le sigle est identique mais les mandats, la juridiction et les cadres réglementaires sont entièrement distincts. Toute référence à la réglementation de l'AMF française dans un contexte québécois est non seulement inapplicable, mais susceptible d'induire en erreur les équipes de conformité qui n'ont pas l'habitude des deux systèmes.

---

Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un professionnel qualifié pour toute question spécifique à votre situation.