Vigilance renforcée (EDD) au Canada : guide de conformité LRPCFAT et CANAFE
La vigilance renforcée (EDD) selon la LRPCFAT et les lignes directrices CANAFE : déclencheurs obligatoires, processus en 7 étapes, documentation requise, obligations fédérales vs provinciales (AMF Québec), et modifications d'avril 2025 expliquées.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa vigilance renforcée (Enhanced Due Diligence, ou EDD) est le niveau le plus exigeant de vérification de l'identité et du profil d'un client, obligatoire en droit canadien lorsqu'une relation d'affaires présente un risque élevé de recyclage des produits de la criminalité ou de financement des activités terroristes. En vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), L.C. 2000, c. 17 et des règlements administrés par le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE), l'EDD n'est pas une mesure discrétionnaire : des déclencheurs légaux précis en font une obligation pour les entités déclarantes canadiennes. Les modifications substantielles apportées au Règlement sur le recyclage des produits de la criminalité (DORS/2002-184) en avril 2025 ont mis à jour ces obligations de façon significative, avec une mise en œuvre échelonnée jusqu'en 2026.
Pour une vue d'ensemble du cadre de conformité documentaire, consultez notre guide de conformité documentaire.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique, financier ou réglementaire. Les références réglementaires reflètent l'état de la LRPCFAT en mai 2026. Consultez un professionnel qualifié pour tout conseil adapté à votre situation.
Qu'est-ce que la vigilance renforcée (EDD) en droit canadien ?
La vigilance renforcée est le troisième et plus exigeant palier du cadre de diligence raisonnable à l'égard de la clientèle, défini par le Groupe d'action financière (GAFI) et mis en œuvre en droit canadien par la LRPCFAT et ses règlements d'application. Le cadre canadien distingue trois niveaux de vigilance :
- Vigilance simplifiée : applicable uniquement lorsque le risque est démontrablement faible pour des catégories de clients spécifiquement reconnues par les lignes directrices du CANAFE
- Vigilance normale (CDD) : le niveau de vérification de base obligatoire pour la majorité des relations d'affaires (Règlement DORS/2002-184, art. 57–65)
- Vigilance renforcée (EDD) : mesures additionnelles obligatoires lorsqu'un risque élevé est identifié (Règlement DORS/2002-184, art. 66–68 ; lignes directrices CANAFE sur les indicateurs de risque élevé)
Une question soulevée fréquemment par les professionnels de la conformité au Canada — notamment dans le cadre des formations du CANAFE — est de savoir si l'EDD est limitée aux catégories nommées dans les règlements (personnes politiquement exposées, pays à risque élevé) ou si elle s'étend à toute relation présentant un risque élevé. La réponse est la seconde option. L'approche fondée sur les risques intégrée à la LRPCFAT exige que les entités déclarantes appliquent la vigilance renforcée chaque fois que leur propre évaluation des risques identifie un niveau de risque élevé, même en l'absence d'une catégorie légale nommée. Restreindre l'EDD aux seules PPE et aux pays figurant sur les listes du GAFI laisserait les entités exposées à des sanctions administratives pécuniaires.
La Recommandation 10 du GAFI exige une vigilance constante tout au long de la relation d'affaires; la Recommandation 12 impose des mesures EDD spécifiques pour les personnes politiquement exposées. Le Canada est actuellement soumis à une évaluation mutuelle du GAFI, avec un renforcement attendu de l'application des règles à compter de 2026–2027.
Quand la vigilance renforcée est-elle obligatoire au Canada ?
Le Règlement sur le recyclage des produits de la criminalité (art. 66–68) et les lignes directrices du CANAFE sur les indicateurs de risque élevé définissent les situations déclenchant l'obligation d'EDD. Les modifications d'avril 2025 ont clarifié et élargi plusieurs de ces déclencheurs.
| Déclencheur | Base légale canadienne | Exemples pratiques |
|---|---|---|
| Personnes politiquement exposées (PPE) — nationales et étrangères | LRPCFAT art. 9.3 ; GAFI Rec. 12 | Chefs d'État étrangers, ministres et députés fédéraux/provinciaux, hauts fonctionnaires, chefs d'organisations internationales (HOI), membres de leur famille et associés connus |
| Pays tiers à risque élevé | Règlement art. 66 ; listes GAFI + avis CANAFE | Opérations impliquant des pays sur la liste noire ou grise du GAFI, ou faisant l'objet d'un avis du CANAFE |
| Relations de correspondance bancaire | Règlement art. 67 ; GAFI Rec. 13 | Relations avec des entités financières étrangères dont les contrôles LBA ne sont pas pleinement évalués |
| Clients non-résidents | Règlement art. 66 | Ressortissants étrangers, non-résidents canadiens, titulaires de comptes offshore |
| Structures de propriété complexe | Règlement art. 66 | Fiducies, compagnies privées, organismes de bienfaisance, arrangements de prête-noms dissimulant le bénéficiaire effectif |
| Transactions inhabituelles ou incompatibles avec le profil connu | Règlement art. 68 | Transactions sans justification économique apparente, incompatibles avec le profil déclaré du client |
| Entreprises de services monétaires (ESM) et VASP | LRPCFAT art. 5(h) ; inscription CANAFE obligatoire | Cambistes, prestataires de services de paiement et fournisseurs de services sur actifs virtuels inscrits auprès du CANAFE |
Les modifications d'avril 2025 : Le Règlement sur le recyclage des produits de la criminalité (DORS/2002-184), substantiellement modifié en avril 2025, constitue la mise à jour la plus importante du cadre canadien depuis les réformes de 2014. Les principales modifications concernant l'EDD comprennent : la révision des définitions des PPE et des chefs d'organisations internationales (élargissant les catégories de personnes soumises à l'EDD obligatoire), le renforcement des obligations de surveillance pour les transactions en monnaies virtuelles, et la mise à jour des seuils pour les déclarations d'opérations importantes en espèces. Le calendrier de mise en œuvre échelonné — certaines dispositions entrant en vigueur immédiatement en avril 2025 et d'autres en 2026 — signifie que les entités déclarantes doivent revoir leurs politiques d'EDD en tenant compte à la fois des exigences actuelles et des obligations futures. Le CANAFE a publié des lignes directrices de transition pour accompagner les entités.
Le processus EDD : 7 étapes pour la conformité CANAFE
Un processus d'EDD défendable suit sept étapes séquentielles. Les lacunes à l'une ou l'autre de ces étapes constituent un point d'attention prioritaire lors des examens de conformité du CANAFE.
Étape 1 – Vérification renforcée de l'identité
La vérification d'identité standard doit être complétée par des sources indépendantes supplémentaires. Pour les personnes physiques, cela signifie l'obtention du numéro d'assurance sociale (NAS) combiné à un permis de conduire provincial ou un passeport canadien, ainsi qu'un deuxième document corroborant. Pour les personnes morales, des documents constitutifs certifiés et des extraits de registres officiels sont requis. La vérification auprès de Corporations Canada (entités fédérales) ou du Registre des entreprises du Québec (REQ) pour les compagnies québécoises doit être documentée.
Étape 2 – Vérification du bénéficiaire effectif
En vertu des modifications apportées à la Loi canadienne sur les sociétés par actions (LCSA) en 2022, les compagnies constituées en vertu du droit fédéral doivent tenir un registre des particuliers ayant un contrôle important — soit ceux détenant 25 % ou plus des actions ou des droits de vote. L'EDD exige d'aller au-delà de la déclaration du client et de croiser les informations avec Corporations Canada, les registres provinciaux, ou le REQ pour les entités québécoises. La chaîne complète de propriété doit être cartographiée pour identifier tous les bénéficiaires effectifs au seuil de 25 %.
Étape 3 – Vérification de l'origine des fonds
L'origine des fonds désigne la provenance des fonds spécifiques impliqués dans la transaction ou la relation d'affaires. Des preuves documentaires sont requises : relevés bancaires, documents attestant le produit d'une vente, contrats de prêt, états de paie, ou relevés de prestations gouvernementales. Un relevé bancaire seul, sans documentation expliquant l'origine de ces fonds, est insuffisant pour les besoins de l'EDD.
Étape 4 – Vérification de l'origine du patrimoine
L'origine du patrimoine est distincte de l'origine des fonds : elle concerne la façon dont le client a accumulé l'ensemble de sa fortune au fil du temps. Pour les PPE et les clients à patrimoine important, cela nécessite des déclarations de revenus sur plusieurs années, l'historique des salaires, des évaluations d'entreprise et des documents successoraux. Confondre l'origine des fonds et l'origine du patrimoine est un constat récurrent lors des examens de conformité du CANAFE. Les deux sont requis pour un dossier EDD complet.
Étape 5 – Approbation de la haute direction
La réglementation canadienne exige l'approbation d'un membre de la haute direction — ou d'un équivalent désigné — avant l'établissement d'une relation d'affaires avec une PPE ou un client à risque élevé, et avant de poursuivre une relation lorsqu'un client est ultérieurement identifié comme PPE. Cette approbation doit être documentée, attribuée à une personne nommée détenant l'autorité appropriée, datée et conservée au dossier.
Étape 6 – Surveillance continue renforcée
Les relations EDD exigent une surveillance des opérations plus intensive : des seuils d'alerte plus bas, des cycles de revue plus fréquents et une attention particulière à tout écart par rapport au profil établi du client. Pour les PPE, les mises à jour du profil doivent avoir lieu au moins tous les six mois. Tout changement important dans le profil de risque — nouvelle nomination politique, restructuration de compagnie, inscription aux sanctions, changement de pays — doit déclencher une réévaluation immédiate.
Étape 7 – Déclarations au CANAFE et conservation des dossiers
Lorsque la surveillance identifie des activités suspectes, une déclaration d'opérations douteuses (DOD) doit être transmise au CANAFE sans en informer le client. Les opérations en espèces de 10 000 $ CAD ou plus font l'objet d'une déclaration d'opérations importantes en espèces (DOIE) transmise au CANAFE dans le délai prescrit. Les dossiers doivent être conservés pendant cinq ans après la fin de la relation d'affaires (Règlement DORS/2002-184, art. 105).
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitDocumentation requise selon la LRPCFAT
Le tableau ci-dessous présente la documentation généralement requise par catégorie de client. L'approche fondée sur les risques nécessite une adaptation aux circonstances spécifiques.
| Catégorie de document | Personnes physiques | Personnes morales | PPE / Clients à risque élevé |
|---|---|---|---|
| Identité principale | NAS + permis de conduire provincial ou passeport canadien | Certificat de constitution (Corporations Canada ou REQ) | Passeport + deuxième document d'identité indépendant |
| Preuve d'adresse | Facture de service public ou relevé bancaire < 3 mois | Adresse du siège social (registre provincial ou fédéral) | Comme personne physique + déclaration de résidence principale |
| Bénéficiaire effectif | Déclaration + vérification Corporations Canada ou REQ | Registre ISC + organigramme de propriété (seuil 25 %, LCSA 2022) | Déclaration + vérification indépendante des entités liées |
| Origine des fonds | Relevés bancaires, produits de vente, états de paie | États financiers vérifiés, contrats, accords de prêt | Comme personne physique + calendrier de rémunération/avantages officiels |
| Origine du patrimoine | Pas toujours requis au niveau EDD standard | Pas toujours requis | Obligatoire : déclarations de revenus pluriannuelles, évaluation d'entreprise, documents successoraux |
| Approbation de la haute direction | Non requis | Non requis | Obligatoire : approbateur nommé, daté, conservé 5 ans |
| Objet de la relation | Déclaration du client | Déclaration + documents commerciaux justificatifs | Déclaration renforcée + documentation corroborante |
| Déclarations CANAFE | DOD si suspect ; DOIE pour espèces ≥ 10 000 $ CAD | DOD si suspect ; DOIE pour espèces ≥ 10 000 $ CAD | DOD si suspect ; documentation de surveillance renforcée |
Pour une liste de contrôle de la diligence raisonnable par secteur, consultez notre checklist de due diligence client par secteur.
Vigilance normale vs vigilance renforcée : différences pratiques
| Dimension | Vigilance normale (CDD) | Vigilance renforcée (EDD) |
|---|---|---|
| Déclencheur | Par défaut pour tous les clients | Risque élevé : PPE, pays à risque, structure complexe, évaluation interne |
| Vérification d'identité | Un document d'identité officiel + NAS | NAS + document principal + sources indépendantes supplémentaires |
| Bénéficiaire effectif | Déclaration + vérification au registre | Cartographie complète de la chaîne (seuil 25 %, LCSA), recoupements indépendants |
| Origine des fonds | Non systématiquement requis | Preuve documentaire obligatoire |
| Origine du patrimoine | Non requis | Obligatoire pour PPE et clients à risque élevé |
| Approbation de la haute direction | Non requis | Obligatoire avant l'entrée en relation avec une PPE |
| Fréquence de révision | Annuelle à triennale selon le risque | Au moins tous les 6 mois pour les PPE |
| Surveillance des opérations | Seuils CANAFE standard | Seuils abaissés, révisions déclenchées par événements |
| Déclarations CANAFE | DOD et DOIE selon le cas | DOD et DOIE + documentation complète de surveillance |
| Conservation des dossiers | 5 ans après la fin de la relation (Règlement art. 105) | 5 ans, avec une documentation considérablement plus étendue |
| Exposition aux sanctions | SAP jusqu'à 1 000 000 $ CAD par violation pour entités | Même cadre, traitement aggravé pour violation systématique ou délibérée |
Surveillance continue et déclarations au CANAFE
La surveillance continue en droit canadien est une obligation permanente, et non une formalité périodique. Pour les clients soumis à l'EDD, cela comprend :
- Révisions périodiques planifiées : au minimum tous les six mois pour les PPE, et au moins annuellement pour les autres clients EDD — plus fréquemment lorsque les indicateurs de risque le justifient
- Surveillance des opérations : détection automatisée des opérations qui s'écartent du profil établi du client, avec révision humaine rapide des activités signalées
- Révisions déclenchées par un événement : tout changement important — nomination politique, restructuration de compagnie, inscription aux sanctions, déménagement vers une juridiction à risque élevé — doit déclencher une réévaluation immédiate, indépendamment du calendrier de révision planifié
- Déclarations d'opérations douteuses (DOD) : lorsque la surveillance identifie des opérations suspectes, une DOD doit être transmise au CANAFE sans en informer le client. La LRPCFAT interdit de divulguer le fait qu'une DOD a été produite (LRPCFAT art. 8)
- Déclarations d'opérations importantes en espèces (DOIE) : toute opération en espèces de 10 000 $ CAD ou plus doit être déclarée au CANAFE dans le délai prescrit, sous réserve des exemptions prévues par les règlements
Selon le rapport annuel 2024 du CANAFE, le CANAFE a reçu plus de 2 millions de déclarations (DOD et DOIE) au cours de l'exercice 2024 — ce qui reflète à la fois l'étendue du secteur financier canadien et la portée croissante du régime déclaratoire. En 2024, le CANAFE a publié six décisions de sanctions administratives pécuniaires (SAP) totalisant plus de 7,3 millions de dollars CAD. Selon le rapport de l'ACFE 2024, seulement 37 % des fraudes sont détectées par des contrôles manuels — ce qui illustre les limites des programmes de surveillance entièrement manuels.
Pour une vue complète des obligations LBA canadiennes, consultez notre guide de conformité anti-money laundering.
Protection des renseignements personnels et collecte de données EDD : La collecte de données personnelles sensibles dans le cadre de l'EDD est soumise à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au niveau fédéral, et, pour les organisations exerçant leurs activités au Québec, à la Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., c. P-39.1 — réformée en 2022–2023), administrée par la Commission d'accès à l'information (CAI). La Loi 25 impose, en sus des exigences fédérales, la réalisation d'une évaluation des facteurs relatifs à la vie privée (EFVP) avant le déploiement de tout système de traitement de données personnelles — y compris les plateformes KYC et EDD. Le principe de limitation de la finalité exige que la collecte de données EDD soit démontrablement proportionnelle au niveau de risque identifié. L'AMF Québec ajoute une couche de surveillance prudentielle pour les institutions financières provinciales.
Obligations fédérales CANAFE vs obligations provinciales AMF Québec
Une question fréquemment soulevée par les praticiens québécois est de savoir comment s'articulent les obligations fédérales du CANAFE et les obligations provinciales de l'AMF Québec. Il est essentiel de comprendre que ces deux autorités ont des mandats distincts et complémentaires.
CANAFE (fédéral) : Le CANAFE est l'unité de renseignement financier du Canada et l'administrateur de la LRPCFAT. Son mandat couvre toutes les entités déclarantes au Canada — banques à charte, coopératives de crédit fédérales, entreprises de services monétaires (ESM), sociétés d'assurance fédérales, courtiers immobiliers, comptables et avocats selon la LRPCFAT. Les obligations EDD sous la LRPCFAT — vérification d'identité, déclarations (DOD, DOIE), conservation des dossiers — relèvent exclusivement du CANAFE, quelle que soit la province où l'entité exerce ses activités.
AMF Québec (provincial) : L'Autorité des marchés financiers du Québec est le superviseur prudentiel et la réglementation financière des institutions financières constituées ou opérant sous le régime provincial québécois — caisses Desjardins, compagnies d'assurance québécoises, courtiers en valeurs mobilières sous licence provinciale. L'AMF Québec publie ses propres lignes directrices sur la gestion du risque de blanchiment d'argent, alignées sur les normes du CANAFE, mais peut imposer des exigences supplémentaires pour les entités sous sa supervision. En matière de conformité LBA, les entités provinciales québécoises doivent donc répondre à la fois aux exigences du CANAFE (LRPCFAT) et aux attentes prudentielles de l'AMF Québec.
En pratique, cela signifie qu'une caisse d'épargne et de crédit constituée sous le régime provincial québécois est soumise à la supervision du CANAFE pour ses obligations de déclaration, d'identification et d'EDD en vertu de la LRPCFAT, et simultanément à la supervision prudentielle de l'AMF Québec pour ses politiques de gestion du risque et ses contrôles internes. Un dossier EDD conforme doit satisfaire aux deux cadres. Consultez la section Lignes directrices LBA de l'AMF Québec pour les exigences spécifiques aux entités provinciales.
Automatiser la vigilance renforcée avec CheckFile
Les processus EDD manuels sont gourmands en ressources, incohérents et susceptibles de générer des lacunes documentaires. La collecte des documents justificatifs, la vérification de leur authenticité, le recoupement avec les listes PPE et de sanctions, la cartographie de la propriété effective, et la conservation sur cinq ans — chaque étape crée un risque opérationnel lorsqu'elle est gérée par des flux de travail déconnectés. Le CANAFE s'attend à ce que les entités déclarantes maintiennent des systèmes et des contrôles proportionnels à leur exposition au risque.
CheckFile automatise les étapes critiques du processus EDD :
- Vérification de l'authenticité des documents couvrant plus de 3 200 types de documents dans 32 juridictions, avec détection des contrefaçons numériques et analyse des altérations sur les documents d'identité canadiens — permis de conduire provinciaux et passeports canadiens
- Extraction de données structurées (OCR et validation sémantique) alimentant directement les dossiers clients, éliminant la ressaisie manuelle et réduisant les erreurs de transcription
- Contrôles de cohérence inter-documents — vérification que les noms, dates, adresses et numéros de référence sont cohérents dans l'ensemble du dossier EDD, y compris le recoupement avec les registres de Corporations Canada et le REQ
- Archivage conforme avec pistes d'audit complètes des actions et décisions, conservées pendant la durée légale de cinq ans requise par le Règlement DORS/2002-184, art. 105
La plateforme s'intègre via API aux systèmes de gestion documentaire, aux outils de filtrage PPE et de sanctions, et à l'infrastructure CRM existante. Découvrez nos solutions pour la banque et le KYC, notre approche de la sécurité et nos tarifs.
Pour en savoir plus sur la façon dont CheckFile soutient les programmes EDD au Canada, visitez CheckFile.ai.
Questions fréquemment posées
Les modifications d'avril 2025 de la LRPCFAT modifient-elles significativement les procédures EDD ?
Oui — les modifications d'avril 2025 au Règlement sur le recyclage des produits de la criminalité (DORS/2002-184) représentent la mise à jour la plus importante du cadre canadien LBA depuis les réformes de 2014. Les changements directement applicables à l'EDD comprennent : la révision des définitions des PPE et des chefs d'organisations internationales, élargissant les catégories de personnes soumises à l'EDD obligatoire ; le renforcement des obligations de surveillance des opérations en monnaie virtuelle ; la mise à jour des règles sur la vérification du bénéficiaire effectif en cohérence avec les modifications de la LCSA en 2022 ; et de nouvelles exigences de conservation pour les virements électroniques de fonds. Le calendrier échelonné de mise en œuvre signifie que certaines obligations sont entrées en vigueur immédiatement en avril 2025, tandis que d'autres — en particulier celles affectant les entités déclarantes de plus petite taille — entrent progressivement en vigueur en 2026. Les entités déclarantes doivent revoir leurs politiques et procédures EDD au regard des textes réglementaires actualisés et des lignes directrices de transition publiées par le CANAFE.
La vigilance renforcée s'applique-t-elle uniquement aux PPE et aux pays à risque élevé ?
Non. La vigilance renforcée s'applique à toute situation à risque élevé, pas uniquement aux catégories légales nommées. Les lignes directrices du CANAFE sur les indicateurs de risque élevé sont claires : l'EDD est requise chaque fois qu'une entité déclarante identifie un risque élevé dans le cadre de sa propre évaluation, en plus des déclencheurs spécifiques prévus dans les règlements. Une compagnie qui limite l'EDD aux seules PPE et aux pays de la liste du GAFI, tout en ignorant d'autres clients à risque élevé présentant des structures de propriété complexes ou des schémas de transaction inhabituels, est non conforme à l'approche fondée sur les risques et exposée à des sanctions administratives pécuniaires.
Quelle est la différence entre l'origine des fonds et l'origine du patrimoine ?
L'origine des fonds désigne la provenance des fonds spécifiques impliqués dans la transaction ou la relation d'affaires : d'où vient ce capital particulier ? L'origine du patrimoine désigne la façon dont le client a accumulé l'ensemble de sa fortune au fil du temps : comment ce patrimoine a-t-il été constitué ? Les deux sont requis pour un dossier EDD complet pour les PPE et les clients à risque élevé. Un client peut avoir une origine des fonds légitime (produit de la vente récente d'un bien immobilier) tout en ayant une origine du patrimoine peu claire (accumulation historique inexpliquée) — dans ce cas, le dossier EDD est incomplet sans documenter les deux éléments.
Quelles sont les sanctions pour manquement aux obligations EDD en vertu de la LRPCFAT ?
Le CANAFE peut imposer des sanctions administratives pécuniaires (SAP) allant jusqu'à 500 000 $ CAD par violation pour les particuliers et jusqu'à 1 000 000 $ CAD par violation pour les entités. Pour les violations « très graves » — celles que le CANAFE juge représenter un risque élevé pour le régime canadien LBA/LRPCFAT — les sanctions peuvent atteindre jusqu'à 20 000 000 $ CAD ou 3 % des revenus bruts mondiaux de l'entité, selon le montant le plus élevé. Les poursuites pénales en vertu de l'article 462.31 du Code criminel peuvent entraîner une peine d'emprisonnement pouvant aller jusqu'à cinq ans. En 2024, le CANAFE a publié six décisions de SAP totalisant plus de 7,3 millions de dollars CAD dans divers secteurs réglementés.
Comment s'articulent les obligations CANAFE fédérales et les obligations AMF Québec provinciales ?
Le CANAFE et l'AMF Québec ont des mandats distincts. Le CANAFE administre la LRPCFAT et supervise toutes les entités déclarantes canadiennes pour leurs obligations de déclaration, d'identification et d'EDD — quelle que soit la province. L'AMF Québec, en revanche, est le superviseur prudentiel et réglementaire des institutions financières constituées ou opérant sous le régime provincial québécois (caisses Desjardins, compagnies d'assurance de droit québécois, etc.). L'AMF Québec publie ses propres lignes directrices en matière de gestion du risque LBA, qui s'ajoutent aux exigences du CANAFE pour les entités sous sa supervision. En pratique, les institutions financières provinciales québécoises doivent se conformer simultanément à la LRPCFAT (supervisée par le CANAFE) et aux exigences prudentielles de l'AMF Québec. La Loi 25 et les obligations de la CAI en matière de protection des renseignements personnels constituent une troisième couche réglementaire distincte applicable à la collecte de données EDD.
La Loi 25 impose-t-elle des obligations supplémentaires pour les systèmes KYC/EDD au Québec ?
Oui. La Loi 25 (Loi sur la protection des renseignements personnels dans le secteur privé, L.R.Q., c. P-39.1 — en vigueur depuis 2022–2023) va plus loin que la LPRPDE fédérale en imposant une évaluation des facteurs relatifs à la vie privée (EFVP) obligatoire avant le déploiement de tout nouveau système de traitement de données personnelles — ce qui inclut les plateformes KYC et EDD. Les organisations exerçant leurs activités au Québec doivent également désigner un responsable de la protection des renseignements personnels, publier leurs politiques de confidentialité, et notifier la CAI en cas d'incident de confidentialité. La Commission d'accès à l'information (CAI) publie des lignes directrices sur la conformité à la Loi 25 pour les entreprises du secteur financier.
Références réglementaires et sources
- Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT), L.C. 2000, c. 17 — laws-lois.justice.gc.ca
- Règlement sur le recyclage des produits de la criminalité (DORS/2002-184) — laws-lois.justice.gc.ca
- CANAFE — Lignes directrices sur les indicateurs de risque élevé et l'EDD — fintrac-canafe.gc.ca
- Rapport annuel 2024 du CANAFE — fintrac-canafe.gc.ca
- CANAFE — Sanctions administratives pécuniaires — fintrac-canafe.gc.ca
- AMF Québec — Lignes directrices LBA — lautorite.qc.ca
- Commission d'accès à l'information (CAI) — Loi 25 — cai.gouv.qc.ca
- Commissariat à la protection de la vie privée — LPRPDE — priv.gc.ca
- Recommandations 10 et 12 du GAFI — GAFI
- ACFE Report to the Nations 2024
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.